Privacy & Security Hub.

Le schéma ci‑dessus (au 10/2025) fournit un Aperçu de l’infrastructure technique de snapAddy. Notre logique métier est entièrement mise en œuvre dans des centres de données situés à Francfort‑sur‑le‑Main (zone AWS : eu‑central‑1). Les différents services sont protégés dans un VPC privé et répartis sur trois zones de disponibilité indépendantes les unes des autres afin d’assurer une haute tolérance aux pannes.

Flux de données entre les clients snapAddy – Généralités

Le diagramme de flux de données présente les différentes sources utilisées par snapAddy pour générer des donées de contact et des propositions de contacts, enrichir les données existantes, ainsi que la connexion à votre système CRM utilisée pour chaque exportation.

Il illustre également le téléversement manuel de données existantes via des fichiers Excel ou CSV, qui ont été Exportiert depuis votre CRM ou une autre source de données.

Connexions CRM

Le diagramme de séquence décrit le déroulement technique de notre contrôle de doublons dans DataAgents ainsi que dans nos deux applications BusinessCards et VisitReport. Dans un premier temps, les données saisies par l’utilisateur sont vérifiées afin de détecter d’éventuels doublons dans votre système CRM. Pour ce faire, différentes possibilités de connexion sont proposées en fonction du système CRM, comme par exemple OAuth. Si un doublon est détecté dans votre CRM, vous visualisez les différences identifiées par snapAddy dans une vue de fusion structurée. Vous pouvez choisir les données à conserver et celles à ignorer. À votre demande, les données sont ensuite créées ou mises à jour dans votre CRM.

Des sauvegardes automatiques quotidiennes via des instantanés RDS sont effectuées pour toutes les bases de données qu’utilise snapAddy pour l’exploitation de ses produits. Par ailleurs, des instantanés des journaux de transactions sont régulièrement créés, ce qui nous permet de restaurer nos bases de données à un moment précis (quelques minutes avant un éventuel incident). Les instantanés RDS et les journaux de transactions sont stockés dans Amazon S3 et conservés pendant 30 jours.

Pour les buckets S3 utilisés par snapAddy, la gestion de versions des objets est activée. Les anciennes versions et les objets supprimés peuvent ainsi être restaurés dans un délai de 30 jours.

Les données supprimées sont d’abord marquées comme à supprimer, puis définitivement effacées au bout de 30 jours. Pendant ce délai, nos équipes de support peuvent restaurer des données effacées par erreur.

Toutes les requêtes adressées à nos serveurs et échangées entre eux sont protégées par un chiffrement en transit. Grâce au HSTS et à la redirection de HTTP vers HTTPS, le chiffrement du trafic externe est garanti. Nos serveurs prennent en charge TLS 1.2 et 1.3 avec des suites de chiffrement robustes. Pour les connexions internes entre nos serveurs, mTLS 1.3 est utilisé. Avec ces mesures, nous obtenons une évaluation A+ au SSL Server Test de SSL Labs (https://www.ssllabs.com/ssltest/analyze.html?d=app.snapaddy.com).

Toutes les bases de données et tous les buckets S3 contenant des données clients sont chiffrés avec AES‑256. Les clés de chiffrement des bases de données sont chiffrées à l’aide de clés maîtresses gérées par AWS dans le Key Management Service (KMS). Les clés maîtresses KMS sont stockées sur des modules matériels de sécurité (HSM) validés selon FIPS 140‑2 niveau 2 (niveau 3 pour certaines catégories). Vous trouverez d’autres détails dans l’ISMS (chapitre 3.2).

Plusieurs options d’authentification sont disponibles chez snapAddy. Vous pouvez d’une part utiliser une connexion classique via nom d’utilisateur et mot de passe, qui peut être protégée en option par une authentification à deux facteurs. D’autre part, nous proposons à nos clients une authentification unique soit via OAuth (OpenID‑Connect ; pour les trois fournisseurs d’identité Microsoft, Google et Apple), soit via une intégration SAML avec le fournisseur d’identité de votre choix. Vous trouverez de plus amples informations sur la configuration de SAML ici : How to set up SAML 2.0 Single Sign-On

Les administrateurs d’une organisation snapAddy peuvent attribuer des rôles à leurs utilisateurs, sur la base desquels les droits utilisateurs sont définis. Ces rôles restreignent l’accès à certaines Ressources et peuvent être attribués de manière granulaire.

Vous trouverez une Aperçu des rôles disponibles ici :

https://help.snapaddy.com/en/articles/2547674-what-do-the-user-roles-reporter-user-template-curator-template-manager-and-admin-mean

Pour pouvoir utiliser la fonctionnalité de propositions de contacts à partir des e‑mails, une connexion doit être établie entre snapAddy et votre messagerie. Deux types de connexion sont disponibles. Vous pouvez soit établir la connexion à une boîte aux lettres Microsoft au moyen d’une application OAuth snapAddy, soit utiliser une connexion classique via IMAP. Ces deux types de connexion différant techniquement, les aspects de sécurité correspondants sont examinés séparément ci‑après.

