Article 1 — Introduction
Dilypse International s'engage à protéger les données personnelles des utilisateurs de la plateforme Aria Calls. La présente Politique de Confidentialité décrit les données que nous collectons, les raisons pour lesquelles nous les collectons, et vos droits en tant qu'utilisateur, conformément au Règlement Général sur la Protection des Données (RGPD — Règlement (UE) 2016/679), à la Loi Informatique et Libertés modifiée, et à la Loi 25 du Québec (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels).
Article 2 — Responsable du traitement
- Raison sociale : Dilypse International
- Adresse : 2000 R. de l'Éclipse, Suite 800, Brossard, Québec J4Z 0S2, Canada
- Contact DPO / vie privée : [email protected]
Conformément à l'article 27 du RGPD, Dilypse International, n'étant pas établie dans l'Union européenne, met à disposition le contact ci-dessus pour les demandes des résidents de l'UE relatives à la protection de leurs données personnelles.
Article 3 — Données collectées
| Catégorie | Données | Source |
|---|
| Compte utilisateur | Email, nom, rôle, mot de passe (hashé) | Inscription / administrateur |
| Appels | Transcriptions, enregistrements audio, résumés IA, durée, coût | VAPI (automatique) |
| CRM | Contacts, tags, notes, rappels | Saisie utilisateur |
| Technique | Adresse IP, navigateur, logs d'erreur | Collecte automatique |
| Mémoire client | Historique conversationnel par appelant | IA (automatique) |
Article 4 — Finalités et base légale du traitement
Conformément à l'article 6 du RGPD, vos données personnelles sont traitées sur les bases légales suivantes :
| Finalité | Base légale (RGPD art. 6) |
|---|
| Fourniture et fonctionnement du service Aria Calls | Exécution du contrat (art. 6.1.b) |
| Envoi de notifications post-appel (email et SMS) | Exécution du contrat (art. 6.1.b) |
| Analyses statistiques et tableaux de bord | Intérêt légitime (art. 6.1.f) |
| Amélioration du service et de l'IA | Intérêt légitime (art. 6.1.f) |
| Support client | Exécution du contrat (art. 6.1.b) |
| Sécurité et prévention de la fraude | Intérêt légitime (art. 6.1.f) |
| Communications marketing | Consentement (art. 6.1.a) |
| Conservation des données requise par la loi | Obligation légale (art. 6.1.c) |
Article 5 — Sous-traitants et tiers
Pour fournir le service Aria Calls, nous faisons appel aux sous-traitants suivants, conformément à l'article 28 du RGPD :
| Sous-traitant | Service | Localisation |
|---|
| VAPI, Inc. | Agents vocaux IA, transcription | États-Unis |
| Twilio, Inc. | Téléphonie, SMS | États-Unis |
| Supabase, Inc. | Base de données, authentification | Singapour / États-Unis |
| Amazon Web Services | Stockage S3 | États-Unis / Canada |
| Brevo (Sendinblue) | Emails transactionnels | France |
| Sentry | Monitoring d'erreurs | États-Unis |
| Anthropic (Claude) | IA conversationnelle | États-Unis |
Article 6 — Transferts internationaux
Certains de nos sous-traitants sont situés en dehors de l'Union européenne, notamment aux États-Unis et au Canada. Conformément aux articles 44 à 49 du RGPD, ces transferts internationaux de données sont encadrés par :
- Clauses contractuelles types (CCT) adoptées par la Commission européenne (décision d'exécution 2021/914)
- Data Privacy Framework (DPF) UE-États-Unis pour les sous-traitants certifiés
- Décision d'adéquation pour le Canada (décision 2002/2/CE de la Commission européenne)
Vous pouvez obtenir une copie des garanties appropriées en contactant [email protected].
Article 7 — Durée de conservation
Conformément au principe de limitation de la conservation (article 5.1.e du RGPD), les données sont conservées pour les durées suivantes :
| Données | Durée de conservation |
|---|
| Compte utilisateur | Durée du contrat + 1 an après résiliation |
| Enregistrements d'appels (VAPI) | 14 jours |
| Logs d'appels (Supabase) | Durée du contrat |
| Mémoire client (S3) | Durée du contrat |
| Logs techniques | 90 jours |
Article 8 — Sécurité
Conformément à l'article 32 du RGPD, Dilypse International met en oeuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque :
- Chiffrement des communications via HTTPS/TLS
- Authentification par jetons JWT signés
- Restriction CORS au domaine de production
- Rate limiting pour prévenir les abus
- Headers de sécurité (HSTS, CSP, Permissions-Policy)
- Hashage des mots de passe (pseudonymisation)
- Contrôle d'accès basé sur les rôles (RBAC)
- Évaluation régulière de l'efficacité des mesures de sécurité
Article 9 — Droits des personnes concernées
Conformément aux articles 15 à 22 du RGPD et à la Loi Informatique et Libertés, vous disposez des droits suivants :
- Droit d'accès (art. 15) : obtenir la confirmation que vos données sont traitées et en recevoir une copie
- Droit de rectification (art. 16) : corriger des données inexactes ou incomplètes
- Droit à l'effacement (art. 17) : demander la suppression de vos données (« droit à l'oubli »)
- Droit à la limitation du traitement (art. 18) : obtenir la limitation du traitement dans certains cas
- Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine
- Droit d'opposition (art. 21) : vous opposer au traitement de vos données fondé sur l'intérêt légitime, y compris le profilage
- Droit au retrait du consentement (art. 7.3) : retirer votre consentement à tout moment, sans affecter la licéité du traitement antérieur
- Droit de ne pas faire l'objet d'une décision automatisée (art. 22) : ne pas être soumis à une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques
Pour exercer vos droits, contactez-nous à [email protected]. Nous nous engageons à répondre dans un délai de 30 jours (conformément à l'article 12.3 du RGPD).
En cas de réponse insatisfaisante, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.
Article 10 — Cookies et stockage local
Aria Calls utilise le stockage local du navigateur (localStorage) pour les finalités suivantes :
| Type | Nom / clé | Finalité | Durée |
|---|
| localStorage | sb-*-auth-token | Session d'authentification Supabase | Session |
| localStorage | aria_locale | Préférence de langue (FR/EN) | Persistant |
| localStorage | aria_i18n_* | Cache des traductions | Persistant |
Aucun cookie publicitaire ou de tracking tiers n'est utilisé. Les traceurs strictement nécessaires au fonctionnement du service sont exemptés du recueil de consentement conformément aux lignes directrices de la CNIL relatives aux cookies et traceurs (délibération n° 2020-091 du 17 septembre 2020).
Article 11 — Notification de violation de données
En cas de violation de données à caractère personnel, Dilypse International s'engage à :
- Notifier l'autorité de contrôle compétente (CNIL) dans un délai de 72 heures après en avoir pris connaissance (article 33 du RGPD)
- Informer les personnes concernées dans les meilleurs délais si la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés (article 34 du RGPD)
- Documenter toute violation dans un registre interne, incluant les faits, les effets et les mesures correctives prises
Article 12 — Modifications
Dilypse International peut mettre à jour la présente Politique de Confidentialité à tout moment. Les modifications seront publiées sur cette page avec une date de mise à jour. Les utilisateurs seront informés des changements significatifs par email ou notification dans le tableau de bord.
Article 13 — Contact
Pour toute question relative à la protection de vos données personnelles, contactez-nous :
- Email : [email protected]
- Adresse : Dilypse International, 2000 R. de l'Éclipse, Suite 800, Brossard, Québec J4Z 0S2, Canada
Pour les résidents de l'Union européenne, vous pouvez également adresser une réclamation à la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr.