Politique de confidentialité
Dernière mise à jour : 1er avril 2026
Rosa AI (ci-après « Rosa », « nous ») s'engage à protéger les données personnelles de ses utilisateurs (artisans abonnés) et des personnes dont les données sont traitées dans le cadre du service (clients des artisans). La présente politique décrit les données collectées, leur finalité, leur durée de conservation et les droits dont vous disposez.
1. Responsable du traitement
2. Données collectées
2.1 Données des artisans (utilisateurs)
- Nom, prénom, raison sociale
- Numéro de téléphone, adresse email
- Adresse professionnelle, zone d'intervention
- Métier, prestations et tarifs
- Tokens OAuth Google Calendar (chiffrés AES-256-GCM)
- Données de facturation (gérées par notre prestataire de paiement)
2.2 Données des clients des artisans
- Numéro de téléphone (identifiant appelant)
- Nom, prénom (communiqués lors de l'appel)
- Adresse du lieu d'intervention
- Description du besoin et de l'urgence
- Enregistrements audio des appels
- Transcriptions textuelles des appels
- Historique des SMS échangés avec Rosa
3. Finalités et bases légales
| Finalité | Base légale | Personnes concernées |
|---|---|---|
| Fourniture du service de réception d'appels et gestion de RDV | Exécution du contrat (art. 6.1.b RGPD) | Artisans |
| Traitement des appels entrants et notifications SMS | Intérêt légitime de l'artisan (art. 6.1.f RGPD) | Clients des artisans |
| Enregistrement et transcription des appels | Intérêt légitime + information préalable de l'appelant | Clients des artisans |
| Synchronisation Google Calendar | Consentement explicite (connexion OAuth) | Artisans |
| Facturation et comptabilité | Obligation légale (art. 6.1.c RGPD) | Artisans |
4. Durée de conservation
- Données d'appel (enregistrements, transcriptions, informations client) : 24 mois après le dernier appel, puis supprimées automatiquement.
- Compte artisan : conservé pendant toute la durée de l'abonnement, puis 12 mois après la résiliation pour les besoins de facturation et support.
- Données de facturation : 10 ans conformément aux obligations comptables françaises.
- Tokens OAuth : supprimés immédiatement à la déconnexion du Google Calendar ou à la suppression du compte.
5. Sous-traitants et transferts de données
| Sous-traitant | Fonction | Localisation | Garanties |
|---|---|---|---|
| Vapi | Agent vocal IA, enregistrement, transcription | USA | DPA signé, clauses contractuelles types (SCC) |
| Twilio | Téléphonie (appels entrants) et envoi de SMS | USA | DPA signé, clauses contractuelles types (SCC) |
| Anthropic | Modèle de langage (via Vapi) pour la conversation | USA | Sous-traitant de Vapi, couvert par le DPA Vapi |
| Supabase | Base de données (PostgreSQL) | UE (Francfort) | Données hébergées dans l'UE, DPA signé |
| Vercel | Hébergement de l'application web | UE (Edge) | Déploiement en région UE, DPA signé |
| Google Calendar (synchronisation agenda) | UE / USA | OAuth 2.0, accès révocable par l'artisan |
Les transferts de données vers les États-Unis sont encadrés par des clauses contractuelles types (SCC) conformément à la décision de la Commission européenne du 4 juin 2021 et, le cas échéant, par le EU-US Data Privacy Framework.
6. Sécurité des données
Rosa AI met en place des mesures techniques et organisationnelles appropriées pour protéger les données :
- Chiffrement en transit (TLS 1.3) et au repos
- Tokens OAuth chiffrés en AES-256-GCM avant stockage
- Authentification par code OTP (pas de mot de passe stocké)
- Accès aux données limité au strict nécessaire (principe du moindre privilège)
- Journalisation des accès et surveillance des anomalies
7. Enregistrement des appels
Les appels traités par Rosa sont enregistrés et transcrits. Les appelants en sont informés dès le début de la conversation par un message vocal. Ces enregistrements servent exclusivement à la qualité du service (analyse du besoin, génération du compte-rendu pour l'artisan). Ils sont conservés 24 mois puis supprimés automatiquement. L'artisan peut supprimer un enregistrement individuel depuis son tableau de bord.
8. Vos droits
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès — obtenir une copie de vos données
- Droit de rectification — corriger des données inexactes
- Droit de suppression — demander l'effacement de vos données
- Droit à la portabilité — recevoir vos données dans un format structuré
- Droit d'opposition — vous opposer au traitement fondé sur l'intérêt légitime
- Droit à la limitation — restreindre temporairement le traitement
Pour exercer ces droits, envoyez un email à contact@rosa-ia.com en précisant votre demande et en joignant un justificatif d'identité. Nous nous engageons à répondre dans un délai de 30 jours.
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) — www.cnil.fr.
9. Modifications de cette politique
Rosa AI se réserve le droit de modifier la présente politique de confidentialité. En cas de modification substantielle, les utilisateurs en seront informés par email ou via le tableau de bord. La date de dernière mise à jour figure en haut de cette page.