Politique de confidentialité
Dernière mise à jour : 12 mai 2026
DataHub Solutions(exploitant la marque Rosa IA, ci-après « Rosa », « nous ») s'engage à protéger les données personnelles de ses utilisateurs (artisans abonnés) et des personnes dont les données sont traitées dans le cadre du service (clients des artisans appelant le numéro Rosa). La présente politique décrit les données collectées, leur finalité, leur durée de conservation, les sous-traitants impliqués et les droits dont vous disposez.
1. Responsable du traitement
DATAHUB SOLUTIONS — SAS au capital de 1 000 €
Marque commerciale : Rosa IA
Siège social : 229 rue Saint-Honoré, 75001 Paris, France
SIREN : 939 101 564 — SIRET : 939 101 564 00010
Immatriculée au RNE (INPI) le 7 janvier 2025
Contact DPO / délégué à la protection des données : hello@rosa-ia.com
Pour les données des clients des artisans (appelants), DataHub Solutions agit en tant que sous-traitant au sens de l'article 28 du RGPD. L'artisan abonné reste responsable de traitement vis-à-vis de ses propres clients.
1bis. Transparence et système d'IA
Conformément à l'article 50 du règlement européen sur l'intelligence artificielle (AI Act), nous vous informons que :
- Les appels téléphoniques traités par Rosa sont gérés par un système d'IA conversationnelle. Rosa se présente comme assistante IA dès le début de l'appel.
- La voix de Rosa est synthétique (générée par IA), entraînée pour sonner naturelle en français.
- Le contenu de la conversation est traité par un modèle de langage (LLM) pour comprendre la demande du client et formuler les réponses.
- Les décisions de qualification (urgence vs devis, prise de RDV) sont issues du modèle d'IA mais n'ont pas d'effet juridique automatisé : l'artisan reste libre de valider, modifier ou refuser toute proposition de Rosa.
- L'appelant peut à tout moment demander à parler à un humain : Rosa transmet la demande à l'artisan qui rappelle.
2. Données collectées
2.1 Données des artisans (utilisateurs abonnés)
- Nom, prénom, raison sociale, SIRET
- Numéro de téléphone professionnel, adresse email
- Adresse professionnelle, zone d'intervention, métier
- Prestations et tarifs configurés, taux de TVA, logiciel de facturation utilisé
- Logo et infos entreprise (utilisés sur les PDF de devis générés par Rosa)
- Tokens OAuth Google Calendar (chiffrés AES-256-GCM en base)
- Historique des appels reçus, devis générés, interventions terminées
- Données de facturation Rosa (gérées par notre prestataire de paiement)
2.2 Données des clients des artisans (appelants)
- Numéro de téléphone (identifiant appelant fourni par Twilio)
- Nom, prénom (communiqués oralement pendant l'appel)
- Adresse du lieu d'intervention
- Description du besoin, niveau d'urgence, contraintes (accès, étage…)
- Enregistrements audio des appels (conservés 24 mois)
- Transcriptions textuelles des appels
- Historique des SMS bidirectionnels (notifications de RDV, demandes photo, devis)
- Photos optionnellement envoyées par le client après l'appel (URL stockée 24 mois)
- Email du client (uniquement s'il choisit de le saisir dans le formulaire de coordonnées post-appel)
- Adresse de facturation pour les devis envoyés (saisie volontaire par le client lors de l'acceptation web d'un devis)
3. Finalités et bases légales
| Finalité | Base légale | Personnes concernées |
|---|---|---|
| Fourniture du service de réception d'appels et gestion de RDV | Exécution du contrat (art. 6.1.b RGPD) | Artisans |
| Traitement des appels entrants et notifications SMS | Intérêt légitime de l'artisan (art. 6.1.f RGPD) | Clients des artisans |
| Enregistrement et transcription des appels | Intérêt légitime + information préalable de l'appelant | Clients des artisans |
| Synchronisation Google Calendar | Consentement explicite (connexion OAuth) | Artisans |
| Génération et envoi de devis aux clients de l'artisan | Exécution du contrat artisan-client + intérêt légitime de l'artisan | Clients des artisans |
| Relances automatiques pour devis non signés (SMS) | Intérêt légitime de l'artisan | Clients des artisans |
| Facturation et comptabilité (artisans abonnés) | Obligation légale (art. 6.1.c RGPD) | Artisans |
4. Durée de conservation
- Données d'appel (enregistrements, transcriptions, informations client) : 24 mois après le dernier appel, puis supprimées automatiquement.
- Compte artisan : conservé pendant toute la durée de l'abonnement, puis 12 mois après la résiliation pour les besoins de facturation et support.
- Données de facturation : 10 ans conformément aux obligations comptables françaises.
