Politique de confidentialité
Dernière mise à jour : 26 juin 2026
1. Introduction et identification
NexTool Soluções em TI LTDA, immatriculée au CNPJ sous le nº 38.239.534/0001-48 (« NexTool », « NexTool Solutions », « nous » ou « notre »), responsable du domaine nextoolsolutions.com et des services qui y sont associés, respecte la vie privée des personnes concernées et s'engage à protéger les données personnelles qu'elle traite, conformément à la Loi nº 13.709/2018 (Loi générale brésilienne sur la protection des données personnelles - LGPD).
La présente Politique de confidentialité décrit la manière dont nous traitons les données personnelles dans les trois volets de notre écosystème :
- Site institutionnel (nextoolsolutions.com) : pages informatives, blog, formulaire de contact et newsletter ;
- Portail clients (app.nextoolsolutions.com) : inscription, authentification, gestion de compte, souscription, paiement et licence des modules ;
- Plugin NexTool pour GLPI et ses modules : logiciel installé sur l'infrastructure du client, comprenant des fonctionnalités d'intelligence artificielle, de messagerie et d'intégrations avec des services externes.
En utilisant l'un de ces volets, vous déclarez avoir pris connaissance de la présente Politique. Nous vous recommandons d'en faire une lecture intégrale. En cas de doute, utilisez le canal du Délégué indiqué à la section 14.
2. Rôles dans le traitement : Responsable du traitement et Sous-traitant
La LGPD distingue le Responsable du traitement (à qui incombent les décisions relatives au traitement - Art. 5º, VI) du Sous-traitant (qui traite les données pour le compte du Responsable - Art. 5º, VII). Dans notre écosystème, NexTool intervient dans les deux rôles, selon le volet :
| Volet | Rôle de NexTool | Responsable des données |
|---|---|---|
| Site institutionnel | Responsable du traitement | NexTool |
| Portail clients (compte, paiement, licence) | Responsable du traitement | NexTool |
| Plugin et modules s'exécutant au sein du GLPI du client | Sous-traitant | Le client (organisation qui exploite l'instance GLPI) |
Ce que cela signifie en pratique : lorsque vous naviguez sur notre site ou créez un compte sur le Portail, NexTool décide des finalités et des moyens du traitement et est votre interlocuteur direct. En revanche, les données qui résident au sein de l'instance GLPI du client (utilisateurs, tickets, pièces jointes) appartiennent au client, qui est le Responsable du traitement ; dans ces cas, NexTool agit en qualité de Sous-traitant, traitant les données pour le compte et sur instruction du client, conformément au contrat et aux instructions. Si vous êtes collaborateur d'une organisation cliente et souhaitez exercer des droits sur des données traitées au sein de son GLPI, votre demande doit d'abord être adressée à votre organisation (Responsable du traitement) ; NexTool apportera son soutien en qualité de Sous-traitant.
3. Données que nous traitons, par volet
3.1 Site institutionnel (NexTool en tant que Responsable du traitement)
- Données du formulaire de contact : nom, e-mail, téléphone, objet et contenu du message (texte libre, susceptible de contenir d'autres données que vous décidez de communiquer).
- Newsletter : adresse e-mail et date d'inscription, lorsque vous choisissez de la recevoir.
- Données techniques de navigation : adresse IP, User-Agent (navigateur et système d'exploitation), pages consultées, date et heure, statut et temps de réponse.
- Mesure d'audience du blog : identifiants de consultation pour le décompte des accès par publication. Lorsque nous utilisons l'adresse IP à cette fin, elle est anonymisée/traitée de manière à ne pas permettre l'identification directe du visiteur.
- Commentaires du blog : lorsque vous commentez via le système de commentaires intégré (GitHub Discussions/giscus), votre identifiant de connexion, votre avatar et le contenu du commentaire sont traités directement par la plateforme GitHub.
- Données de mesure et de publicité : identifiants et cookies de mesure (Google Analytics) et de publicité (Google AdSense), chargés uniquement après votre consentement (voir section 6).
