Politique de confidentialité — Ouvria
1. Préambule
L'application mobile « Ouvria » (ci-après l'« Application » ou le « Service ») est un outil professionnel destiné aux artisans et entreprises du bâtiment exerçant en France et dans l'Union européenne. Elle permet, à partir de photographies d'un chantier et d'informations saisies par l'utilisateur, de générer des devis conformes à la réglementation française du bâtiment, avec l'aide d'un système d'intelligence artificielle.
La présente politique de confidentialité (ci-après la « Politique ») décrit la manière dont l'éditeur collecte, utilise, conserve et protège les données à caractère personnel, conformément au Règlement (UE) 2016/679 (« RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée (« Loi Informatique et Libertés »).
2. Responsable du traitement
Le responsable du traitement est :
- Dénomination : ChappyGo SAS
- Adresse : 961-1110 L'Occitane, 31670 Labège, France
- Courriel de contact : contact@chappygo.com
- Délégué à la protection des données (DPO), le cas échéant : Non désigné
Articulation des rôles. Pour les données concernant l'utilisateur professionnel lui-même (compte, profil d'entreprise), l'éditeur agit en qualité de responsable de traitement. Pour les données relatives aux clients finaux de l'artisan (nom, adresse du chantier, photographies du bien), l'artisan reste responsable de traitement et l'éditeur intervient en qualité de sous-traitant au sens de l'article 28 du RGPD.
3. Données collectées
| Catégorie | Exemples | Source |
|---|---|---|
| Données de compte | adresse e-mail, identifiant technique de compte, fournisseur de connexion (e-mail/mot de passe ou Google), statut de vérification de l'e-mail | l'utilisateur, Google |
| Profil d'entreprise | dénomination, SIRET, adresse, téléphone, logo, mentions d'assurance, coordonnées bancaires éventuelles | l'utilisateur |
| Données clients de l'artisan | nom, adresse, coordonnées, SIRET du client final | l'utilisateur, pour le compte de son client |
| Données de chantier | photographies du chantier, description / localisation des travaux, type de projet | l'utilisateur (appareil photo) |
| Données de devis | numéro, lignes de prestation, prix, TVA, montants | l'utilisateur |
| Données techniques | adresse IP, horodatages, journaux d'erreurs (réduits) | l'appareil et les serveurs |
L'Application ne collecte aucune donnée sensible au sens de l'article 9 du RGPD. Le mot de passe n'est jamais conservé en clair : son traitement est délégué au service d'authentification de Firebase. Avant tout envoi, les photographies sont redimensionnées et ré-encodées sur l'appareil, ce qui supprime les métadonnées (notamment la géolocalisation EXIF).
4. Finalités et bases légales
| Finalité | Base légale |
|---|---|
| Création et gestion du compte, authentification | Exécution du contrat — art. 6(1)(b) RGPD |
| Génération, stockage et consultation des devis | Exécution du contrat — art. 6(1)(b) ; obligation légale comptable — art. 6(1)(c) |
| Analyse automatisée des photographies par IA (voir §5) | À l'égard de l'artisan : exécution du contrat — art. 6(1)(b). À l'égard du propriétaire du bien : consentement obtenu par l'artisan — art. 6(1)(a) |
| Synchronisation hors-ligne et sauvegarde | Exécution du contrat — art. 6(1)(b) |
| Sécurité, prévention de la fraude, limitation de débit | Intérêt légitime — art. 6(1)(f) |
| Suppression de compte / droit à l'effacement | Obligation légale — art. 6(1)(c) et art. 17 RGPD |
5. Analyse par intelligence artificielle et transfert hors UE
Pour produire le diagnostic et la liste des postes de travaux, les photographies du chantier et le contexte saisi sont transmis, via une fonction serveur sécurisée, au service d'intelligence artificielle Google Gemini, exploité par Google LLC aux États-Unis. Ce traitement constitue donc un transfert de données en dehors de l'Union européenne.
- Encadrement du transfert : ce transfert repose sur la décision d'adéquation de la Commission européenne du 10 juillet 2023 relative au cadre de protection des données UE–États-Unis (EU-US Data Privacy Framework), Google LLC étant certifiée au titre de ce cadre — base juridique : article 45 du RGPD.
- Mesures de minimisation : compression et suppression des métadonnées EXIF avant l'envoi, plafond de taille par image, absence de stockage persistant côté service d'IA, isolation de chaque requête.
- Caractère non décisionnel : le diagnostic produit par l'IA ne constitue pas une décision automatisée produisant des effets juridiques au sens de l'article 22 du RGPD. L'artisan, professionnel humain, vérifie, modifie et valide le devis avant toute transmission à son client.
- Identification des contenus IA : conformément à l'article 50 du règlement (UE) 2024/1689 (« règlement IA »), les contenus générés par le système d'IA sont identifiés comme tels.
6. Hébergement et sous-traitants
L'Application s'appuie sur les services Google Firebase (authentification, base de données Firestore, stockage des fichiers, fonctions serveur), hébergés dans l'Union européenne (région europe-west1). Google agit en qualité de sous-traitant.
| Prestataire | Rôle | Localisation | Encadrement |
|---|---|---|---|
| Google (Firebase : Authentication, Firestore, Storage, Cloud Functions) | Hébergement, authentification, base de données, stockage | Union européenne (europe-west1) | Pas de transfert hors UE |
| Google LLC (API Gemini) | Analyse des photographies par IA | États-Unis | Adéquation EU-US DPF — art. 45 RGPD (voir §5) |
L'éditeur ne procède à aucune vente ni location des données. Les données ne sont communiquées qu'aux prestataires techniques ci-dessus et, le cas échéant, aux autorités publiques en cas d'obligation légale.
7. Durées de conservation
| Donnée | Durée | Fondement |
|---|---|---|
| Compte et authentification | Durée de vie du compte ; suppression sur demande | Art. 6(1)(b) RGPD |
| Profil, clients, devis émis | Durée du compte, puis 10 ans pour les pièces comptables | Art. L.123-22 Code de commerce ; art. 17(3)(b) RGPD |
| Photographies de chantier (stockage serveur) | 7 jours maximum, puis suppression automatique | Règle de cycle de vie du stockage |
| Adresse IP, compteurs anti-abus | 6 mois maximum | Art. 6(1)(f) RGPD |
| Journaux techniques | 30 jours | Politique de rétention de l'hébergeur |
8. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données : accès, rectification, effacement, limitation, opposition, portabilité et retrait du consentement à tout moment (sans effet sur les traitements déjà réalisés).
Vous pouvez exercer ces droits :
- directement depuis l'Application : Profil → Paramètres du compte → Supprimer mon compte (pour l'effacement) ;
- depuis la page publique de suppression de compte : https://ouvria.web.app/account-deletion ;
- par courriel à contact@chappygo.com.
L'éditeur répond dans un délai d'un mois (article 12(3) RGPD), prolongeable de deux mois en cas de complexité. Le traitement de votre demande est gratuit, sauf demande manifestement infondée ou excessive.
Réclamation. Vous pouvez introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL), 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr.
9. Suppression de votre compte
Vous pouvez supprimer votre compte et l'ensemble de vos données depuis l'Application (Profil → Paramètres du compte → Supprimer mon compte) ou en écrivant à contact@chappygo.com. La suppression entraîne l'effacement de votre compte, de votre profil, de vos clients, de vos devis et de vos photographies. Certaines pièces comptables peuvent être conservées jusqu'à 10 ans pour respecter nos obligations légales (voir §7). Les modalités détaillées figurent sur la page dédiée : https://ouvria.web.app/account-deletion.
10. Cookies et mesure d'audience
L'Application est une application mobile native : elle n'utilise pas de cookies publicitaires. Aucune mesure d'audience ni aucun profilage publicitaire ne sont activés. Seul un stockage local strictement nécessaire au fonctionnement du Service est utilisé.
11. Sécurité
L'éditeur met en œuvre des mesures techniques et organisationnelles appropriées (article 32 RGPD) : chiffrement des échanges (TLS), chiffrement du stockage local sensible, isolation des données par utilisateur, ré-authentification pour les opérations irréversibles, limitation de débit et réduction des journaux serveur.
12. Mineurs
Le Service est réservé aux professionnels du bâtiment majeurs. Il n'est pas destiné aux mineurs.
13. Modifications
La présente Politique peut être mise à jour. Toute modification substantielle sera portée à votre connaissance via l'Application ou par courriel, et la date de dernière mise à jour sera actualisée en conséquence.
14. Contact
Pour toute question relative à la protection de vos données : contact@chappygo.com — ChappyGo SAS, 961-1110 L'Occitane, 31670 Labège, France.