Connexion via l’application OAuth snapAddy

Pour connecter votre messagerie Microsoft, vous devez accorder à l’application OAuth « snapAddy Suggestions » les autorisations Mail.Read, User.Read et offline_access. Le cas échéant, cet accès doit être validé par l’administrateur Azure de votre organisation. Ensuite, snapAddy enregistre en votre nom un abonnement via l’API Microsoft Graph, qui informe snapAddy par webhook dès qu’un nouvel e‑mail arrive dans votre boîte aux lettres pour traitement. Lorsque snapAddy reçoit une telle notification, nous récupérons l’e‑mail dans votre boîte aux lettres et en extrayons les Signatures éventuelles. Le contenu de l’e‑mail n’est à aucun moment enregistré ni journalisé par nos soins. Toutes les données ne sont présentes que de manière temporaire et uniquement au moment du traitement (parsing).

Connexion via IMAP

La connexion via IMAP s’effectue au moyen des identifiants habituels de votre boîte aux lettres IMAP. Le mot de passe est, en plus du chiffrement général de notre base de données, chiffré à l’aide d’un secret AES‑CBC 256 bits avec un vecteur initialisé de manière aléatoire. La clé de chiffrement est dérivée par PBKD2 à partir d’un secret interne et d’un sel aléatoire. Le mot de passe enregistré ne peut plus être récupéré par un utilisateur et sert uniquement à la connexion côté serveur à votre messagerie. Si vous avez la possibilité d’utiliser des « mots de passe d’application » distincts pour les intégrations tierces de votre boîte IMAP, nous vous recommandons de recourir à cette option. Voir, par exemple : https://support.google.com/mail/answer/185833?hl=de

Dans les deux cas, le contenu de vos e‑mails n’est jamais enregistré ni journalisé. Les e‑mails ne sont présents en mémoire vive que pour la durée du traitement, puis ils sont ignorés de notre côté. En outre, les e‑mails provenant de certains domaines d’expéditeurs peuvent être entièrement exclus de tout traitement par cette fonctionnalité.

Par ailleurs, les propositions de contacts basées sur les e‑mails entrants sont enregistrées exclusivement dans la liste de contacts snapAddy choisie par l’utilisateur lui‑même. Chaque utilisateur peut définir de manière autonome qui a accès à cette liste.

Pourquoi devrais‑je connecter mon serveur d’e‑mail sortant ?
Certaines fonctionnalités de snapAddy VisitReport nécessitent, pour l’envoi d’e‑mails, un serveur d’e‑mail sortant que vous aurez configuré. Il s’agit notamment de l’envoi automatisé des « e‑mails de notification » lors de l’exportation de rapports de visite depuis l’application VisitReport, ainsi que de l’envoi d’e‑mails de suivi aux interlocuteurs saisis.

Comment puis‑je établir la connexion ?

Nous recommandons, pour l’envoi d’e‑mails via snapAddy, de créer un utilisateur SMTP dédié (ci‑après : « utilisateur technique »). Cet utilisateur technique doit être protégé par un mot de passe robuste, qui n’est utilisé nulle part ailleurs et peut ainsi être traité comme une clé API.

Selon les fonctionnalités de votre serveur d’e‑mail, les droits de l’utilisateur technique peuvent également être fortement restreints (par exemple, dans le cas d’e‑mails de notification, limités à l’envoi d’e‑mails au sein de votre propre domaine, etc.).

La connexion via SMTP est‑elle sécurisée ?

L’établissement de la connexion entre snapAddy et votre serveur d’e‑mail via SMTP est protégé par des mécanismes de chiffrement modernes : snapAddy prend en charge tous les standards courants de connexions SMTP chiffrées (SSL/TLS et STARTTLS) et les données d’accès SMTP que vous enregistrez sont également stockées de manière chiffrée.

Si vous configurez l’utilisateur SMTP conformément à la recommandation ci‑dessus en tant qu’« utilisateur technique », vous n’avez pas à communiquer à snapAddy un mot de passe utilisé à d’autres fins et vous gardez en outre le contrôle complet sur les destinataires autorisés à recevoir des e‑mails. Vous disposez également, via votre propre serveur d’e‑mail, d’une transparence complète sur d’éventuelles erreurs susceptibles de survenir lors de l’envoi d’e‑mails (par exemple les rebonds).

Des mécanismes tels que SPF ou DKIM sont‑ils également proposés ?

