Politique de confidentialité
Sommaire
- 1. Responsable de traitement
- 2. Délégué à la protection des données
- 3. Données collectées
- 4. Finalités et bases légales
- 5. Décisions automatisées et profilage
- 6. Durées de conservation
- 7. Sous-traitants et transferts
- 8. Vos droits
- 9. Sécurité des données
- 10. Transparence IA (EU AI Act)
- 11. Cookies et traceurs
- 12. Données des mineurs
- 13. Modifications de cette politique
La présente politique de confidentialité a pour objectif de vous informer de manière claire, complète et transparente sur la façon dont Softcallia collecte, utilise, stocke et protège vos données personnelles lorsque vous utilisez notre site web www.softcallia.com (le « Site ») et notre application app.softcallia.com (l'« Application »), ensemble le « Service ».
Cette politique est établie conformément au Règlement (UE) 2016/679 du 27 avril 2016 (RGPD), à la loi n° 78-17 du 6 janvier 1978 modifiée (Informatique et Libertés), à la loi n° 2004-575 du 21 juin 2004 (LCEN) et au Règlement (UE) 2024/1689 (EU AI Act).
1. Identité et coordonnées du responsable de traitement
Le responsable de traitement est l'entité qui détermine les finalités et les moyens du traitement de vos données personnelles :
| Dénomination | Softcallia — Côme Bruchet, entrepreneur individuel |
| Adresse | 24 rue David, 51100 Reims, France |
| SIRET | 102 453 487 00013 |
| Responsable du traitement | Côme Bruchet |
| Email de contact | contact@softcallia.com |
| Téléphone | +33 6 62 58 90 17 |
2. Délégué à la protection des données (DPO)
Softcallia compte moins de 250 salariés et ne réalise pas de traitements à grande échelle de catégories particulières de données au sens de l'article 37 du RGPD. La désignation d'un DPO n'est donc pas obligatoire. Néanmoins, nous avons désigné un référent interne à la protection des données personnelles.
Pour toute question relative à la protection de vos données personnelles :
- Email : dpo@softcallia.com
- Adresse postale : Softcallia — Côme Bruchet — 24 rue David, 51100 Reims
3. Données personnelles collectées
Nous collectons uniquement les données adéquates, pertinentes et limitées a ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (principe de minimisation, article 5.1.c du RGPD). Voici le détail par catégorie :
3.1. Données d'identification et de compte
| Donnée | Finalité | Base légale |
|---|---|---|
| Nom, prénom | Création et gestion du compte utilisateur | Exécution du contrat (art. 6.1.b RGPD) |
| Adresse email | Authentification, communications, notifications | Exécution du contrat (art. 6.1.b RGPD) |
| Numéro de téléphone | Configuration du renvoi d'appel, alertes urgentes par SMS | Exécution du contrat (art. 6.1.b RGPD) |
| Nom de l'entreprise, SIRET, adresse professionnelle | Facturation, personnalisation de l'agent IA, conformité fiscale | Exécution du contrat (art. 6.1.b) + obligation légale (art. 6.1.c RGPD) |
| Mot de passe (hashé bcrypt avec salage individuel) | Authentification sécurisée | Exécution du contrat (art. 6.1.b RGPD) |
| Rôle (administrateur, agent, lecteur) | Gestion des droits d'accès au sein de l'équipe | Exécution du contrat (art. 6.1.b RGPD) |
3.2. Données d'appels téléphoniques
| Donnée | Finalité | Base légale |
|---|---|---|
| Numéro de l'appelant | Identification du client, rappel, historique des appels | Intérêt légitime (art. 6.1.f RGPD) — suivi de la relation client |