3.2 Portail clients (NexTool en tant que Responsable du traitement)
- Données de compte et de contact : nom, e-mail, téléphone (et indication s'il s'agit d'un numéro WhatsApp), entreprise, fonction et photo de profil (lorsqu'elle est fournie).
- Données fiscales : CPF et/ou CNPJ et, le cas échéant, date de naissance, demandés au moment de la souscription/du paiement pour l'émission de la facturation et le respect des obligations fiscales.
- Identifiants et secrets d'authentification : mot de passe (stocké sous forme chiffrée), jetons « se souvenir de moi » et secrets d'authentification à deux facteurs (2FA/MFA). Ces données sont conservées chiffrées et ne sont pas accessibles en clair par notre équipe.
- Identité de connexion sociale (lorsque vous utilisez le SSO) : lorsque vous vous connectez avec Google, GitHub, Microsoft ou LinkedIn, nous recevons du fournisseur votre nom, votre e-mail et un identifiant du compte.
- Données de paiement : le traitement de la carte est effectué par Stripe. Nous ne stockons pas le numéro complet de la carte ; nous conservons uniquement un miroir minimal (identifiant du client chez Stripe, réseau de la carte et les quatre derniers chiffres) ainsi que les données de l'abonnement.
- Données de licence : clé et statut de la licence, plan, modules activés, lien entre votre compte et l'environnement GLPI auquel la licence s'applique, et historique des transactions.
- Données de session, d'appareil et d'audit : adresse IP, User-Agent, journaux d'accès et piste d'audit des actions pertinentes (ex. : connexion, association d'environnement, modification de licence).
- Préférences et communication : préférences d'affichage et option (opt-in) de réception de communications et d'actualités.
3.3 Plugin NexTool et modules (NexTool en tant que Sous-traitant)
Le plugin NexTool et ses modules s'exécutent au sein de l'instance GLPI du client, sur des données qui appartiennent au client (utilisateurs, tickets, pièces jointes). Dans ces traitements, NexTool agit en qualité de Sous-traitant. Les catégories de données concernées dépendent des modules activés par le client et comprennent :
- Identification des utilisateurs de GLPI (nom, e-mail, identifiant de connexion) des techniciens, agents et demandeurs ;
- Contenu des tickets ITIL (descriptions, suivis, tâches, solutions et pièces jointes), pouvant contenir des données personnelles de tiers communiquées par le demandeur ;
- Identité professionnelle via Microsoft Teams/Azure AD (nom, e-mail professionnel, identifiant du compte et tenant) et contenu des messages, lorsque le client active l'assistant de service via Teams ;
- Téléphone/WhatsApp, identifiant Telegram et contenu des messages, lorsque les modules de messagerie sont activés ;
- Géolocalisation (coordonnées), capturée uniquement sous réserve de l'autorisation explicite de l'utilisateur dans le navigateur, lorsque le module de géolocalisation est activé ;
- Données du signataire (nom, e-mail, CPF, document et téléphone pour validation) lorsque le module de signature électronique est activé ;
- Données du demandeur/approbateur dans les intégrations d'achat B2B ;
- Données des tickets synchronisés entre instances GLPI, lorsque la synchronisation est activée.
En outre, afin de permettre la gestion de licence (relation dans laquelle NexTool est Responsable du traitement), le plugin communique avec notre infrastructure (ContainerAPI) en transmettant des données techniques de l'installation, telles qu'un identifiant de l'environnement, le domaine de l'instance et des compteurs de validation de licence. Ces données sont destinées au contrôle de licence, à la distribution des modules et à la prévention de la fraude.
4. Finalités du traitement
Nous traitons les données personnelles aux fins suivantes, selon le volet :
- Site : répondre aux demandes de contact (avec ouverture d'un ticket dans notre GLPI), mener des diligences précontractuelles et commerciales, envoyer la newsletter sous réserve de consentement, garantir la sécurité et prévenir la fraude/l'abus, mesurer l'audience (sous réserve de consentement) et permettre les commentaires sur le blog.