Actuellement, ces mécanismes ne sont pas proposés, car snapAddy n’exploite pas sa propre infrastructure de serveurs d’e‑mail. Pour le scénario d’utilisation dans le contexte de snapAddy VisitReport, SPF et DKIM n’apportent pas de sécurité supplémentaire ; ils conduiraient au contraire à une autorisation générale des adresses IP de snapAddy comme expéditeurs légitimes pour toutes les adresses e‑mail de votre domaine.

Les mécanismes mentionnés accorderaient ainsi des droits nettement plus étendus que nécessaire (en particulier la possibilité d’envoyer des e‑mails au nom de toute adresse d’expéditeur possible de votre domaine). Avec la procédure décrite ci‑dessus via un utilisateur SMTP, une configuration beaucoup plus restrictive, et donc potentiellement plus sûre, est possible.

Si, malgré tout, vous ne souhaitez pas communiquer d’identifiants SMTP à snapAddy, mais préférez utiliser SPF ou DKIM, nous vous recommandons de configurer un serveur relais SMTP auprès d’un prestataire externe.

Pour la surveillance des activités réseau dans notre infrastructure, nous utilisons le système de détection d’intrusions (IDS) Amazon GuardDuty. GuardDuty analyse les journaux d’audit, DNS et réseau et émet des notifications en cas d’activités suspectes. Vous trouverez en savoir plus sur GuardDuty ici : https://aws.amazon.com/guardduty/

Par ailleurs, nos systèmes font régulièrement l’objet de tests externes dits de pénétration. Pour cela, nous collaborons avec le prestataire spécialisé CRISEC.

Au niveau de l’infrastructure, seule une très petite équipe de collaborateurs de longue date de snapAddy dispose d’un accès complet aux environnements de production. Cet accès est géré via le système de droits et de rôles AWS et peut être retracé de manière transparente dans les journaux d’audit.

Au niveau applicatif, d’autres collaborateurs disposent d’un accès restreint aux organisations clientes dans le cadre des processus de support. Ces comptes sont en outre protégés par une authentification à deux facteurs. Les activités peuvent être suivies via des journaux d’audit.

Vous trouverez ici des informations sur les données vous concernant que nous collectons et stockons, ainsi que sur les droits y afférents :

Download Informations générales sur la protection des données

Avec les solutions snapAddy, les collaborateurs de votre entreprise saisissent ou enrichissent les donées de contact à partir de données auxquelles ils ont accès (carte de visite, Signature d’e‑mail) ou de sources publiques (sites web, Google Maps, réseaux professionnels) et créent ainsi de nouveaux contacts ou les mettent à jour et les complètent dans votre système CRM.

Les solutions snapAddy traitent des donées de contact à caractère personnel auxquelles les collaborateurs de votre entreprise auraient accès même sans l’utilisation du logiciel snapAddy (sous forme non structurée). Cela inclut des données provenant de sources auxquelles seule votre entreprise a accès (par exemple cartes de visite, messageries), ainsi que des sources de données publiques (par exemple pages de mentions légales, réseaux professionnels).

Les solutions snapAddy facilitent et automatisent partiellement la saisie de donées de contact issues de telles sources pour vos collaborateurs. snapAddy n’utilise, en dehors des sources externes mentionnées, aucune base de données interne propre de donées de contact aux fins d’enrichissement ou de complément de contacts.

Sources de données :

• Signatures d’e‑mail

• Sites web et mentions légales

• Google Maps

• Cartes de visite

• Réseaux professionnels

Le stockage des données et la logique métier de nos solutions logicielles sont hébergés chez Amazon Web Services (AWS) à Francfort‑sur‑le‑Main, en Allemagne. Le traitement des données à caractère personnel a donc lieu exclusivement dans l’Union européenne, respectivement en Allemagne, et ces données ne quittent à aucun moment le territoire européen. Nous avons conclu avec AWS, en tant que sous‑traitant, tous les contrats nécessaires au regard du RGPD ; en outre, notre prestataire d’hébergement est certifié ISO.

Non, vos données clients et les contacts que vous saisissez ne sont pas partagés avec d’autres entreprises ni utilisés pour constituer une base de données de contacts. Tous les donées de contact que vous saisissez sont accessibles uniquement à votre entreprise.

En règle générale, les contacts saisis ne sont pas conservés durablement dans les solutions snapAddy, mais sont, après traitement, exporté dans un système CRM (ou Excel, etc.). Après la suppression des données dans le logiciel snapAddy, celles‑ci sont définitivement effacées de nos systèmes après l’expiration des délais de conservation des sauvegardes.

En tant qu’administrateur, vous pouvez paramétrer dans le logiciel snapAddy la suppression automatique, après l’exportation, des données saisies dans snapAddy DataQuality.

