Nous avons conçu MCPEmails en faisant de la confidentialité un principe fondamental. Le contenu des e-mails que votre agent lit n'est jamais stocké sur nos serveurs ; il transite vers votre agent puis disparaît. La seule exception est un message que vous programmez pour un envoi ultérieur, que nous conservons uniquement jusqu'à sa remise. Cette politique explique ce que nous collectons réellement, et pourquoi.
Dernière mise à jour : June 3, 2026 · Entrée en vigueur : May 25, 2026
MCPEmails (« MCPEmails », « nous » ou « notre ») exploite le service MCPEmails disponible à l'adresse mcpemails.com, y compris toutes les pages du tableau de bord, les points de terminaison de l'API et le serveur Model Context Protocol (MCP) que les agents IA utilisent pour accéder aux comptes de messagerie connectés.
Aux fins de la législation applicable en matière de protection des données (y compris le Règlement général sur la protection des données de l'UE, le « RGPD »), MCPEmails est le responsable du traitement des données de compte et d'utilisation. Concernant le contenu des e-mails, nous agissons en tant que sous-traitant pour votre compte : nous transmettons le contenu que vous nous autorisez à récupérer, et nous ne le stockons pas.
Notre adresse enregistrée est : Oslo, Norway. Vous pouvez joindre notre équipe chargée de la confidentialité à l'adresse privacy@mcpemails.com.
Lorsque vous créez un compte, nous collectons votre adresse e-mail et un mot de passe haché (nous ne stockons jamais de mots de passe en clair). Vous pouvez éventuellement fournir un nom d'affichage. Ces données sont nécessaires pour créer et gérer votre compte.
Nous stockons le nom d'espace de travail que vous choisissez, ainsi que la configuration de chaque boîte de réception connectée (type de fournisseur, adresse e-mail, statut OAuth et horodatage de connexion). Nous ne stockons pas les jetons d'accès OAuth ni les mots de passe d'application en clair. Ils sont chiffrés avec AES-256-GCM avant d'être écrits dans la base de données, et la clé de chiffrement est conservée dans un coffre-fort de secrets distinct.
Nous stockons un hachage SHA-256 de chaque clé d'API que vous créez, ainsi que le nom de la clé, ses portées, son horodatage de création et son horodatage de dernière utilisation. La valeur brute de la clé vous est affichée une seule fois, au moment de sa création, et n'est jamais stockée sous une forme récupérable.
Pour chaque appel d'outil MCP effectué par votre agent, nous enregistrons : le nom de l'outil (par ex. email_read), la clé d'API ayant effectué l'appel, la boîte de réception consultée, l'horodatage et la réussite ou non de l'appel. Nous n'enregistrons pas les objets, corps, destinataires ou tout autre contenu d'e-mail dans ces journaux.
Lorsque votre agent appelle email_read (pour lister, lire ou rechercher) ou tout autre outil de lecture, nous récupérons le contenu demandé en direct auprès de votre fournisseur de messagerie et le renvoyons à votre agent dans la même réponse HTTP. Ce contenu n'est jamais écrit sur disque, mis en cache ni journalisé. Une fois la réponse HTTP envoyée, nous ne conservons aucune copie d'un quelconque corps d'e-mail, objet, pièce jointe ou coordonnée de contact. La seule exception concerne les envois programmés : lorsque vous demandez à votre agent de programmer un message pour une remise ultérieure, nous stockons ce message sortant — ses destinataires, son objet, son corps et toute pièce jointe — dans notre base de données jusqu'à son envoi, puis nous en conservons la trace à des fins d'audit et de dépannage. Cela ne s'applique qu'aux messages que vous programmez explicitement ; le courrier que votre agent lit ou envoie immédiatement n'est jamais stocké.
Le contenu de vos e-mails n'est transmis qu'au client MCP ou à l'agent IA que vous avez connecté et que vous utilisez (par exemple Claude, Cursor ou un autre client MCP de votre choix). Lorsque vous invoquez un outil, MCPEmails transmet le contenu demandé à ce client afin qu'il puisse répondre à votre demande. MCPEmails ne transmet pas le contenu de vos e-mails à un fournisseur d'IA qu'il choisirait lui-même. Une fois le contenu parvenu au client que vous avez choisi, il est régi par la politique de confidentialité et les conditions propres à ce client ou à ce fournisseur d'IA, qu'il vous appartient de consulter. MCPEmails agit uniquement comme intermédiaire et ne conserve aucune copie du contenu.
Nous collectons des données opérationnelles standard côté serveur, notamment les adresses IP (pour la limitation du débit et la prévention des abus), les horodatages des requêtes, les codes de statut HTTP et les types d'erreurs. Ces données sont conservées sous une forme agrégée et anonymisée et ne sont plus liées à des comptes individuels au-delà de 30 jours.
Le tableau de bord dépose un cookie de session propriétaire émis par Supabase Auth pour vous maintenir connecté. Nous n'utilisons pas de cookies de suivi, de cookies publicitaires ni aucun cookie tiers. Nous stockons une unique préférence de thème (mcpe-theme) dans le stockage local de votre navigateur.
