Privacy Policy

Privacy, handled carefully.

Last updated: 6 June 2026 · Effective: 1 January 2026

This Privacy Policy explains how OutSends ("OutSends", "we", "us") collects, uses, shares, and protects information when you visit outsends.com ("Site") or use the OutSends web app and browser extension ("Service"). It is written to be readable; the operative terms remain controlling.

Contents

  1. Our role & your role
  2. What we collect
  3. Why we use it
  4. Google API Limited Use
  5. Legal bases (GDPR)
  6. Sharing & sub-processors
  7. International transfers
  8. Retention
  9. Your rights
  10. Security
  11. Children
  12. Changes
  13. Contact us

1. Our role & your role

OutSends acts as a data controller for the personal data we collect about visitors, account holders, and prospects (e.g. account email, billing details, marketing site analytics).

When you use the Service to send outbound email to your own contacts, OutSends acts as a data processor on your behalf for that recipient data. You remain the controller of your contact lists, sender content, and engagement records, and you are responsible for the lawful basis on which you contact recipients.

2. What we collect

2.1 Account & billing data

  • Identifiers: name, first name, last name, work email, workspace name, password hash.
  • Email/password account data: first name, last name, email address, password hash, password hash algorithm, password update timestamp, failed login counts, lockout state, email verification status, hashed email verification tokens, hashed password reset tokens, issued IP, user-agent, expiry and used timestamps. We never store plaintext passwords.
  • Billing: company name, billing address, VAT number, last 4 digits of payment card (handled by our payment processor — full card numbers never reach our servers).
  • Authentication: login IP, login timestamps, session metadata.

2.2 Customer content (you control)

  • Contact lists you import (name, email, custom fields, tags).
  • Email content you author (templates, sequences, subject lines).
  • Sending and engagement data (opens, clicks, replies, bounces).
  • Sender account metadata and provider credentials you choose to connect, stored in production systems with restricted operational access.

2.3 Site & product telemetry

  • Server logs: IP, user-agent, requested URL, timestamp, referrer.
  • Product diagnostics: error traces, performance metrics, feature usage counters (aggregated).
  • Cookies and consent-based measurement: see our Cookie Policy for storage details, optional analytics/marketing categories, and the consent mechanism.
  • Attribution context: UTM parameters, referrers, and advertising click IDs may be stored first-party before signup so we can understand which channels are working, only where consent and configuration allow it.

2.4 Communications with us

  • Email and form submissions sent to our team (sales, trust, privacy, press).
  • Support conversations and the metadata necessary to respond.

3. Why we use it

  • Provide the Service — provisioning workspaces, sending mail you author, surfacing analytics, billing.
  • Authenticate accounts — signing users in with Google OAuth or email/password, verifying email addresses, resetting passwords, preventing brute-force attacks, and protecting accounts from abuse.
  • Operate the Service — security, abuse prevention, debugging, capacity planning.
  • Communicate — service emails (changes, billing, security), support replies, and — only with consent — product update emails.
  • Improve the Service — measuring feature usage and website performance in aggregate. With consent, this may include analytics or advertising measurement tools such as Google Analytics, Meta, Reddit, LemonSqueezy attribution, UTM parameters, and server-side conversion APIs. OutSends does not train models on your campaign data. If you choose to use the optional AI Writer feature, your prompts and generated content are sent to third-party AI providers for generation and may be processed under those providers' terms.
  • Comply with law — tax records, lawful requests, dispute resolution.

4. Google API Limited Use

OutSends's use and transfer of information received from Google APIs to any other app will adhere to the Google API Services User Data Policy, including the Limited Use requirements. We do not use Google user data for serving ads, retargeting, or training machine learning models. We do not share Gmail message content, Gmail inbox data, contacts, or OAuth tokens with Meta, Reddit, Google Ads, or other advertising platforms.

Google user data is used only to provide user-facing OutSends features, including Google OAuth sign-in, connecting Gmail sender accounts, and sending emails you create or schedule through the Service. We request only the scopes needed for these features, including gmail.send, userinfo.email, and userinfo.profile, and we do not request Gmail read scopes such as gmail.readonly.

Google OAuth tokens, Gmail inbox data, Gmail sender metadata, and Google API data are not sent to optional AI providers. Only prompts or content that users intentionally submit to the AI Writer are sent for generation.

5. Legal bases (GDPR)

We rely on the following lawful bases under Articles 6 and 9 of the GDPR / UK GDPR:

  • Contract (Art. 6(1)(b)) — to provision and run the Service for you.
  • Legitimate interests (Art. 6(1)(f)) — security, fraud prevention, anti-abuse, and limited product analytics; balanced against your interests and rights.
  • Consent (Art. 6(1)(a)) — non-essential cookies, marketing emails, optional integrations. You can withdraw consent at any time.
  • Legal obligation (Art. 6(1)(c)) — tax, accounting, lawful requests.