Outre l’accord pour le traitement des données, des mesures techniques et organisationnelles (TOMs) sont mises en place afin de garantir la sécurité des données. Ces mesures sont conformes aux standards exigés par le RGPD.

Vous pouvez télécharger ici un Aperçu de nos TOMs :
Download TOMs

Pour la mise en œuvre de nos produits, nous faisons appel, en tant que sous‑traitant, au prestataire de cloud‑hosting Amazon Web Services (AWS) et, pour la reconnaissance de texte (OCR) sur les cartes de visite, au service Cloud Vision de Google.

Vous trouverez une liste complète des sous‑traitants dans notre accord pour le traitement des données :

Download accord pour le traitement des données

L’utilisation des logiciels snapAddy ne modifie pas fondamentalement vos règles et processus existants relatifs à la création de nouveaux contacts ou leads dans votre système CRM ou d’autres systèmes. Seule la création jusqu’ici manuelle d’un nouveau contact est en partie automatisée.

Vos collaborateurs et utilisateurs du CRM doivent, lors de l’utilisation du logiciel, respecter le droit applicable et, le cas échéant, recueillir les consentements des personnes concernées.

Par exemple, si une relation d’affaires est en cours d’initiation et que vos collaborateurs créent un lead dans le système CRM sur la base de l’intérêt légitime, cette étape manuelle licite est simplement automatisée par snapAddy. Si vos collaborateurs enregistraient en grand nombre des donées de contact dans le CRM sans le consentement des personnes concernées, cette action ne serait pas conforme au RGPD, indépendamment du fait que le logiciel snapAddy soit utilisé ou non.

La génération de propositions de mise à jour de contacts sur la base de sources accessibles à votre organisation ou publiques (cartes de visite, Signatures d’e‑mail, réseaux professionnels) contribue par ailleurs de manière positive aux principes du RGPD, notamment au principe d’exactitude des données stockées.

Étant donné que les solutions snapAddy permettent de traiter des données à caractère personnel, vous devez conclure avec snapAddy un accord pour le traitement des données (accord de sous‑traitance) conformément à l’article 28 du RGPD.

Cet accord définit l’ensemble des droits et obligations essentiels pour vous en tant que responsable du traitement et pour nous en tant que sous‑traitant. Veuillez utiliser notre modèle de contrat, que vous pouvez nous retourner signé à l’adresse legal@snapaddy.com.

Download accord pour le traitement des données

Accord de sous‑traitance individuel

Si vous avez élaboré vos propres formulaires pour le traitement des données et souhaitez qu’ils soient examinés et complétés par nos soins, cela est également possible. Toutefois, nous devrons vous facturer les coûts liés à l’examen juridique de vos documents.

En cas de transfert de données vers un pays tiers, des mesures complètes en matière de protection des données doivent être mises en œuvre, par exemple la conclusion de clauses contractuelles types et la réalisation d’une analyse d’impact relative au transfert de données afin de vérifier si le traitement des données dans le pays tiers est licite. Pour le traitement des données aux États‑Unis, il existe la décision d’adéquation « Data Privacy Framework », applicable dès lors qu’un prestataire est certifié dans ce cadre. Chez snapAddy, nous recourons au prestataire d’hébergement Amazon Web Services (AWS) pour le stockage des données. Toutes les données sont traitées dans un centre de données situé à Francfort‑sur‑le‑Main et ne quittent donc pas l’Union européenne.

Les solutions snapAddy ne créent pas de copie des données de votre système CRM, mais reposent sur des interfaces bidirectionnelles qui récupèrent, en temps réel, les informations nécessaires à l’action concernée à partir de votre système CRM. Cela inclut, par exemple, la vérification automatique des doublons, qui recherche, lors de son exécution, d’éventuels doublons d’un contact dans votre CRM.

Nous avons mandaté la société SiDIT GmbH comme délégué externe à la protection des données. Vous pouvez contacter ce délégué à la protection des données aux coordonnées suivantes :

SiDIT GmbH
Tél. : +49 931 78 08 770
E‑mail : legal@snapaddy.com

Oui, pour une partie de nos offres. Le règlement européen sur l’IA (AI Act) s’applique en principe également à une petite partie des produits de snapAddy. Conformément à ce règlement, nous intervenons exclusivement en tant qu’exploitant (deployer) de services d’IA tiers intégrés de manière sécurisée ; nous ne mettons pas sur le marché nos propres systèmes d’IA en tant que fournisseur. Nos fonctionnalités ne relèvent pas non plus des domaines interdits ou à haut risque. Nous signalons clairement les fonctionnalités d’IA, nous n’utilisons pas de données clients pour l’entraînement de modèles et nous satisfaisons aux exigences applicables aux exploitants. Vous trouverez des précisions dans notre note d’information.

Download EU AI Act & die Nutzung von snapAddy