| Enregistrement audio de l'appel | Transcription par IA, contrôle qualité du service | Intérêt légitime (art. 6.1.f RGPD) — l'appelant est informé en début d'appel conformément à l'art. L.34-1 du CPCE |
| Transcription textuelle de l'appel | Consultation, recherche, résumé IA, détection d'urgence | Exécution du contrat (art. 6.1.b RGPD) |
| Résumé généré par IA | Faciliter la prise de décision rapide par l'utilisateur | Exécution du contrat (art. 6.1.b RGPD) |
| Durée de l'appel | Statistiques d'utilisation, suivi de consommation | Exécution du contrat (art. 6.1.b RGPD) |
| Niveau d'urgence (classifié par IA) | Tri automatique des appels, déclenchement d'alertes prioritaires | Exécution du contrat (art. 6.1.b RGPD) |
| Statut de l'appel (nouveau, en cours, traité, archivé) | Gestion du flux de travail | Exécution du contrat (art. 6.1.b RGPD) |
| Type de problème détecte par l'IA | Catégorisation, statistiques | Exécution du contrat (art. 6.1.b RGPD) |
3.3. Données de rendez-vous
| Donnée | Finalité | Base légale |
|---|---|---|
| Nom et coordonnées du client | Prise de rendez-vous automatique | Exécution du contrat (art. 6.1.b RGPD) |
| Date, heure, motif du rendez-vous | Gestion de l'agenda | Exécution du contrat (art. 6.1.b RGPD) |
3.4. Données de paiement
| Donnée | Finalité | Base légale |
|---|---|---|
| Identifiant client Stripe | Gestion des abonnements et factures | Exécution du contrat (art. 6.1.b RGPD) |
| Identifiant abonnement Stripe | Suivi de l'état de l'abonnement | Exécution du contrat (art. 6.1.b RGPD) |
| Historique des factures et paiements | Comptabilité, obligations fiscales | Obligation légale (art. 6.1.c RGPD) — art. L.123-22 du Code de commerce |
Important : Softcallia ne collecte et ne stocke jamais vos données bancaires (numéro de carte, date d'expiration, cryptogramme). Tous les paiements sont traités directement par Stripe Inc., certifié PCI DSS Niveau 1. Seuls des identifiants techniques Stripe (sans donnée bancaire) sont conservés dans notre système.
3.5. Données de navigation et données techniques
| Donnée | Finalité | Base légale |
|---|---|---|
| Adresse IP | Sécurité, prévention des abus, rate limiting, journalisation technique | Obligation légale (art. 6.1.c RGPD — art. 6-II LCEN) + intérêt légitime (art. 6.1.f RGPD) |
| User-agent (type de navigateur, OS) | Compatibilité technique, résolution de bugs | Intérêt légitime (art. 6.1.f RGPD) |
| Pages visitées, dates et heures de visite | Analyse d'audience du site vitrine (uniquement si cookie consenti) | Consentement (art. 6.1.a RGPD) |
| Logs d'erreurs applicatives | Détection et correction des dysfonctionnements (via Sentry) | Intérêt légitime (art. 6.1.f RGPD) |
| Cookies et traceurs | Voir notre Politique de cookies | Consentement ou exemption (selon catégorie) |
3.6. Données collectées auprès des appelants (tiers)
Lorsqu'un tiers (client de l'Utilisateur) appelle le numéro configure dans le Service, certaines données le concernant sont collectées : numéro de téléphone, contenu vocal de l'appel, transcription et résumé. L'appelant est informé en début d'appel que la conversation est enregistrée et traitée par un assistant automatisé. L'Utilisateur, en tant que responsable de traitement pour les données de ses propres clients, s'engage a respecter ses obligations d'information en vertu des articles 13 et 14 du RGPD.