Nous utilisons les données décrites ci-dessus aux fins suivantes :
Nous utilisons vos données de compte pour vous authentifier, la configuration de votre espace de travail pour acheminer les appels d'outils MCP vers le bon fournisseur de messagerie, et vos clés d'API pour autoriser les requêtes des agents. Sans ces données, le service ne peut pas fonctionner. La base légale au titre du RGPD est l’exécution d'un contrat.
Nous utilisons les adresses IP, les débits de requêtes et les schémas d'erreurs pour détecter et bloquer les activités abusives, appliquer des limites de débit et protéger la disponibilité du service pour tous les utilisateurs. La base légale réside dans nos intérêts légitimes à exploiter un service sécurisé.
Nous utilisons des données d'utilisation agrégées et anonymisées (nombre d'appels d'outils, taux d'erreur, latence) pour comprendre comment le service est utilisé et hiérarchiser les améliorations. Nous n'utilisons pas de données d'utilisation au niveau individuel à cette fin. La base légale réside dans nos intérêts légitimes à améliorer le service.
Nous utilisons les compteurs d'utilisation pour déterminer si votre espace de travail a atteint les limites du plan et pour calculer votre facture sur les plans payants. La base légale est l’exécution d'un contrat.
Nous pouvons traiter et divulguer des données lorsque la loi applicable, une décision de justice ou une autorité réglementaire l'exige. La base légale est le respect d'une obligation légale.
L'utilisation et le transfert par MCPEmails vers toute autre application des informations reçues des API Google (y compris l'API Gmail) respecteront la politique de Google relative aux données utilisateur des services d'API, y compris les exigences d’usage limité.
Lorsque vous connectez un compte Gmail, vous accordez à MCPEmails les portées Gmail suivantes. Nous demandons chaque portée uniquement pour fournir les fonctionnalités que vous invoquez via votre agent IA, et nous les utilisons uniquement pour votre compte :
gmail.readonly : lister les messages et lire le contenu des messages afin que votre agent puisse rechercher, lire et résumer des e-mails à votre demande.gmail.send : composer et envoyer des messages que votre agent crée à votre demande.gmail.modify : organiser votre messagerie selon vos instructions, notamment appliquer et retirer des libellés, marquer des messages comme lus ou non lus, archiver des messages, déplacer des messages entre dossiers et placer des messages à la corbeille.Conformément aux exigences d'usage limité, MCPEmails :
Comme décrit à la section 2.5, le contenu d'e-mail récupéré via l'API Gmail est acheminé vers votre agent dans la même requête et n'est jamais stocké, mis en cache ni journalisé par MCPEmails.
Nous conservons chaque catégorie de données pendant les durées suivantes :
| Catégorie de données | Durée de conservation | Motif |
|---|---|---|
| Données de compte (e-mail, nom d'affichage) | Jusqu'à la suppression du compte, plus 30 jours | Fonctionnement du service ; délai de récupération |
| Configuration de l'espace de travail et des boîtes de réception | Jusqu'à suppression par vos soins, plus 30 jours | Fonctionnement du service ; délai de récupération |
| Jetons OAuth chiffrés / mots de passe d'application | Jusqu'à la déconnexion de la boîte de réception ou la suppression du compte | Nécessaires pour authentifier les appels à l'API du fournisseur |
| Hachages des clés d'API | Jusqu'à révocation, plus 30 jours | Piste d'audit ; délai de récupération |
| Journaux d'audit des appels d'outils MCP | 7 jours (Gratuit) ; 90 jours (Solo) ; 1 an (Team) | Audit de sécurité ; fonctionnalité du plan |
| Métriques d'utilisation agrégées | 2 ans | Historique de facturation ; analyse produit |
| Journaux opérationnels du serveur (IP, statut) | 30 jours bruts ; agrégat anonymisé conservé | Prévention des abus ; disponibilité |
| Contenu des e-mails (lu ou envoyé immédiatement) | Non stocké ; conservation nulle | Confidentialité dès la conception |
| Messages d'envoi programmé | Jusqu'à l'envoi ; trace conservée ensuite à des fins d'audit | Nécessaire pour remettre les messages que vous programmez |
Lorsque vous supprimez votre compte, nous engageons la suppression de toutes les données personnelles dans un délai de 30 jours. Les statistiques d'utilisation agrégées et non personnelles dérivées de votre compte peuvent être conservées au-delà de cette période sous forme anonymisée.
