Politique de Confidentialité
Dernière mise à jour : 11 mai 2026
La présente politique décrit comment Voltapro collecte, utilise et protège les données personnelles de ses utilisateurs (artisans abonnés) et des prospects qui les contactent via le Service, conformément au Règlement (UE) 2016/679 (RGPD) et à la loi Informatique et Libertés.
1. Responsable de traitement
Dyonisos Ltd, société de droit anglais et gallois, Company Number (UK) 14807222, dont le siège social est situé 67 Eastover Road, High Littleton, Bristol, BS39 6HZ, Royaume-Uni, représentée par son directeur Remy Zaoui, exploitant le service sous la marque Voltapro. Pour toute question relative aux données : privacy@voltapro.io.
2. Données collectées
Données des artisans (Utilisateurs)
- Identité : nom, prénom, e-mail.
- Coordonnées professionnelles : nom d'entreprise, téléphone perso.
- Données de paramétrage du service : prestations, zones d'intervention, horaires, panier moyen, message vocal, paramètres IA.
- Données de facturation : moyen de paiement (via Stripe), historique d'abonnement.
- Données techniques : numéro Twilio attribué, jetons OAuth Google (chiffrés en AES-256-GCM), souscriptions push, identifiant Clerk.
Données des prospects
- Numéro de téléphone (depuis lequel l'appel ou SMS provient).
- Contenu des SMS échangés (entrants et sortants).
- Métadonnées d'appel : date, durée, statut (sans enregistrement audio par défaut).
- Nom communiqué et adresse postale, si fournis volontairement.
3. Finalités et bases légales
- Fourniture du Service (exécution du contrat - art. 6.1.b RGPD) : traitement des appels, génération des réponses IA, prise de RDV, notifications.
- Facturation (obligation légale et exécution du contrat) : suivi des abonnements, émission de factures.
- Sécurité et fraude (intérêt légitime - art. 6.1.f) : authentification, vérification des signatures Twilio/Stripe, chiffrement.
- Amélioration du service (intérêt légitime) : analyse agrégée et anonymisée des taux de conversion.
4. Sous-traitants et destinataires
Voltapro s'appuie sur les sous-traitants suivants, tous engagés contractuellement à respecter le RGPD :
- Vercel Inc. (hébergement applicatif - États-Unis, DPA signé, clauses contractuelles types).
- Neon Inc. (base de données, région Francfort UE) - données stockées en Union européenne.
- Anthropic PBC(modèles d'IA Claude - États-Unis, DPA signé, clauses contractuelles types). Les conversations sont envoyées pour traitement uniquement, sans entraînement de modèles.
- Twilio Inc. (téléphonie SMS et voix - États-Unis, DPA signé).
- Google LLC(Google Calendar API - États-Unis, DPA signé). L'intégration utilise les scopes OAuth
calendar.readonlyetcalendar.eventsuniquement. Le détail du traitement et l'engagement « Limited Use » figurent en section 9. - Stripe Payments Europe Ltd. (paiement - Irlande, UE).
- Clerk Inc. (authentification - États-Unis, DPA signé).
5. Durée de conservation
- Compte artisan et données de paramétrage : pendant la durée de l'abonnement, puis 12 mois après résiliation.
- Conversations SMS et historique d'appels : 12 mois glissants.
- Factures et données comptables : 10 ans (obligation légale).
- Logs techniques de sécurité : 6 mois.
6. Droits des personnes
Conformément aux articles 15 à 22 du RGPD, toute personne dispose des droits suivants sur ses données :
- Droit d'accès, de rectification et d'effacement.
- Droit à la limitation du traitement.
- Droit d'opposition au traitement fondé sur l'intérêt légitime.
- Droit à la portabilité des données.
- Droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr).
Pour exercer ces droits : privacy@voltapro.io. Réponse sous 30 jours maximum.
7. Sécurité
Voltapro met en place des mesures techniques et organisationnelles adaptées : HTTPS partout, chiffrement AES-256-GCM des jetons OAuth, signatures HMAC vérifiées sur les webhooks (Twilio, Stripe), accès base de données restreint, sauvegardes journalières chiffrées, revues de sécurité régulières.
8. Cookies
Le détail des cookies utilisés est disponible dans la Politique cookies.
9. Données Google Calendar — Google API Services User Data Policy
L'intégration Google Calendar est facultative. Lorsque l'Utilisateur choisit de la connecter, Voltapro accède à son agenda Google via les API officielles Google avec les autorisations OAuth 2.0 strictement minimales suivantes :
https://www.googleapis.com/auth/calendar.readonly— lecture des plages occupées (free/busy) du calendrier sélectionné, afin que l'IA propose aux prospects des créneaux qui ne chevauchent ni un rendez-vous existant ni un événement personnel de l'Utilisateur.https://www.googleapis.com/auth/calendar.events— création d'un événement de calendrier lorsqu'un prospect confirme un rendez-vous via SMS, et suppression de cet événement si le rendez-vous est annulé par l'Utilisateur depuis Voltapro.
Voltapro ne consulte que les plages free/busy : les titres, descriptions et participants des événements personnels de l'Utilisateur ne sont ni lus, ni stockés, ni transmis à des tiers. Les seuls événements lus en clair sont ceux que Voltapro a lui-même créés, afin de permettre leur annulation.
Engagement « Limited Use »
Conformément à la Google API Services User Data Policy, et notamment à la clause « Limited Use », Voltapro s'engage à :
- Utiliser les données Google Calendar de l'Utilisateur uniquement pour fournir et améliorer la fonctionnalité de prise de rendez-vous décrite ci-dessus, conformément à la finalité consentie.
- Ne pas vendre, ne pas louer et ne pas partager ces données avec un tiers à des fins publicitaires ou de profilage.
- Ne pas utiliser ces données pour entraîner, affiner ou évaluer des modèles d'intelligence artificielle généralisés.
- Ne pas autoriser un humain à lire les données Google Calendar de l'Utilisateur, sauf : (a) avec le consentement explicite de l'Utilisateur, (b) pour des raisons de sécurité (enquête sur abus ou incident), (c) pour respecter une obligation légale, ou (d) pour des opérations internes effectuées sur des données agrégées et anonymisées.
Stockage et chiffrement des jetons OAuth
Les jetons d'accès et de rafraîchissement émis par Google sont chiffrés en AES-256-GCM avant stockage en base de données (Neon, région Francfort, Union européenne). La clé de chiffrement est conservée séparément dans les variables d'environnement de production de l'application. Aucun jeton n'est jamais loggé ni transmis en clair.
Révocation et suppression
L'Utilisateur peut à tout moment retirer son consentement à l'intégration Google Calendar :
- Depuis Voltapro : Réglages → Calendrier → Déconnecter Google Calendar. Les jetons OAuth associés sont immédiatement supprimés de la base de données.
- Depuis le compte Google : myaccount.google.com/permissions → sélectionner Voltapro → Supprimer l'accès.
La suppression du compte Voltapro entraîne automatiquement la suppression des jetons OAuth Google associés et de toute donnée Calendar mise en cache, sous 30 jours maximum.
10. Modifications
La présente politique peut être mise à jour. La date de dernière mise à jour est indiquée en haut de page. Toute modification substantielle sera notifiée par e-mail aux Utilisateurs.