4. Finalités et bases légales des traitements
Vos données sont traitées pour les finalités suivantes :
| Finalité | Base légale (art. 6 RGPD) | Intérêt légitime poursuivi (le cas échéant) |
|---|---|---|
| Fourniture et fonctionnement du service Softcallia | Exécution du contrat (art. 6.1.b) | — |
| Gestion de votre compte utilisateur | Exécution du contrat (art. 6.1.b) | — |
| Traitement, transcription et résumé des appels téléphoniques par IA | Exécution du contrat (art. 6.1.b) | — |
| Enregistrement audio des appels | Intérêt légitime (art. 6.1.f) | Garantir la qualité du service de transcription ; l'appelant est informé |
| Détection automatique des urgences par IA | Exécution du contrat (art. 6.1.b) + intérêt légitime (art. 6.1.f) | Permettre une réaction rapide en cas de situation urgente |
| Gestion des rendez-vous automatiques | Exécution du contrat (art. 6.1.b) | — |
| Facturation, gestion des abonnements | Exécution du contrat (art. 6.1.b) + obligation légale (art. 6.1.c) | — |
| Envoi de notifications transactionnelles (alertes, rappels) | Exécution du contrat (art. 6.1.b) | — |
| Envoi de communications commerciales | Consentement (art. 6.1.a) | — |
| Support client | Exécution du contrat (art. 6.1.b) | — |
| Amélioration du service et statistiques agrégées/anonymisées | Intérêt légitime (art. 6.1.f) | Améliorer les fonctionnalités et la pertinence de l'IA |
| Sécurité, prévention de la fraude, rate limiting | Intérêt légitime (art. 6.1.f) + obligation légale (art. 6.1.c) | Protéger le Service et ses utilisateurs contre les accès non autorisés |
| Conservation des logs de connexion | Obligation légale (art. 6.1.c) — art. 6-II LCEN | — |
| Analyse d'audience du site vitrine | Consentement (art. 6.1.a) | — |
5. Décisions automatisées et profilage
Conformément à l'article 22 du RGPD, nous vous informons que le Service utilise des traitements automatisés faisant appel à l'intelligence artificielle. Ces traitements constituent du profilage au sens de l'article 4(4) du RGPD car ils analysent automatiquement le contenu des appels pour en déduire des informations (urgence, type de problème, résumé).
5.1. Traitements automatisés mis en oeuvre
| Traitement | Description | Impact potentiel |
|---|---|---|
| Classification d'urgence | L'IA analyse le contenu de l'appel et attribue un niveau d'urgence (basse, moyenne, haute, critique) | Détermine l'ordre de priorité dans lequel les appels sont présentés à l'Utilisateur et déclenche ou non des alertes immédiates |
| Catégorisation du type de problème | L'IA identifie la nature de la demande de l'appelant | Aide à l'organisation du travail de l'Utilisateur |
| Génération de résumés | L'IA produit un résumé synthétique de chaque appel | Facilite la consultation rapide sans réécouter l'appel entier |
| Proposition de rendez-vous | L'IA propose des créneaux disponibles à l'appelant | Peut créer un rendez-vous dans l'agenda de l'Utilisateur |
5.2. Garanties
- Aucune de ces décisions automatisées ne produit d'effet juridique ni d'effet significatif similaire sur les personnes concernées au sens de l'article 22.1 du RGPD. Il s'agit d'outils d'aide à la décision : c'est toujours l'Utilisateur humain qui décide de l'action finale (rappeler, ignorer, confirmer un rendez-vous, etc.).
- Les transcriptions et résumés sont des interprétations automatiques susceptibles d'erreurs. L'enregistrement audio original est conservé pendant 90 jours pour permettre vérification.
- Vous avez le droit de contester une classification, d'exprimer votre point de vue et d'obtenir une intervention humaine en contactant dpo@softcallia.com.
