Politique de confidentialité

La présente politique décrit comment la société Automate, éditrice du service Ouvra, collecte et traite les données personnelles des utilisateurs du site ouvra.app et de l'application Ouvra. Elle est établie conformément au Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et à la loi française n° 78-17 du 6 janvier 1978 modifiée (loi Informatique et Libertés).

1. Responsable du traitement

Le responsable du traitement est Automate, SAS au capital de 2 €, dont le siège social est situé 25 rue de Ponthieu, 75008 Paris, France (RCS Paris 101 953 701, SIRET 101 953 701 00014, TVA intracommunautaire FR36101953701).

Pour toute question relative à vos données personnelles ou pour exercer vos droits : ouvra.app@gmail.com.

Compte tenu de la taille actuelle d'Automate et de la nature des traitements opérés, aucun Délégué à la Protection des Données (DPO) n'a été désigné à ce stade ; cette désignation n'est pas obligatoire au sens de l'article 37 du RGPD. Le responsable du traitement reste directement joignable à l'adresse ci-dessus.

2. Données collectées

Dans le cadre de l'utilisation du service Ouvra, nous collectons les catégories de données suivantes :

• Données d'identification : nom, prénom, adresse email, numéro de téléphone.
• Données professionnelles :raison sociale, SIRET, métier (plombier-chauffagiste, plombier ou chauffagiste), adresse professionnelle, attestations d'assurance, qualifications (RGE le cas échéant).
• Données de facturation et de paiement : informations transmises via Stripe ; les coordonnées bancaires (numéros de carte) ne transitent jamais par nos serveurs et sont traitées exclusivement par Stripe.
• Données métier saisies par l'utilisateur : clients, devis, factures, interventions, photos de chantier, échanges client. Ces données restent la propriété de l'utilisateur ; nous en sommes le simple hébergeur technique.
• Données techniques :adresse IP, type de navigateur, système d'exploitation, pages visitées, événements applicatifs. Ces données sont collectées de manière anonyme via Plausible Analytics (sans cookies, sans identifiants persistants).
• Données de communication : contenu des emails que vous nous envoyez à ouvra.app@gmail.com.
• Notes internes professionnelles :notre équipe peut tenir des notes internes concernant votre compte (suivi commercial, support, qualité de service). Ces notes ne sont pas accessibles via l'export automatique de vos données mais peuvent être consultées sur demande motivée adressée à ouvra.app@gmail.com.

Pour le programme Founding Member et la liste d'attente : email et, le cas échéant, code Founding nominatif transmis manuellement.

3. Finalités du traitement

• Fournir le service :création et gestion du compte, génération de devis et factures, planification d'interventions, signature électronique, gestion des paiements en ligne.
• Assurer la facturation : émission, archivage et suivi des factures Ouvra.
• Communiquer avec vous : notifications de service (email, SMS), réponses du support, suivi commercial.
• Améliorer le service :mesure d'audience anonyme, analyse d'usage agrégée.
• Respecter nos obligations légales : conservation des factures (article L123-22 du Code de commerce), conformité comptable, lutte contre la fraude.
• Sécurité du service : prévention des accès frauduleux, rate-limiting, journalisation des événements de sécurité.

4. Bases légales du traitement

Conformément à l'article 6 du RGPD :

• Exécution du contrat(article 6.1.b RGPD) : la majorité des traitements sont nécessaires à l'exécution du contrat d'abonnement Ouvra (compte, devis, factures, paiements).
• Obligation légale(article 6.1.c RGPD) : la conservation des factures pendant 10 ans est imposée par l'article L123-22 du Code de commerce.
• Intérêt légitime(article 6.1.f RGPD) : amélioration du service, prévention de la fraude, mesure d'audience anonyme.
• Consentement (article 6.1.a RGPD) : communications marketing optionnelles (newsletter, programme Founding), opt-in explicite et retirable à tout moment.

5. Durées de conservation

• Compte utilisateur actif :pendant toute la durée d'utilisation du service.
• Compte utilisateur clos : les données du compte sont conservées 30 jours après résiliation pour permettre une éventuelle réactivation, puis supprimées (sauf obligations légales ci-dessous).
• Factures et pièces comptables :10 ans à compter de la clôture de l'exercice (article L123-22 du Code de commerce).
• Données de prospection commerciale : 3 ans à compter du dernier contact (recommandation CNIL).
• Logs techniques et logs de sécurité : 12 mois.
• Données du programme Founding Member et liste d'attente : 2 ans maximum à compter du dernier contact.
• Cookies strictement nécessaires : durée de la session.

6. Destinataires des données

Vos données ne sont jamais vendues ni cédées à des tiers à des fins commerciales.