Nous faisons appel aux sous-traitants ultérieurs suivants pour exploiter le service. Chacun est lié par un accord de traitement des données et ne traite les données que sur nos instructions :
| Fournisseur | Finalité | Données traitées | Localisation |
|---|---|---|---|
| Supabase | Base de données, authentification, fonctions edge | Données de compte, configuration d'espace de travail, journaux d'audit | UE (Francfort) ou États-Unis (Virginie) ; vous choisissez à l'inscription |
| Vercel | Hébergement web, CDN | Métadonnées des requêtes HTTP ; aucun contenu d'e-mail | Edge mondial (région la plus proche de l'utilisateur) |
| Stripe (plans payants uniquement) | Traitement des paiements | E-mail de facturation, données de carte de paiement (stockées par Stripe, pas par nous) | États-Unis (Stripe est certifié PCI-DSS) |
Lorsque vous connectez un compte Gmail, Fastmail ou un autre compte IMAP, MCPEmails s'authentifie auprès de ce fournisseur à l'aide des identifiants que vous fournissez. La politique de confidentialité propre à votre fournisseur de messagerie régit les données conservées dans votre boîte aux lettres. MCPEmails accède à votre boîte aux lettres uniquement lorsque votre agent effectue un appel d'outil, et uniquement pour les messages ou dossiers spécifiques que l'outil demande.
Nous ne partageons aucune donnée avec des courtiers en données, des réseaux publicitaires, des plateformes de réseaux sociaux ou des sociétés d'analyse qui établissent des profils d'utilisateurs.
Nous pouvons divulguer des données personnelles si la loi l'exige, dans le cadre d'une procédure légale valide (telle qu'une décision de justice ou une assignation), ou pour protéger les droits, les biens ou la sécurité de MCPEmails, de nos utilisateurs ou du public. Lorsque la loi le permet, nous informerons les utilisateurs concernés avant de divulguer leurs données.
En cas de fusion, d'acquisition ou de cession d'actifs, les données personnelles peuvent être transférées dans le cadre de cette opération. Nous informerons les utilisateurs via l'adresse e-mail figurant sur leur compte avant qu'un tel transfert n'ait lieu et avant que leurs données ne soient soumises à une politique de confidentialité différente.
MCPEmails est exploité depuis la Norvège, qui est soumise au cadre de protection des données de l'Espace économique européen (EEE). Si vous accédez au service depuis l'extérieur de l'EEE, vos données peuvent être transférées et traitées dans des pays situés au sein de l'EEE.
Nos sous-traitants d'infrastructure (Supabase, Vercel) opèrent dans le cadre de clauses contractuelles types (CCT) approuvées par la Commission européenne pour les transferts de données vers des pays tiers. Pour Stripe, le traitement est couvert par leur certification au titre du cadre de protection des données UE-États-Unis (EU-US Data Privacy Framework).
Les clients entreprise peuvent choisir de stocker toutes les données de compte et de configuration exclusivement dans une infrastructure basée dans l'UE (région de Francfort), sans frais supplémentaires.
Selon votre localisation, vous pouvez disposer des droits suivants concernant vos données personnelles :
Pour exercer l'un de ces droits, écrivez-nous à l'adresse privacy@mcpemails.com. Nous répondrons dans un délai de 30 jours (ou de 72 heures pour les demandes urgentes liées à la sécurité). Nous pouvons vous demander de vérifier votre identité avant de traiter la demande.
Si vous êtes situé dans l'EEE ou au Royaume-Uni, vous avez le droit d'introduire une réclamation auprès de votre autorité de contrôle locale. En Norvège, il s'agit du Datatilsynet (datatilsynet.no).
Nous prenons la sécurité de vos données au sérieux et mettons en œuvre des mesures techniques et organisationnelles appropriées, notamment :
Malgré ces mesures, aucun système n'est parfaitement sécurisé. Si vous découvrez une vulnérabilité de sécurité, veuillez la signaler de manière responsable à security@mcpemails.com. Nous nous efforçons d'accuser réception des signalements dans un délai de 24 heures et de corriger les vulnérabilités confirmées dans un délai de 72 heures pour les problèmes critiques.
En cas de violation de données personnelles susceptible d'entraîner un risque pour vos droits et libertés, nous informerons les utilisateurs concernés et l'autorité de contrôle compétente dans un délai de 72 heures après en avoir pris connaissance, comme l'exige l'article 33 du RGPD.
MCPEmails ne s'adresse pas aux enfants de moins de 16 ans. Nous ne collectons pas sciemment de données personnelles auprès de toute personne de moins de 16 ans. Si vous pensez que nous avons collecté par inadvertance des données auprès d'un enfant, veuillez nous contacter à l'adresse privacy@mcpemails.com et nous les supprimerons rapidement.
Nous pouvons mettre à jour la présente politique de confidentialité de temps à autre. Lorsque nous apportons des modifications substantielles (telles que la collecte de nouvelles catégories de données ou le partage de données avec de nouveaux tiers), nous :
Votre utilisation continue du service après l'entrée en vigueur d'une modification vaut acceptation de la politique mise à jour. Si vous n'êtes pas d'accord avec une modification substantielle, vous pouvez supprimer votre compte avant la date d'entrée en vigueur.
Si vous avez des questions sur la présente politique de confidentialité, souhaitez exercer un droit en tant que personne concernée ou souhaitez signaler une préoccupation relative à la confidentialité, veuillez nous contacter :
Notre équipe chargée de la confidentialité est là pour vous aider. Écrivez-nous et nous répondrons dans un délai de 30 jours.