6. Sharing & sub-processors

We do not sell personal data. We share it only with vetted sub-processors who help us run the Service under written agreements that include GDPR Article 28 obligations. The current categories are:

PurposeProvider typeRegion
Application hosting & databaseEU cloud infrastructure providerEuropean Union
Object storage & backupsEU object-storage providerEuropean Union
Transactional email (account & billing)EU transactional email providerEuropean Union
Payments & invoicingCard payment processorEuropean Union
Error monitoringEU error-tracking providerEuropean Union
Customer supportEU support toolingEuropean Union
Optional AI generationAI API providers (Google Gemini, Groq, DeepSeek, Cloudflare Workers AI)Global / United States / China / European Union

The current named sub-processor list is available on request to privacy@outsends.com. We give written notice before adding or replacing a sub-processor that handles customer content.

7. International transfers

OutSends is hosted in the EU. Customer content is processed in the EU. Where any limited transfer outside the EEA / UK is necessary (for example, when a customer support agent travels), we rely on the European Commission's Standard Contractual Clauses and apply supplementary technical measures.

If you choose to use the optional AI Writer feature, the prompt and generated content may be sent to AI providers outside the EEA / UK, including providers in the United States or China depending on the selected provider. Do not include sensitive personal data in AI prompts unless you have a lawful basis and are comfortable with that provider's processing terms.

8. Retention

  • Account data — kept for the life of the workspace and up to 30 days after deletion to allow recovery, then permanently deleted.
  • Customer content — kept until you delete it in the workspace, then permanently deleted within 30 days from active systems and 60 days from backups.
  • Server logs — kept for up to 30 days for security and debugging.
  • Billing records — kept for the period required by tax law (typically 7–10 years) in archived form only.

9. Your rights

If the GDPR applies to you, you have the right to:

  • Access the personal data we hold about you.
  • Request correction of inaccurate data.
  • Request deletion ("right to be forgotten") where applicable.
  • Restrict or object to certain processing.
  • Data portability for data you provided.
  • Withdraw consent at any time, without affecting prior lawful processing.
  • Lodge a complaint with your local supervisory authority.

Send requests to privacy@outsends.com. We respond within one month and may ask for proof of identity proportionate to the request.

10. Security

OutSends applies technical and organisational measures including TLS in transit, restricted operational access, audit logging, regular backups, and least-privilege access for production systems. See Security & Trust for the current posture.

11. Children

OutSends is a B2B platform and is not intended for children under 18. We do not knowingly collect data from children under 18.

12. Changes

We may update this Policy. Material changes are announced in-product or by email at least 30 days before they take effect, except where shorter notice is required by law.

13. Contact us

Privacy questions and requests: privacy@outsends.com.
General company: support@outsends.com.
Postal correspondence and legal notice details are available on request and on our Legal Notice.

Politique de confidentialité

Confidentialité, traitée avec soin.

Dernière mise à jour : 6 juin 2026 · Entrée en vigueur : 1 janvier 2026

Cette Politique de confidentialité explique comment OutSends (« OutSends », « nous ») collecte, utilise, partage et protège les informations lorsque vous visitez outsends.com (« Site ») ou utilisez l’application web et l’extension navigateur OutSends (« Service »). Elle est rédigée pour être lisible ; les conditions opérationnelles restent applicables.

Sommaire

  1. Notre rôle & votre rôle
  2. Ce que nous collectons
  3. Pourquoi nous l’utilisons
  4. Utilisation limitée des API Google
  5. Bases légales (RGPD)
  6. Partage & sous-traitants
  7. Transferts internationaux
  8. Conservation
  9. Vos droits
  10. Sécurité
  11. Enfants
  12. Modifications
  13. Nous contacter

1. Notre rôle & votre rôle

OutSends agit comme responsable du traitement pour les données personnelles que nous collectons sur les visiteurs, titulaires de compte et prospects, par exemple l’email du compte, les informations de facturation et les analytics du site marketing.

Lorsque vous utilisez le Service pour envoyer des emails sortants à vos propres contacts, OutSends agit comme sous-traitant pour ces données de destinataires. Vous restez responsable du traitement de vos listes de contacts, contenus d’envoi et historiques d’engagement, ainsi que de la base légale vous permettant de contacter vos destinataires.

