Politique de confidentialité

Engagement no-training Aucune donnée client — ni identifiante, ni anonymisée — n'est utilisée pour entraîner ou affiner des modèles d'IA, internes ou tiers. Les contrats avec Anthropic, Google, Mistral et OVH excluent explicitement tout réentraînement sur nos requêtes.

01 — Responsable du traitement

Responsable	Billal Mediouni (en pré-lancement)
Structure	Société d'exploitation Novalys SAS — en cours de constitution
Contact	dpo@novalys.app

Dès immatriculation de la société Novalys SAS, le responsable du traitement sera mis à jour avec les coordonnées officielles (siège social, SIRET, représentant légal).

02 — Données collectées

2.1 — Fournies par le client

Identification : nom, prénom, email, raison sociale, fonction
Facturation : adresse, IBAN ou carte (via Stripe — jamais stocké chez nous)
Authentification : email + token de session

2.2 — Métier importées

Devis, factures, opportunités CRM via connecteurs (HubSpot, Pennylane ; Axonaut à venir), lorsque vous les activez
Emails entrants/sortants via Gmail ou Outlook OAuth (consentement explicite)
Données chantier issues d'emails, messages et imports manuels (analyse documentaire — aucun capteur ni IoT)

2.3 — Techniques

Logs d'utilisation, type d'appareil, IP (rétention 30 jours)
Cookies strictement nécessaires (session Supabase)

03 — Données Google API (Gmail) & Usage limité

Lorsque vous connectez votre compte Gmail à Novalys (OAuth, consentement explicite et révocable à tout moment), nous accédons à certaines données via les API Google, strictement pour les fonctionnalités décrites ci-dessous.

3.1 — Autorisations demandées (scopes)

Autorisation Google	Usage dans Novalys
`gmail.send`	Envoyer les relances de devis que vous avez explicitement validées (validation par swipe, Human-in-the-Loop), depuis votre propre adresse et dans le bon fil de discussion. Aucun envoi automatique.
`gmail.readonly`	Détecter les demandes de devis entrantes, repérer les réponses des prospects (pour cesser de relancer quelqu'un qui a déjà répondu) et lire vos propres devis du dossier « Envoyés » afin d'en extraire le montant pour le suivi du ROI.
`userinfo.email`	Mémoriser quelle adresse Gmail est connectée, pour que vous puissiez la gérer dans vos réglages.

3.2 — Minimisation & traitement

Les requêtes Gmail sont exécutées côté serveur et filtrées (mots-clés métier BTP + contacts connus) : les emails sans rapport ne sont pas parcourus.
Les identifiants structurés (emails, SIRET, IBAN, téléphones) et les noms connus du système sont tokenisés avant tout traitement par un modèle d'IA ; la correspondance reste en mémoire vive, jamais persistée.
Contenu chiffré au repos, isolé par locataire (Row-Level Security Postgres), supprimable sur demande (RGPD art. 17 & 20).
Novalys ne modifie, supprime, classe ni partage aucun email, et n'utilise jamais les données Gmail à des fins publicitaires ni pour entraîner des modèles d'IA généralistes.

3.3 — Usage limité (Google API Services User Data Policy)

Limited Use L'utilisation et le transfert par Novalys des informations reçues des API Google respectent la Google API Services User Data Policy, y compris ses exigences d'Usage Limité (« Limited Use »).

Novalys' use and transfer to any other app of information received from Google APIs will adhere to the Google API Services User Data Policy, including the Limited Use requirements.

3.4 — Révocation

Vous pouvez révoquer l'accès à tout moment via myaccount.google.com/permissions ou en déconnectant Gmail depuis Paramètres → Intégrations. La révocation coupe immédiatement tout accès ; les données déjà traitées sont effacées selon les durées de conservation (§06).

04 — Finalités du traitement

Finalité	Base légale
Fourniture du service Novalys (orchestration agentique, dashboard, intégrations)	Exécution du contrat
Facturation et recouvrement	Obligation légale
Support client et amélioration continue	Intérêt légitime
Communications transactionnelles	Exécution du contrat
Sécurité et lutte contre la fraude	Intérêt légitime

05 — Sous-traitants & transferts

Novalys s'appuie sur des sous-traitants techniques liés par DPA et, pour les transferts hors UE, par les Clauses Contractuelles Types de la Commission européenne.

Sous-traitant	Finalité & localisation
Supabase	Base de données + auth · UE (Francfort)
Vercel	Hébergement frontend · USA (CCT signées)
Cloudflare	Routage des emails entrants + DNS · UE/USA (CCT)
Stripe	Paiement · UE (Dublin)
Resend	Email transactionnel (notifications) · UE (Dublin)
Brevo (Sendinblue)	Parsing inbound emails (réponses clients) · UE (Paris)
Anthropic (Claude)	Inférence IA principale · USA (CCT + DPA, no-training par défaut)
Google (Gemini)	Inférence IA terrain + embeddings · UE/USA (CCT signées)
Mistral AI	Inférence IA fallback souverain · UE (Paris, RGPD natif)
Trigger.dev	Orchestration tâches asynchrones · UE
OVHcloud	Passerelle SMS (à activation du canal) · France
HubSpot	Source CRM (deals, contacts) — sur activation par le client · USA (CCT + DPA)
Pennylane	Source comptable (devis, factures) — sur activation par le client · UE (France)

Avant tout appel sortant aux providers LLM, un filtre PII tokenise systématiquement les identifiants structurés (emails, SIRET, IBAN, téléphones) ainsi que les noms connus du système.

06 — Durée de conservation

Compte actif : durée de l'abonnement
Compte clôturé : 30 jours puis suppression définitive (sauf obligation légale)
Données comptables : 10 ans (Code de commerce)
Logs techniques : 30 jours
Sauvegardes chiffrées : 90 jours glissants

07 — Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

Accès à vos données personnelles
Rectification des données inexactes
Effacement (« droit à l'oubli »)
Limitation du traitement
Portabilité dans un format structuré (JSON/CSV)
Opposition au traitement fondé sur l'intérêt légitime
Définition de directives post-mortem

Ces droits s'exercent depuis votre espace Paramètres → Confidentialité dans l'application, ou par email à dpo@novalys.app. Réponse sous 30 jours.

En cas de litige, vous pouvez saisir la CNIL : cnil.fr/fr/plaintes

08 — Sécurité

Chiffrement TLS 1.3 en transit, AES-256 au repos
Tokens OAuth chiffrés avec clé applicative dédiée
Politiques RLS (Row-Level Security) strictes par tenant — isolation totale
Authentification multi-facteur disponible
Audit logs immuables, signature Ed25519 sur les actions sensibles
Approche Zero-Trust — aucune clé API en clair, jamais

09 — Cookies

Novalys utilise uniquement des cookies strictement nécessaires au fonctionnement du service :

sb-access-token et sb-refresh-token : session d'authentification (Supabase)

Aucun cookie de mesure d'audience, de publicité ou de profilage. Pas de bandeau cookies requis (exemption fonctionnelle CNIL).

10 — Modifications

Cette politique peut évoluer pour refléter les changements de service ou de réglementation. Une notification est envoyée aux clients actifs en cas de modification substantielle.