Déclaration RGPD
Date d'effet : 29 juin 2026 · Dernière mise à jour : 30 juin 2026
Zeptun Intelligence Limited (Hong Kong SAR) (« nous », « notre ») exploite la plateforme de messagerie Unbox à l'adresse unbox.im et s'engage à protéger les données personnelles conformément au Règlement général sur la protection des données (RGPD) de l'UE et aux lois similaires. Cette page résume la manière dont nous traitons les données pour les clients de l'Espace économique européen (EEE), du Royaume-Uni et de la Suisse. Elle complète notre Politique de confidentialité et nos Conditions d'utilisation.
Qui nous sommes
Zeptun Intelligence Limited (Hong Kong SAR) est le responsable du traitement des données personnelles traitées via Unbox sur unbox.im. Pour toute question relative à la protection des données, contactez privacy@unbox.im.
Ce qu'est Unbox (et ce qu'il n'est pas)
Unbox est une plateforme de courrier transactionnel et de boîte de réception par domaine. Nous vous aidons à envoyer et gérer les courriels importants — codes de vérification, réinitialisations de mot de passe, mises à jour de commandes et notifications d'équipe sur vos propres domaines.
Nous ne fournissons pas de services de marketing ou de diffusion de newsletters. Nos voies de soumission HTTP API et SMTP sont limitées au courrier transactionnel uniquement. Ce choix de produit réduit la complexité du consentement marketing du RGPD : nous n'envoyons pas de campagnes promotionnelles en votre nom, et nous n'exigeons pas de processus d'opt-in marketing ou de désabonnement pour les courriels de la plateforme.
API sortante et SMTP — transactionnel uniquement
The Unbox HTTP API (POST /v1/email) and optional SMTP submission must be used for transactional messages only — for example password resets, receipts, security alerts, and team notifications tied to a specific event. Marketing newsletters, promotional bulk sends, and cold outreach are prohibited.
Exemples autorisés
- Vérification de compte, réinitialisation de mot de passe et alertes de sécurité
- Confirmations de commande, reçus, mises à jour d'expédition et avis de paiement
- Notifications déclenchées par un événement utilisateur ou système spécifique
- Messages d'équipe et d'espace de travail (invitations, affectations, alertes internes)
Exemples interdits
- Newsletters, campagnes promotionnelles ou marketing diffusé
- Prospection à froid ou envoi à des listes achetées, scrapées ou non consentantes
- Spam d'affiliation, hameçonnage ou contenu trompeur
- Toute tentative de contourner les plafonds de destinataires, les limites de débit ou les quotas de forfait
Limites de débit et de destinataires (politique)
Pour éviter un marketing de masse de facto tout en permettant les notifications normales d'équipe, le trafic API sortant et SMTP est soumis aux limites ci-dessous en plus des quotas du plan. Les limites sont appliquées automatiquement et s'appliquent par espace de travail (le propriétaire et les membres de l'équipe partagent un pool quotidien de destinataires uniques, réinitialisé à minuit UTC) :
- Destinataires par message: Jusqu'à 50 au total (À + Cc + Cci combinés)
- Destinataires uniques par jour: Jusqu'à 1 000 par espace de travail
- Taux de requêtes d'envoi: Jusqu'à 10 soumissions API ou SMTP par minute par domaine
- Quota sortant du forfait: Les limites d'envoi mensuelles de votre abonnement s'appliquent toujours
Ces règles font partie de notre politique d'utilisation acceptable. L'application automatisée est en vigueur sur le compositeur web, l'API HTTP et la soumission SMTP. Les comptes qui envoient des courriers marketing ou en masse, ou qui abusent de l'infrastructure d'envoi, peuvent être limités, suspendus ou résiliés.
Nous surveillons les signaux de délivrabilité. Des taux de rebond soutenus supérieurs à 3 % ou des taux de plainte supérieurs à 0,1 % peuvent déclencher une pause temporaire des envois ou une révision manuelle.
Ces règles sont également énoncées dans nos Conditions d'utilisation.
Bases légales du traitement
- Contrat — pour fournir l'hébergement, le DNS, la boîte de réception, l'envoi API, la facturation et l'assistance auxquels vous avez souscrit.
- Intérêts légitimes — sécurité, prévention des abus, surveillance de la délivrabilité et amélioration du produit, équilibrés par rapport à vos droits.
- Consentement — lorsque requis, comme les fonctionnalités d'IA optionnelles qui envoient du contenu à des fournisseurs de modèles cloud, ou la connexion de comptes de messagerie tiers.
- Obligation légale — fiscalité, facturation et demandes légales des autorités.
Ce que nous faisons déjà
- Inscription vérifiée — les nouveaux comptes doivent confirmer leur email (code unique ou lien magique) avant de se connecter.