- Portail : créer et gérer le compte, authentifier l'accès (y compris le 2FA et la connexion sociale), traiter la souscription et le paiement, émettre et gérer les licences, associer le compte à l'environnement GLPI, fournir une assistance, respecter les obligations fiscales et légales, prévenir la fraude et tenir une piste d'audit.
- Plugin/modules : exécuter les fonctionnalités souscrites par le client (assistance par IA, messagerie, signature électronique, synchronisation, géolocalisation, etc.) pour le compte et sur instruction du client Responsable du traitement, et assurer le contrôle de licence.
5. Bases légales
Le traitement se fonde sur les bases légales de la LGPD applicables à chaque finalité :
- Exécution du contrat et diligences précontractuelles (Art. 7º, V) : compte, authentification, souscription, paiement, gestion de licence et association d'environnement ; traitement du contact commercial ; exécution des modules pour le compte du client.
- Respect d'une obligation légale ou réglementaire (Art. 7º, II) : données fiscales (CPF/CNPJ, transactions) et conservation des journaux d'accès aux applications, conformément au Marco Civil da Internet (Loi nº 12.965/2014).
- Intérêt légitime (Art. 7º, IX) : sécurité de l'information, prévention de la fraude, audit, télémétrie d'utilisation et statistiques, toujours sous réserve d'une évaluation de proportionnalité et dans le respect de vos attentes et de vos droits.
- Consentement (Art. 7º, I, et Art. 8º) : newsletter et communications marketing, cookies de mesure et de publicité, capture de la géolocalisation et traitements spécifiques qui l'exigent. Le consentement peut être révoqué à tout moment.
Lorsque NexTool agit en qualité de Sous-traitant (plugin/modules), la base légale est définie par le client Responsable du traitement ; NexTool traite les données conformément aux instructions et au contrat.
6. Cookies et technologies de suivi
Nous utilisons des cookies et des technologies similaires classés par catégorie. Les cookies non essentiels (mesure et publicité) sont chargés uniquement après votre consentement, exprimé dans le bandeau de consentement, qui permet d'accepter ou de refuser par catégorie et de modifier votre choix à tout moment.
Site institutionnel :
| Cookie/technologie | Catégorie | Finalité |
|---|---|---|
| Préférence de thème (localStorage) | Nécessaire | Mémoriser le mode clair/sombre ; ne quitte pas le navigateur |
| cookie_consent | Nécessaire | Enregistrer vos préférences de consentement |
| Cloudflare Turnstile | Fonctionnel | CAPTCHA du formulaire de contact |
| Cloudflare (CDN/sécurité) | Nécessaire | Distribution et protection du site |
| giscus (GitHub) | Fonctionnel | Commentaires du blog (connexion gérée par GitHub) |
| Google Analytics (_ga, _ga_*) | Mesure | Mesure d'audience - chargé uniquement après consentement |
| Google AdSense (__gads, __gpi etc.) | Publicité | Publicités et profilage - chargé uniquement après consentement |
Portail clients : utilise des cookies strictement nécessaires à son fonctionnement (session authentifiée, protection CSRF, « se souvenir de moi » et état du flux de connexion sociale). Étant essentiels à la fourniture du service, ils ne requièrent pas de consentement, mais sont répertoriés ici par souci de transparence.
7. Traitement automatisé et Intelligence artificielle
Certains modules du plugin offrent des fonctionnalités fondées sur l'intelligence artificielle (par exemple, résumé de tickets, suggestion de réponse, analyse de sentiment, recherche sémantique et traduction) ainsi que des assistants de service automatisés (chatbots sur Teams, WhatsApp et Telegram).