6. Durées de conservation des données
Nous conservons vos données uniquement le temps nécessaire aux finalités pour lesquelles elles ont été collectées, conformément au principe de limitation de la conservation (article 5.1.e du RGPD) :
| Catégorie de données | Durée de conservation | Justification |
|---|---|---|
| Enregistrements audio des appels | 90 jours | Qualité de service — minimisation des données (art. 5.1.c RGPD) |
| Transcriptions d'appels (texte, résumé, classification) | 365 jours (configurable par l'entreprise, min. 30 jours) | Historique client — paramétrage utilisateur + minimisation |
| Données de profil (compte utilisateur) | Durée du contrat + 30 jours | Exécution du contrat (art. 6.1.b RGPD) |
| Données de facturation (factures, preuves de paiement) | 10 ans | Obligation légale (art. L.123-22 du Code de commerce, art. 289 du CGI) |
| Messages internes (dashboard) | Durée du contrat | Collaboration — exécution du contrat |
| Rendez-vous | Durée du contrat + 90 jours | Suivi client — exécution du contrat |
| Logs d'audit RGPD | 3 ans | Responsabilité (art. 5.2 RGPD — accountability) |
| Logs de consentement (preuves) | 3 ans | Preuve de consentement (art. 7.1 RGPD) |
| Cookies analytiques | 13 mois | Recommandation CNIL (délibération 2020-091) |
| Logs de connexion (adresse IP, horodatage) | 12 mois | Art. 6-II de la LCEN + décret n° 2011-219 |
| Données de prospects (formulaire de contact) | 3 ans après le dernier contact | Recommandation CNIL |
| Logs d'erreurs (Sentry) | 90 jours | Intérêt légitime (correction de bugs) |
A l'expiration de ces délais, les données sont supprimées de manière définitive ou anonymisées de manière irréversible à des fins statistiques.
7. Sous-traitants et transferts internationaux de données
Pour fournir le Service, nous faisons appel à des sous-traitants techniques (articles 28 et suivants du RGPD). Ces sous-traitants agissent uniquement sur nos instructions documentées et sont contractuellement tenus de protéger vos données conformément au RGPD. Des contrats de sous-traitance (DPA — Data Processing Agreements) ont été conclus avec chacun d'eux.
7.1. Liste des sous-traitants
| Sous-traitant | Pays / Region | Données concernées | Garanties de transfert |
|---|---|---|---|
| Supabase Inc. | USA (infrastructure AWS EU) | Base de données (comptes, appels, RDV), fichiers audio | SCCs (Commission européenne, décision 2021/914) + DPA. Chiffrement AES-256 au repos. Row Level Security (RLS). |
| Stripe Inc. | USA (entité irlandaise pour l'UE) | Données de paiement (carte traitée par Stripe, seul l'ID client est stocké chez nous) | EU-US Data Privacy Framework (DPF). PCI DSS Niveau 1. SCCs. |
| Twilio Inc. | USA | Téléphonie (numéro appelant, audio des appels), SMS | SCCs + DPA. SOC 2 Type II, ISO 27001. |
| OpenAI Inc. | USA | Audio (transcription), texte (analyse, résumé, classification) | DPA spécifique. Aucune donnée n'est utilisée pour entraîner les modèles (politique API zero-retention). SCCs. |
| Vercel Inc. | USA (CDN global, fonctions Edge EU) | Hébergement de l'application (requêtes HTTP, headers, IP) | SCCs + DPA. SOC 2 Type II. |
| Upstash Inc. | UE (Francfort, Allemagne) | Cache applicatif ephemere (rate limiting, sessions) | RGPD natif. Données traitées et stockées exclusivement dans l'UE. |
| Brevo (Sendinblue) | France | Emails transactionnels (alertes, confirmations, relances) | RGPD natif. ISO 27001. Données hébergées en UE. |
| n8n GmbH | Allemagne | Workflows d'automatisation (orchestration des appels, notifications) | RGPD natif. Self-hosted sur VPS en UE. |
| Functional Software Inc. (Sentry) | USA | Logs d'erreurs techniques (stack traces, IP anonymisées, user-agent) | SCCs + DPA. SOC 2 Type II. Données minimisees (pas de données métier). |
7.2. Transferts hors de l'Espace économique européen (EEE)
Certains de nos sous-traitants sont situes aux États-Unis. Les transferts de données vers les États-Unis sont encadres par les mécanismes suivants, conformément au chapitre V du RGPD :
- Clauses Contractuelles Types (SCCs) approuvees par la Commission européenne (décision d'execution 2021/914 du 4 juin 2021), intégrées aux DPA de chaque sous-traitant ;
- EU-US Data Privacy Framework (décision d'adéquation du 10 juillet 2023) pour les sous-traitants certifiés (Stripe) ;
- Mesures supplementaires : chiffrement en transit (TLS 1.3) et au repos (AES-256), minimisation des données transférées, evaluation reguliere des risques.