2. Ce que nous collectons

2.1 Données de compte & facturation

  • Identifiants : nom, prénom, nom, email professionnel, nom de l’espace de travail, hash du mot de passe.
  • Données de compte email/mot de passe : prénom, nom, adresse email, hash du mot de passe, algorithme de hash, date de mise à jour du mot de passe, tentatives échouées, état de verrouillage, statut de vérification email, tokens de vérification email hashés, tokens de réinitialisation de mot de passe hashés, IP d’émission, user-agent, dates d’expiration et d’utilisation. Nous ne stockons jamais les mots de passe en clair.
  • Facturation : nom d’entreprise, adresse de facturation, numéro de TVA, quatre derniers chiffres de carte bancaire traités par notre prestataire de paiement ; les numéros complets de carte ne transitent jamais par nos serveurs.
  • Authentification : IP de connexion, timestamps de connexion et métadonnées de session.

2.2 Contenu client que vous contrôlez

  • Listes de contacts que vous importez : nom, email, champs personnalisés et tags.
  • Contenus email que vous rédigez : templates, séquences et objets.
  • Données d’envoi et d’engagement : ouvertures, clics, réponses et rebonds.
  • Métadonnées de comptes expéditeurs et identifiants fournisseurs que vous choisissez de connecter, stockés dans des systèmes de production à accès opérationnel restreint.

2.3 Télémétrie site & produit

  • Logs serveur : IP, user-agent, URL demandée, timestamp et referrer.
  • Diagnostics produit : traces d’erreurs, métriques de performance et compteurs d’usage agrégés.
  • Cookies et mesure soumise au consentement : consultez notre Politique cookies pour les détails de stockage, les catégories analytics/marketing optionnelles et le mécanisme de consentement.
  • Contexte d’attribution : les paramètres UTM, referrers et click IDs publicitaires peuvent être stockés en first-party avant inscription afin de comprendre quels canaux fonctionnent, uniquement lorsque le consentement et la configuration le permettent.

2.4 Communications avec nous

  • Emails et formulaires envoyés à notre équipe : sales, trust, privacy, press.
  • Conversations de support et métadonnées nécessaires pour répondre.

3. Pourquoi nous l’utilisons

  • Fournir le Service — créer les espaces de travail, envoyer les emails que vous rédigez, afficher les analytics et gérer la facturation.
  • Authentifier les comptes — connecter les utilisateurs via Google OAuth ou email/mot de passe, vérifier les adresses email, réinitialiser les mots de passe, limiter les attaques par force brute et protéger les comptes contre les abus.
  • Opérer le Service — sécurité, prévention des abus, debugging et planification de capacité.
  • Communiquer — emails de service, facturation, sécurité, réponses support et, uniquement avec consentement, emails de nouveautés produit.
  • Améliorer le Service — mesurer l’usage des fonctionnalités et la performance du site de façon agrégée. Avec consentement, cela peut inclure des outils de mesure analytics ou publicitaire comme Google Analytics, Meta, Reddit, l’attribution LemonSqueezy, les paramètres UTM et les APIs de conversion côté serveur. OutSends n’entraîne pas de modèles sur vos données de campagne. Si vous utilisez la fonctionnalité optionnelle AI Writer, vos prompts et contenus générés sont transmis à des fournisseurs IA tiers pour génération et peuvent être traités selon leurs conditions.
  • Respecter la loi — obligations fiscales, demandes légales et résolution des litiges.

4. Utilisation limitée des API Google

L’utilisation et le transfert par OutSends des informations reçues depuis les API Google respectent la Google API Services User Data Policy, y compris les exigences Limited Use. Nous n’utilisons pas les données utilisateur Google pour diffuser des publicités, faire du retargeting ou entraîner des modèles de machine learning. Nous ne partageons pas le contenu des emails Gmail, les données de boîte de réception Gmail, les contacts ou les tokens OAuth avec Meta, Reddit, Google Ads ou d’autres plateformes publicitaires.

Les données utilisateur Google sont utilisées uniquement pour fournir des fonctionnalités OutSends visibles par l’utilisateur, notamment la connexion Google OAuth, la connexion de comptes expéditeurs Gmail et l’envoi des emails que vous créez ou planifiez via le Service. Nous demandons uniquement les scopes nécessaires, notamment gmail.send, userinfo.email et userinfo.profile, et nous ne demandons pas de scopes de lecture Gmail comme gmail.readonly.

Les tokens Google OAuth, les données de boîte Gmail, les métadonnées d’expéditeur Gmail et les données API Google ne sont pas envoyés aux fournisseurs IA optionnels. Seuls les prompts ou contenus que les utilisateurs soumettent volontairement à l’AI Writer sont transmis pour génération.