- Ces fonctionnalités traitent le contenu des tickets afin de générer l'assistance demandée, mais ne prennent pas de décisions automatisées produisant des effets juridiques ou affectant de manière significative la personne concernée (Art. 20 de la LGPD) ; le service est assuré par une équipe humaine, et vous pouvez demander un réexamen humain.
- Dans plusieurs modules, le modèle BYOK (« apportez votre propre clé ») est adopté : le fournisseur d'IA est souscrit et configuré par le client lui-même, qui détermine vers quel service le contenu est envoyé.
- Lorsque ces fonctionnalités transmettent des données à des fournisseurs externes, les sections 8 (sous-traitants ultérieurs) et 9 (transfert international) s'appliquent.
8. Partage, sous-traitants et sous-traitants ultérieurs
Nous ne vendons pas vos données personnelles. Nous ne partageons les données qu'avec les sous-traitants et partenaires nécessaires à la fourniture des services, dans les limites des finalités de la présente Politique. Les principaux sont :
| Partenaire | Fonction | Volet |
|---|---|---|
| Cloudflare | CDN, sécurité, CAPTCHA | Site |
| Google Analytics | Mesure d'audience (après consentement) | Site |
| Google AdSense | Publicité (après consentement) | Site |
| GitHub (giscus) | Commentaires du blog | Site |
| Google / GitHub / Microsoft / LinkedIn | Connexion sociale (SSO) | Portail |
| Stripe | Traitement des paiements et des abonnements | Portail |
| Brevo | Envoi d'e-mails transactionnels (vérification, réinitialisation de mot de passe) | Portail |
| Hostinger | Hébergement de l'infrastructure | Portail/infra |
| OpenAI, Google, Anthropic | Fournisseurs d'IA (résumé, réponse, traduction, embeddings) | Modules |
| NexSuite (api-chat) | Orchestration de l'assistant de chat | Modules |
| Microsoft 365/Teams | Canal et identité de l'assistant via Teams | Modules |
| WhatsApp/Meta, Telegram | Messagerie | Modules |
| DeepL, Google Translate | Traduction | Modules |
| Mercado Eletrônico | Demandes d'achat B2B | Modules |
| Autentique | Signature électronique | Modules |
| Fournisseurs de géocodage | Conversion de coordonnées en adresse | Modules |
La liste détaillée et à jour des sous-traitants peut être demandée au Délégué (section 14). Dans les traitements où NexTool est Sous-traitant, les partenaires ci-dessus agissent en qualité de sous-traitants ultérieurs, et le partage a lieu pour le compte et sur instruction du client Responsable du traitement.
9. Transfert international de données
Certains sous-traitants et partenaires sont situés ou traitent des données en dehors du Brésil (par exemple, aux États-Unis et dans l'Union européenne), parmi lesquels Google, Microsoft, Stripe, Brevo, OpenAI, Anthropic, DeepL, Meta, Telegram et des fournisseurs de géocodage. Le backend d'orchestration de chat (NexSuite) peut également traiter des données en dehors du Brésil. Dans ces cas, le transfert international respecte les dispositions des Arts. 33 à 36 de la LGPD, moyennant des garanties d'un niveau adéquat de protection, telles que des clauses contractuelles types et les engagements de confidentialité des fournisseurs eux-mêmes.
L'infrastructure exploitée par NexTool elle-même est maintenue au Brésil, sans transfert de ces données à des tiers à des fins propres : l'instance GLPI du site, l'infrastructure de gestion de licence (ContainerAPI) et la passerelle de messagerie WhatsApp. Les modules de signature électronique (Autentique) et d'achat B2B (Mercado Eletrônico) sont fournis par des entreprises brésiliennes ; dans la mesure où un traitement quelconque a lieu en dehors du Brésil, le régime de transfert international ci-dessus s'applique également.