Nous ne vendons jamais vos données à des tiers. Vos données ne sont partagées qu'avec les sous-traitants listés ci-dessus, dans la stricte mesure nécessaire à la fourniture du Service.
8. Vos droits
Conformément àux articles 15 a 22 du RGPD et aux articles 48 a 56 de la loi Informatique et Libertés, vous disposez des droits suivants sur vos données personnelles :
| Droit | Contenu | Fondement |
|---|---|---|
| Droit d'accès | Obtenir la confirmation que des données vous concernant sont traitées, y accéder et en obtenir une copie. | Art. 15 RGPD |
| Droit de rectification | Demander la correction de données inexactes ou incomplètes. | Art. 16 RGPD |
| Droit à l'effacement | Demander la suppression de vos données lorsqu'elles ne sont plus nécessaires, que vous retirez votre consentement, ou que le traitement est illicite. | Art. 17 RGPD |
| Droit à la limitation du traitement | Demander la limitation du traitement dans certains cas (ex. : contestation de l'exactitude, opposition en cours d'examen). | Art. 18 RGPD |
| Droit à la portabilité | Recevoir vos données dans un format structure, couramment utilise et lisible par machine (JSON, CSV). Vous pouvez exercer ce droit depuis l'onglet RGPD de votre tableau de bord. | Art. 20 RGPD |
| Droit d'opposition | Vous opposer à un traitement fondé sur l'intérêt légitime (art. 6.1.f), y compris au profilage lié à ce traitement. Nous cesserons le traitement sauf motif légitime et impérieux. | Art. 21 RGPD |
| Droit relatif aux décisions automatisées | Ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques. La classification par l'IA est un outil d'aide ; l'Utilisateur décide. | Art. 22 RGPD |
| Droit de retirer le consentement | Pour les traitements fondés sur le consentement (cookies analytiques, emails commerciaux), vous pouvez retirer votre consentement à tout moment sans affecter la licéité du traitement antérieur. | Art. 7.3 RGPD |
| Directives post-mortem | Définir des directives relatives à la conservation, l'effacement et la communication de vos données après votre décès. | Art. 85 loi Informatique et Libertés |
8.1. Comment exercer vos droits
- Par email : dpo@softcallia.com en precisant votre identité (nom, prénom, email du compte) et le droit que vous souhaitez exercer.
- Via votre tableau de bord : l'onglet « RGPD » de la page Parametres vous permet d'exporter vos données (portabilite) et de demander la suppression de votre compte (effacement).
- Par courrier : Softcallia — Côme Bruchet — 24 rue David, 51100 Reims.
Nous répondrons à votre demande dans un délai maximum de 30 jours a compter de la reception. Ce délai peut être prolonge de deux mois supplementaires en cas de complexite ou de nombre eleve de demandes, auquel cas vous en serez informé dans le délai initial d'un mois (art. 12.3 RGPD).
8.2. Réclamation auprès de la CNIL
Si vous estimez que le traitement de vos données personnelles constitue une violation du RGPD, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), autorite de contrôle compétente en France :
- Site web : www.cnil.fr
- Adresse : CNIL — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
- Téléphone : +33 1 53 73 22 22
9. Sécurité des données
Conformément à l'article 32 du RGPD, nous mettons en oeuvre les mesures techniques et organisationnelles appropriees pour assurer un niveau de sécurité adapte au risque :
9.1. Mesures techniques
- Chiffrement en transit : TLS 1.3 pour toutes les communications entre votre navigateur, nos serveurs et nos sous-traitants.
- Chiffrement au repos : AES-256 pour la base de données (Supabase/AWS) et les fichiers audio stockés.
- Isolation des données : Row Level Security (RLS) sur Supabase garantit qu'aucune entreprise ne peut accéder aux données d'une autre (isolation multi-tenant au niveau base de données).
- Contrôle d'accès : contrôle d'accès base sur les roles (RBAC) avec trois niveaux (administrateur, agent, lecteur).