Elles sont accessibles à l'équipe interne d'Automate strictement dans la limite de leurs fonctions, et transmises aux sous-traitants techniques suivants, chacun lié par un contrat conforme à l'article 28 du RGPD :

• Supabase (Supabase Pte. Ltd.) : hébergement de la base de données, authentification, stockage de fichiers. Traitement en Union européenne (Irlande, région eu-west-1). DPA + clauses contractuelles types (CCT) 2021.
• Vercel (Vercel Inc., États-Unis) : hébergement applicatif et fonctions serverless. Traitement principalement aux États-Unis, edge mondial. Data Privacy Framework (DPF) + CCT 2021.
• Stripe (Stripe Technology Company Ltd, Irlande) : traitement des paiements. Traitement en Irlande (établissement principal UE) et aux États-Unis. DPF + CCT 2021 + Data Transfers Addendum.
• Resend (Resend Inc., États-Unis): envoi d'emails transactionnels. Traitement aux États-Unis. DPF + CCT 2021.
• Twilio (Twilio Ireland Limited) : envoi de SMS de notification et de relance. Traitement en Irlande (région IE1). DPF + CCT 2021.
• OpenAI (OpenAI Ireland Ltd): fonctions d'assistance par intelligence artificielle (suggestions de prestations, aide à la rédaction). Traitement en Union européenne. CCT 2021 + DPF + zero data retention API.
• Upstash (Upstash Inc., États-Unis) : cache et limitation du nombre de requêtes (rate-limiting). Traitement en région européenne. DPF + CCT 2021.
• Plausible (Plausible Insights OÜ, Estonie) : mesure d'audience anonyme. Données hébergées en Allemagne (Hetzner, Falkenstein). 100 % Union européenne, aucun transfert hors UE.

7. Transferts de données hors de l'Union européenne

Certains sous-traitants ont leur siège social aux États-Unis (Vercel, Resend, Upstash, ainsi que la maison-mère de Stripe et d'OpenAI). Les transferts de données vers ces destinataires sont encadrés par :

• la décision d'adéquationde la Commission européenne du 10 juillet 2023 relative au Data Privacy Framework (DPF) entre l'Union européenne et les États-Unis, pour les sous-traitants certifiés DPF (Stripe, Vercel, Resend, OpenAI, Upstash, Twilio) ;
• les Clauses Contractuelles Types (CCT) de la Commission européenne du 4 juin 2021, intégrées au contrat de sous-traitance.

Vous pouvez nous demander la liste à jour des certifications DPF et des contrats CCT en écrivant à ouvra.app@gmail.com.

8. Vos droits (articles 15 à 22 du RGPD)

Vous disposez des droits suivants sur vos données personnelles :

• Droit d'accès : obtenir une copie des données vous concernant.
• Droit de rectification : corriger des données inexactes ou incomplètes.
• Droit d'effacement(« droit à l'oubli ») : demander la suppression de vos données, sous réserve de nos obligations légales de conservation (par exemple les factures conservées 10 ans).
• Droit à la limitation du traitement : suspendre temporairement certains traitements.
• Droit à la portabilité : recevoir vos données dans un format structuré et exploitable.
• Droit d'opposition :vous opposer à un traitement fondé sur l'intérêt légitime, pour des motifs tenant à votre situation particulière.
• Droit de retirer votre consentement à tout moment pour les traitements fondés sur celui-ci.
• Droit de définir des directives post-mortem sur le sort de vos données après votre décès.

Pour exercer ces droits, écrivez-nous à ouvra.app@gmail.com en joignant une copie d'une pièce d'identité si nécessaire à l'authentification. Nous nous engageons à répondre dans le délai d'un mois (article 12.3 du RGPD), prolongeable de deux mois en cas de demande complexe.

9. Réclamation

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

• En ligne : www.cnil.fr
• Par voie postale : CNIL, 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07

10. Sécurité

Automate met en œuvre les mesures techniques et organisationnelles appropriées pour protéger vos données :

• chiffrement en transit (HTTPS/TLS 1.2 ou supérieur sur l'ensemble du trafic) ;
• chiffrement au repos (base de données Supabase, stockage fichiers) ;
• authentification renforcée (mots de passe hachés, MFA disponible) ;
• isolation stricte par locataire (Row Level Security au niveau base de données, un artisan ne peut jamais accéder aux données d'un autre artisan) ;
• journalisation et supervision des accès sensibles ;
• politique de divulgation responsable des failles de sécurité (ouvra.app@gmail.com).

11. Cookies

Le site ouvra.app utilise uniquement des cookies strictement nécessairesà son fonctionnement : authentification, préférences d'affichage (par exemple le rejet du bandeau Founding Member). Ces cookies sont exemptés de consentement préalable au sens de l'article 82 de la loi Informatique et Libertés et de la recommandation de la CNIL.

Aucun cookie de tracking publicitaire, de profilage ou de mesure d'audience non exemptée n'est déposé.

La mesure d'audience est assurée par Plausible Analytics(cookieless), qui ne dépose aucun cookie et ne collecte aucune donnée permettant d'identifier directement ou indirectement un utilisateur.

12. Modifications

La présente politique peut être mise à jour pour refléter des évolutions légales, techniques ou de service. Nous vous informerons des modifications substantielles par email et/ou par bandeau sur le site. Nous vous recommandons de la consulter régulièrement.