5. Bases légales (RGPD)

Nous nous appuyons sur les bases légales suivantes au titre des articles 6 et 9 du RGPD / UK GDPR :

  • Contrat (art. 6(1)(b)) — fournir et exploiter le Service pour vous.
  • Intérêts légitimes (art. 6(1)(f)) — sécurité, prévention de la fraude, anti-abus et analytics produit limités, mis en balance avec vos intérêts et droits.
  • Consentement (art. 6(1)(a)) — cookies non essentiels, emails marketing et intégrations optionnelles. Vous pouvez retirer votre consentement à tout moment.
  • Obligation légale (art. 6(1)(c)) — fiscalité, comptabilité et demandes légales.

6. Partage & Sous-traitants

Nous ne vendons pas les données personnelles. Nous les partageons uniquement avec des sous-traitants vérifiés qui nous aident à exploiter le Service dans le cadre d’accords écrits incluant les obligations de l’article 28 du RGPD. Les catégories actuelles sont :

FinalitéType de fournisseurRégion
Hébergement applicatif & base de donnéesFournisseur cloud UEUnion européenne
Stockage objet & sauvegardesFournisseur de stockage objet UEUnion européenne
Email transactionnelFournisseur email transactionnel UEUnion européenne
Paiements & facturationPrestataire de paiement carteUnion européenne
Monitoring d’erreursFournisseur de suivi d’erreurs UEUnion européenne
Support clientOutils de support UEUnion européenne
Génération IA optionnelleFournisseurs API IA (Google Gemini, Groq, DeepSeek, Cloudflare Workers AI)Global / États-Unis / Chine / Union européenne

La liste nominative actuelle des sous-traitants est disponible sur demande à privacy@outsends.com. Nous envoyons un avis écrit avant l’ajout ou le remplacement d’un sous-traitant traitant du contenu client.

7. Transferts internationaux

OutSends est hébergé dans l’Union européenne. Le contenu client est traité dans l’UE. Lorsqu’un transfert limité hors EEE / Royaume-Uni est nécessaire, par exemple lorsqu’un agent support voyage, nous utilisons les Clauses Contractuelles Types de la Commission européenne et appliquons des mesures techniques supplémentaires.

Si vous choisissez la fonctionnalité optionnelle AI Writer, le prompt et le contenu généré peuvent être envoyés à des fournisseurs IA hors EEE / Royaume-Uni, y compris aux États-Unis ou en Chine selon le fournisseur sélectionné. N’incluez pas de données personnelles sensibles dans les prompts IA sauf si vous disposez d’une base légale et acceptez les conditions de traitement du fournisseur.

8. Conservation

  • Données de compte — conservées pendant la durée de vie de l’espace de travail et jusqu’à 30 jours après suppression pour permettre la récupération, puis supprimées définitivement.
  • Contenu client — conservé jusqu’à suppression dans l’espace de travail, puis supprimé définitivement sous 30 jours des systèmes actifs et sous 60 jours des sauvegardes.
  • Logs serveur — conservés jusqu’à 30 jours pour la sécurité et le debugging.
  • Dossiers de facturation — conservés pendant la durée requise par la loi fiscale, généralement 7 à 10 ans, sous forme archivée uniquement.

9. Vos droits

Si le RGPD s’applique à vous, vous pouvez :

  • Accéder aux données personnelles que nous détenons à votre sujet.
  • Demander la correction de données inexactes.
  • Demander la suppression lorsque cela s’applique.
  • Limiter certains traitements ou vous y opposer.
  • Demander la portabilité des données que vous avez fournies.
  • Retirer votre consentement à tout moment, sans affecter les traitements licites antérieurs.
  • Déposer une réclamation auprès de votre autorité de contrôle locale.

Envoyez vos demandes à privacy@outsends.com. Nous répondons sous un mois et pouvons demander une preuve d’identité proportionnée.

10. Sécurité

OutSends applique des mesures techniques et organisationnelles incluant TLS en transit, accès opérationnel restreint, journaux d’audit, sauvegardes régulières et accès à privilège minimal aux systèmes de production. Consultez Sécurité & confiance pour la posture actuelle.

11. Enfants

OutSends est une plateforme B2B et n’est pas destinée aux enfants de moins de 18 ans. Nous ne collectons pas sciemment de données concernant des enfants de moins de 18 ans.

12. Modifications

Nous pouvons mettre à jour cette Politique. Les modifications importantes sont annoncées dans le produit ou par email au moins 30 jours avant leur entrée en vigueur, sauf si un délai plus court est exigé par la loi.

13. Nous contacter

Questions et demandes relatives à la confidentialité : privacy@outsends.com.
Société / général : support@outsends.com.
Les coordonnées postales et les informations de mentions légales sont disponibles sur demande et dans nos Mentions légales.