10. Conservation et suppression
Nous ne conservons les données personnelles que pendant la durée nécessaire aux finalités pour lesquelles elles ont été collectées, dans le respect des délais légaux. Critères par catégorie :
| Catégorie | Critère de conservation |
|---|---|
| Contact/ticket (site) | Pendant la durée du traitement et pour le délai de conservation contractuel/légal applicable |
| Newsletter | Jusqu'à la révocation du consentement (désabonnement), possible à tout moment |
| Journaux d'accès | Pour le délai de sécurité/diagnostic, dans le respect du minimum légal du Marco Civil |
| Statistiques d'audience | Pour une période limitée, de manière agrégée/anonymisée |
| Compte et licence (portail) | Pendant la durée de la relation contractuelle et pour les délais légaux ultérieurs |
| Données fiscales et transactions | Pour les délais exigés par la législation fiscale/comptable |
| Piste d'audit | Pour une période compatible avec les finalités de sécurité et de preuve |
À l'expiration des délais, les données sont supprimées ou anonymisées, sauf hypothèses de conservation obligatoire (Art. 16 de la LGPD).
11. Droits de la personne concernée
Conformément à l'Art. 18 de la LGPD, vous pouvez, à tout moment :
- confirmer l'existence d'un traitement et accéder à vos données ;
- corriger des données incomplètes, inexactes ou obsolètes ;
- demander l'anonymisation, le blocage ou la suppression de données inutiles, excessives ou traitées en violation des règles ;
- demander la portabilité des données ;
- demander la suppression des données traitées sur la base du consentement ;
- obtenir des informations sur le partage de vos données ;
- révoquer le consentement ;
- vous opposer à un traitement réalisé sur la base de l'intérêt légitime.
Sur le Portail, nous mettons à disposition des moyens de mise à jour des données de compte et de demande de suppression/anonymisation du compte, sous réserve des données que nous devons conserver en vertu d'une obligation légale (ex. : registres fiscaux).
Pour les données traitées au sein du GLPI du client (où NexTool est Sous-traitant), adressez votre demande à l'organisation Responsable du traitement ; NexTool apportera son soutien au traitement de la demande.
Pour exercer vos droits, utilisez le canal du Délégué (section 14).
12. Sécurité de l'information
Nous adoptons des mesures techniques et organisationnelles pour protéger les données, notamment : connexion HTTPS/TLS ; stockage avec chiffrement et contrôles d'accès ; authentification à deux facteurs et secrets chiffrés sur le Portail ; isolement par instance et par base de données de chaque client ; communication signée (HMAC) entre composants ; principe du moindre privilège ; et journaux d'audit. Les accès administratifs aux données des clients (y compris la fonctionnalité de consultation assistée de compte sur le Portail) sont contrôlés et audités.
13. Gestion des incidents
Nous maintenons des processus de détection, de réponse et de confinement des incidents de sécurité. En cas d'incident susceptible d'entraîner un risque ou un dommage important pour les personnes concernées, nous en informerons l'Autorité nationale de protection des données (ANPD) ainsi que les personnes concernées affectées, conformément à l'Art. 48 de la LGPD. Lorsque nous agissons en qualité de Sous-traitant, nous informerons le client Responsable du traitement afin qu'il puisse remplir ses obligations.
14. Délégué à la protection des données (DPO)
NexTool met à disposition un canal de contact avec son Délégué pour tout éclaircissement sur la présente Politique et pour l'exercice des droits :
- Délégué : Richard Loureiro Leite
- E-mail : privacidade@nextoolsolutions.com
15. Modifications de la présente Politique
Nous pouvons mettre à jour la présente Politique à tout moment. En cas de modifications substantielles, nous réviserons la date de « dernière mise à jour » en tête de page et, le cas échéant, nous vous en informerons par les canaux disponibles. La poursuite de l'utilisation après l'entrée en vigueur des modifications vaut prise de connaissance de la version mise à jour.
16. Contact et for compétent
Pour toute question relative à la présente Politique, contactez-nous à privacidade@nextoolsolutions.com. La présente Politique est régie par la législation brésilienne. Le for de la Comarca de São João del-Rei/MG est désigné pour trancher tout litige, avec renonciation à tout autre.