- Tokens OAuth : supprimés immédiatement à la déconnexion du Google Calendar ou à la suppression du compte.
5. Sous-traitants et transferts de données
| Sous-traitant | Fonction | Localisation | Garanties |
|---|---|---|---|
| Vapi | Orchestration de l'IA conversationnelle vocale | USA | DPA signé, clauses contractuelles types (SCC) |
| Twilio | Téléphonie (appels entrants/sortants) et envoi de SMS | USA | DPA signé, SCC, numéros français |
| Anthropic | Modèle de langage (Claude Haiku) pour la conversation et le parsing des SMS artisan | USA | SCC, contenus non utilisés pour l'entraînement |
| ElevenLabs | Synthèse vocale (voix de Rosa) | USA | Sous-traitant via Vapi, SCC |
| Deepgram | Transcription speech-to-text des appels (français) | USA | Sous-traitant via Vapi, SCC |
| Resend | Envoi d'emails transactionnels (codes OTP, récaps post-intervention, devis PDF) | USA / UE | SCC, DPA signé |
| Supabase | Base de données PostgreSQL + stockage objets (photos, audios) | UE (Francfort) | Données hébergées dans l'UE, DPA signé |
| Vercel | Hébergement de l'application web et des fonctions serverless | UE (région UE) | Déploiement en région UE, DPA signé |
| Google Calendar (synchronisation bidirectionnelle de l'agenda) | UE / USA | OAuth 2.0, accès révocable par l'artisan à tout moment |
Les transferts de données vers les États-Unis sont encadrés par des clauses contractuelles types (SCC) conformément à la décision de la Commission européenne du 4 juin 2021 et, le cas échéant, par le EU-US Data Privacy Framework.
6. Sécurité des données
DataHub Solutions met en place des mesures techniques et organisationnelles appropriées pour protéger les données :
- Chiffrement en transit (TLS 1.3) et au repos
- Tokens OAuth chiffrés en AES-256-GCM avant stockage
- Authentification par code OTP (pas de mot de passe stocké)
- Accès aux données limité au strict nécessaire (principe du moindre privilège)
- Journalisation des accès et surveillance des anomalies
7. Enregistrement des appels
Les appels traités par Rosa sont enregistrés et transcrits. Les appelants en sont informés dès le début de la conversation par un message vocal. Ces enregistrements servent exclusivement à la qualité du service (analyse du besoin, génération du compte-rendu pour l'artisan). Ils sont conservés 24 mois puis supprimés automatiquement. L'artisan peut supprimer un enregistrement individuel depuis son tableau de bord à tout moment.
7bis. Devis générés et lien d'acceptation client
Quand l'artisan demande à Rosa de générer un devis suite à une visite (par SMS), Rosa produit un PDF avec les informations entreprise de l'artisan (nom, SIRET, adresse, logo) et envoie au client un SMS contenant un lien web sécurisé vers une page d'acceptation. Cette page utilise un token unique non-devinable (UUID) et expire selon la durée de validité du devis (30 jours par défaut).
Sur cette page, le client peut consulter le devis, le télécharger, l'accepter ou le refuser en un clic. Aucun compte ni authentification ne lui est demandé — la possession du lien fait foi. S'il refuse, il peut laisser un message court (max. 200 caractères) qui est transmis à l'artisan par SMS. Aucune donnée du client n'est partagée à des tiers à cette occasion.
Les relances automatiques (SMS à J+2, J+5, J+10 si pas de réponse) sont envoyées depuis le numéro Rosa de l'artisan, identifiables comme provenant de l'artisan. Le client peut à tout moment répondre à l'artisan en passant directement par les coordonnées qui figurent sur le devis.
8. Vos droits
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès — obtenir une copie de vos données
- Droit de rectification — corriger des données inexactes
- Droit de suppression — demander l'effacement de vos données
- Droit à la portabilité — recevoir vos données dans un format structuré
- Droit d'opposition — vous opposer au traitement fondé sur l'intérêt légitime
- Droit à la limitation — restreindre temporairement le traitement
Pour exercer ces droits, envoyez un email à hello@rosa-ia.com en précisant votre demande et en joignant un justificatif d'identité. Nous nous engageons à répondre dans un délai de 30 jours.
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) — www.cnil.fr.
9. Modifications de cette politique
DataHub Solutions se réserve le droit de modifier la présente politique de confidentialité. En cas de modification substantielle (ajout d'un nouveau sous-traitant, changement de finalité, allongement de durée de conservation), les utilisateurs en seront informés par email ou via le tableau de bord au moins 30 jours avant l'entrée en vigueur. La date de dernière mise à jour figure en haut de cette page.