- Rate limiting : protection contre les attaques par force brute via Upstash Redis (fenetre glissante).
- Mots de passe : haches avec bcrypt (facteur de coût 10), salage individuel. Aucun mot de passe n'est stocké en clair.
- Authentification : tokens JWT avec rotation automatique et rafraîchissement sécurisé.
- En-têtes de sécurité HTTP : Content-Security-Policy (CSP), HTTP Strict Transport Security (HSTS), X-Frame-Options, X-Content-Type-Options, Referrer-Policy.
- Validation des webhooks : signature HMAC pour Stripe, clé secrète pour n8n.
9.2. Mesures organisationnelles
- Principe du moindre privilège : chaque composant du système n'a accès qu'aux données strictement nécessaires à sa fonction.
- Journalisation : les accès et opérations sensibles sont tracés dans un journal d'audit (RGPD audit log).
- Monitoring : surveillance des erreurs et anomalies via Sentry, avec alertes automatiques.
- Notification de violation : en cas de violation de données, la CNIL est notifiée dans les 72 heures et les personnes concernées sont informées dans les meilleurs délais conformément aux articles 33 et 34 du RGPD.
10. Transparence sur l'utilisation de l'intelligence artificielle
Conformément àu Règlement (UE) 2024/1689 du 13 juin 2024 relatif a l'intelligence artificielle (EU AI Act) et aux recommandations de la CNIL sur l'utilisation de l'IA dans le traitement de données personnelles :
10.1. Systemes d'IA utilises
- Fournisseur : OpenAI Inc. (modèles GPT et Whisper via API)
- Fonctions : transcription vocale (speech-to-text), génération de résumés, classification d'urgence, categorisation des problèmes, réponse vocale conversationnelle aux appelants
- Classification de risque (EU AI Act) : risque limite — le système interagit directement avec des personnes physiques (appelants) et généré du contenu synthétique (voix)
10.2. Obligations de transparence
- L'appelant est informé en début d'appel qu'il interagit avec un assistant automatisé utilisant l'intelligence artificielle (obligation de transparence, art. 50 EU AI Act).
- L'IA est un outil d'aide à la décision, pas un système décisionnaire autonome. C'est toujours l'Utilisateur humain qui décide de l'action a entreprendre.
- Aucune donnée transmise via l'API OpenAI n'est utilisée pour entraîner ou améliorer les modèles d'IA d'OpenAI (conformément à la politique de données API d'OpenAI — zero data retention pour les clients API).
- Les transcriptions et résumés sont des interprétations automatiques susceptibles d'erreurs, d'omissions ou d'inexactitudes. Ils ne constituent pas une reproduction fidele garantie.
11. Cookies et traceurs
Le Site et l'Application utilisent des cookies et technologies similaires. Pour des informations détaillées sur les cookies utilises, leurs finalités, durées de conservation et les modalites de gestion de vos preferences, veuillez consulter notre Politique de cookies dédiée.
12. Données des mineurs
Le Service est destine aux professionnels (B2B). Il n'est pas concu pour être utilisé par des personnes âgées de moins de 18 ans. Nous ne collectons pas sciemment de données personnelles de mineurs. Si nous constatons que des données de mineurs ont été collectées par inadvertance, nous les supprimerons dans les meilleurs délais.
13. Modifications de cette politique
Nous pouvons modifier cette politique à tout moment pour refléter des évolutions réglementaires, jurisprudentielles ou techniques. Toute modification substantielle sera notifiée :
- par email à l'adresse associée à votre compte ;
- par une notification dans l'Application ;
- par la mise a jour de la date figurant en haut de cette page.
Pour les modifications affectant un traitement fondé sur le consentement, votre consentement sera à nouveau sollicité.
Contact — Protection des données
Pour toute question relative à la protection de vos données personnelles :
- Email du référent données : dpo@softcallia.com
- Adresse : Softcallia — Côme Bruchet — 24 rue David, 51100 Reims
- CNIL : www.cnil.fr — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07