La présente politique de confidentialité décrit la manière dont vos données personnelles sont collectées, utilisées et protégées lorsque vous utilisez l'application mobile Arty et les services associés (ci-après « le Service »), conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés.
1. Éditeur du Service
Le Service est édité par CMAZ PARTNERS, société par actions simplifiée (SAS) au capital de 1 000 euros, immatriculée au Registre du Commerce et des Sociétés sous le numéro SIREN 103 519 369, dont le siège social est situé en France.
- Adresse électronique de contact : contact@arty-btp.fr
- Responsable du traitement : Le représentant légal de CMAZ PARTNERS
- Délégué à la protection des données (DPO) : contact@arty-btp.fr
2. Données personnelles collectées
2.1. Données d'identification et de compte
- Nom, prénom
- Adresse email (identifiant de connexion)
- Mot de passe (stocké sous forme hachée irréversible)
- Date de création du compte
- Date du dernier accès
2.2. Données professionnelles
- Raison sociale, SIREN/SIRET, code NAF
- Forme juridique de l'entreprise
- Adresse du siège social
- Numéro de téléphone professionnel
- Mentions légales (TVA, RGE, certifications)
- Logo d'entreprise (optionnel)
2.3. Données de facturation et comptables
- Devis générés (contenu, montants, lignes détaillées)
- Factures émises, y compris factures de situation
- Numéros séquentiels conformes à l'article 289 du CGI
- Informations clients finaux (nom, adresse, SIRET si renseigné)
2.4. Contenus utilisateur
- Enregistrements vocaux (transcrits puis supprimés immédiatement)
- Notes vocales et textuelles
- Documents uploadés (factures fournisseurs, certifications, images)
- Emails reçus sur votre adresse personnelle
@arty-btp.fr - Pièces jointes d'emails (PDF, images, documents Office)
2.5. Données techniques et d'usage
- Identifiant d'appareil (pour les notifications push)
- Version de l'application et du système d'exploitation
- Journaux d'utilisation de l'IA (volume de tokens, type d'opération)
- Informations de connexion (adresse IP, horodatage)
2.6. Données biométriques / capteurs (traitement local uniquement)
- Microphone : enregistrement audio pendant la dictée vocale
- Caméra : prise de photo de documents
- Bibliothèque photos : sélection d'images à importer
Aucune de ces données de capteurs n'est stockée ni partagée en dehors de l'usage immédiat pour lequel l'utilisateur a consenti.
3. Finalités du traitement
| Finalité | Base légale (RGPD) |
|---|---|
| Fourniture du service (compte, devis, factures) | Exécution du contrat (art. 6.1.b) |
| Génération vocale de documents via IA | Exécution du contrat (art. 6.1.b) |
| Classification automatique des emails entrants | Exécution du contrat (art. 6.1.b) |
| Envoi d'emails transactionnels (bienvenue, rappels) | Exécution du contrat (art. 6.1.b) |
| Notifications push (rappels de tâches) | Consentement (art. 6.1.a) |
| Conservation légale des factures (10 ans) | Obligation légale (art. 6.1.c) |
| Amélioration du service (agrégats anonymisés) | Intérêt légitime (art. 6.1.f) |
| Lutte contre la fraude et les abus | Intérêt légitime (art. 6.1.f) |
4. Destinataires et sous-traitants
Les données peuvent être transmises aux sous-traitants suivants, dans le cadre strict des finalités décrites et avec des garanties contractuelles adéquates :
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Supabase | Hébergement BDD, auth, stockage | UE — Irlande |
| OpenAI | Transcription vocale, GPT-4o, synthèse vocale | États-Unis (CCT) |
| Resend | Emails transactionnels | UE — Irlande |
| Cloudflare | Routage emails @arty-btp.fr, DNS | États-Unis (CCT) |
| Expo | Notifications push | États-Unis (CCT) |
| Apple | Distribution via App Store | États-Unis (CCT) |
Aucune donnée personnelle n'est vendue ni cédée à des tiers à des fins commerciales ou publicitaires.
Transferts hors Union Européenne
Certains sous-traitants (OpenAI, Cloudflare, Expo, Apple) peuvent traiter vos données aux États-Unis. Ces transferts sont encadrés par les Clauses Contractuelles Types (CCT) adoptées par la Commission Européenne, ainsi que par le Data Privacy Framework UE–USA lorsque le sous-traitant y est certifié.
5. Durées de conservation
| Catégorie | Durée |
|---|---|
| Compte utilisateur actif | Pendant toute l'utilisation du Service |
| Compte inactif | Supprimé après 3 ans d'inactivité (sur notification) |
| Devis non émis | 1 an |
| Devis émis et factures | 10 ans (art. L123-22 C. com.) |
| Enregistrements vocaux bruts | Supprimés immédiatement après transcription |
| Logs techniques | 12 mois maximum |
| Données d'usage API | 24 mois (facturation) |
| Emails archivés | Jusqu'à suppression par l'utilisateur |
En cas de suppression du compte, les données sont supprimées dans un délai maximum de 30 jours, à l'exception de celles dont la conservation est imposée par la loi.
6. Sécurité
- Chiffrement en transit : TLS 1.3
- Chiffrement au repos : AES-256
- Mots de passe : hachage bcrypt, jamais stockés en clair
- Authentification : JWT avec rotation des tokens
- Contrôle d'accès : Row Level Security (RLS) au niveau BDD
- Sauvegardes : quotidiennes, chiffrées, 7 jours
- Journalisation : toute action sensible est tracée
En cas de violation de données susceptible d'entraîner un risque élevé pour vos droits et libertés, vous en serez informé dans les 72 heures suivant la découverte de l'incident, conformément à l'article 34 du RGPD.
7. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès (art. 15)
- Droit de rectification (art. 16)
- Droit à l'effacement / « droit à l'oubli » (art. 17)
- Droit à la limitation du traitement (art. 18)
- Droit à la portabilité (art. 20) — export JSON
- Droit d'opposition (art. 21)
- Droit de retirer votre consentement à tout moment
- Droit de définir des directives post-mortem (art. 40-1 loi Informatique et Libertés)
Comment exercer vos droits ?
- Via l'application : Profil → Confidentialité → Exporter mes données ou Supprimer mon compte
- Par email : contact@arty-btp.fr
Nous répondons dans un délai maximum de 1 mois (pouvant être prolongé de 2 mois en cas de demande complexe).
Réclamation
Vous pouvez introduire une réclamation auprès de la CNIL :
- Site : www.cnil.fr
- Adresse : 3 Place de Fontenoy — TSA 80715 — 75334 PARIS CEDEX 07
8. Cookies et technologies similaires
L'application mobile Arty n'utilise pas de cookies. Elle utilise uniquement des technologies locales strictement nécessaires à son fonctionnement (Expo SecureStore pour les tokens d'authentification, AsyncStorage pour les préférences locales).
Aucune technologie de tracking publicitaire ou analytique tiers n'est utilisée.
9. Mineurs
Le Service est réservé aux professionnels majeurs (artisans du BTP). Nous ne collectons pas sciemment de données de mineurs.
10. Modifications
Cette politique peut être mise à jour. En cas de modification substantielle, vous serez informé par email et/ou notification in-app au moins 30 jours avant l'entrée en vigueur des changements.
11. Contact
- Email : contact@arty-btp.fr
- Courrier : CMAZ PARTNERS — Service Données Personnelles — [adresse du siège à compléter]