- Chiffrement — TLS pour les données en transit ; identifiants sensibles et jetons chiffrés au repos ; clés API stockées hachées.
- Minimisation des données — les journaux de livraison sortante ne stockent que des métadonnées (pas de corps de messages). Les aperçus de comptes externes expirent après sept jours. Les journaux de livraison sont purgés selon un calendrier de conservation court (14 jours par défaut).
- Rétention contrôlée par l'utilisateur — corbeille, quarantaine de spam et flux de suppression définitive ; vous choisissez combien de temps les courriels supprimés sont conservés avant la purge.
- Authentification DNS — nous vous guidons dans la configuration SPF, DKIM et DMARC et bloquons l'envoi jusqu'à ce que votre domaine soit vérifié.
- Responsabilité de l'opérateur — les actions du personnel de la plateforme dans notre console d'administration sont enregistrées dans les journaux d'audit ; les changements d'appartenance à l'équipe sont consignés dans le flux d'activité de votre espace de travail.
- Aucune vente de données personnelles — nous ne vendons pas vos informations à des annonceurs ou des courtiers en données.
Sous-traitants
Nous utilisons des partenaires d'infrastructure de confiance pour faire fonctionner Unbox. Ils traitent les données uniquement sous nos instructions et avec des garanties contractuelles :
- Vercel — hébergement d'applications web et fonctions sans serveur
- Neon — base de données PostgreSQL
- Upstash — Redis (files d'attente et limitation de débit)
- Vercel Blob — stockage de blobs de pièces jointes et de messages
- Amazon Web Services (SES) — livraison de courriels entrants et sortants
- Stripe — facturation des abonnements et factures
- OpenRouter — inférence IA cloud lorsque vous utilisez des fonctionnalités d'IA nécessitant des modèles distants
Une liste à jour est maintenue dans notre Politique de confidentialité. Les clients professionnels qui ont besoin d'un contrat de traitement des données (DPA) signé peuvent en faire la demande à privacy@unbox.im.
Transferts internationaux
Unbox est principalement exploité depuis Singapour, avec une infrastructure dans AWS ap-southeast-1 et des points de présence mondiaux utilisés par nos hébergeurs. Lorsque des données personnelles sont transférées en dehors de l'EEE, nous nous appuyons sur des garanties appropriées telles que les clauses contractuelles types et les DPA des fournisseurs. Nous prévoyons des options de stockage dans la région UE pour les clients qui nécessitent une résidence des données dans l'UE.
Vos droits en vertu du RGPD
Si le RGPD vous concerne, vous avez peut-être le droit de :
- Accéder aux données personnelles que nous détenons sur vous
- Corriger des données inexactes
- Exporter vos données dans un format portable
- Supprimer vos données ("droit à l'oubli")
- Restreindre ou vous opposer à certains traitements
- Retirer votre consentement lorsque le traitement est basé sur le consentement
- Introduire une réclamation auprès de votre autorité de contrôle locale
Comment exercer vos droits aujourd'hui : envoyez un e-mail à privacy@unbox.im depuis votre adresse enregistrée. Nous répondons sous un mois. L'exportation en libre-service et la suppression de compte dans les Paramètres sont sur notre feuille de route — voir ci-dessous.
IA et vos e-mails
Lorsque vous utilisez des fonctionnalités d'IA, le contenu pertinent des messages peut être envoyé aux fournisseurs d'IA pour résumé, classification ou rédaction. Nous minimisons ce qui est envoyé et n'utilisons pas vos e-mails pour entraîner des modèles publics. Les clients professionnels pourront restreindre le traitement de l'IA dans le cloud dans les paramètres du compte ; jusqu'à ce que ce bouton soit disponible, contactez-nous pour refuser l'inférence cloud.
Sécurité et violations
Nous maintenons des mesures techniques et organisationnelles incluant des contrôles d'accès, le chiffrement, la prise en charge de l'authentification multifacteur (MFA) et des clés d'accès, ainsi que des procédures de réponse aux incidents. Si une violation de données personnelles présente un risque pour vos droits, nous en informerons les utilisateurs concernés et les autorités réglementaires comme requis par la loi.
Améliorations prévues
Nous travaillons activement à renforcer la conformité au RGPD, notamment :
- Exportation de données en libre-service et suppression de compte dans les Paramètres
- Enregistrement du consentement à l'inscription avec suivi de version de la politique
- Limites d'envoi sortant qui empêchent les abus de marketing de masse tout en permettant les notifications normales d'équipe (voir ci-dessus)
- Transparence élargie des sous-traitants et modèles de DPA clients
- Résidence des données dans l'UE en option
Contact
Demandes relatives à la protection des données : privacy@unbox.im
Support général : hello@unbox.im