Légal

Politique de confidentialité

Dernière mise à jour : juin 2026 · En vigueur depuis le 1er janvier 2025

Cette politique décrit comment Ompalea (« nous », « notre ») collecte, utilise et protège les données personnelles des utilisateurs du service ompalea.com. Nous prenons la protection de vos données très au sérieux et nous engageons à respecter le Règlement général sur la protection des données (RGPD) et la loi Informatique et Libertés.

1

Responsable du traitement

Le responsable du traitement de vos données personnelles est :

Dénomination : Ompalea
Service : ompalea.com

Une question sur le traitement de vos données ? Écrivez-nous directement à l'adresse ci-dessus.

2

Données que nous collectons

Nous collectons uniquement les données strictement nécessaires au fonctionnement du service. Voici le détail de chaque catégorie :

Données de compte

Adresse e-mail — utilisée comme identifiant unique pour créer et accéder à votre compte, et pour vous envoyer des communications de service (confirmation d'inscription, réinitialisation de mot de passe, alertes quota).
Mot de passe — jamais stocké en clair. Nous utilisons l'algorithme de hachage bcrypt avec un sel aléatoire. Personne chez Ompalea ne peut lire votre mot de passe.
Date d'inscription et dernière connexion — conservées à des fins de sécurité (détection d'accès non autorisé).

Fichiers uploadés

Les fichiers que vous déposez dans le chat (Excel, CSV, PDF, images…) sont stockés temporairement sur nos serveurs le temps de répondre à votre demande. Ils sont supprimés automatiquement sous 24 heures. Aucun employé Ompalea n'a accès à leur contenu.
Les fichiers ne sont jamais utilisés pour entraîner un modèle d'IA, ni partagés avec des tiers, ni indexés.

Données de paiement

Les paiements sont intégralement gérés par notre prestataire Stripe. Nous ne recevons ni ne stockons jamais vos numéros de carte bancaire, dates d'expiration ou CVV. Seul un identifiant de client Stripe est conservé dans notre base de données pour gérer votre abonnement.

Données d'usage

Logs techniques : adresse IP, navigateur, horodatage des requêtes — conservés 30 jours à des fins de sécurité et de débogage.
Métriques anonymisées : nombre de messages envoyés, plan souscrit, fonctionnalités utilisées — sans aucune information identifiante, pour améliorer le service.

Données de connexion Google OAuth (optionnel)

Si vous choisissez de vous connecter via Google, nous recevons votre adresse e-mail et votre nom d'affichage. Aucun autre accès à votre compte Google n'est demandé.
3

Finalités et bases légales

Chaque traitement repose sur une base légale conforme au RGPD :

FinalitéBase légale
Création et gestion de votre compteExécution du contrat
Traitement de vos fichiers par IAExécution du contrat
Gestion des abonnements et facturationExécution du contrat + obligation légale
Envoi d'e-mails transactionnelsExécution du contrat
Sécurité, prévention de la fraudeIntérêt légitime
Analyses d'usage anonymiséesIntérêt légitime
Respect des obligations comptablesObligation légale

Nous n'effectuons aucun traitement à des fins de prospection commerciale sans votre consentement explicite.

4

Destinataires des données

Vos données peuvent être transmises aux sous-traitants techniques suivants, dans le strict cadre de la prestation du service :

PrestataireRôleLocalisation
SupabaseBase de données et authentificationUnion européenne
RenderHébergement du serveur applicatifÉtats-Unis (contrat DPA en place)
StripeTraitement des paiementsÉtats-Unis / UE (certifié PCI-DSS)
ResendEnvoi d'e-mails transactionnelsÉtats-Unis (contrat DPA en place)
AnthropicModèle IA pour traiter vos requêtesÉtats-Unis (API professionnelle, aucune rétention)
PostHogAnalyses d'usage anonymiséesUnion européenne
SentryMonitoring d'erreurs (données anonymisées)États-Unis (contrat DPA en place)

Nous ne vendons, ne louons et ne cédons jamais vos données à des tiers à des fins commerciales ou publicitaires.

5

Transferts hors de l'Union européenne

Certains de nos sous-traitants sont établis aux États-Unis (Render, Stripe, Resend, Anthropic, Sentry). Ces transferts sont encadrés par des clauses contractuelles types (CCT) approuvées par la Commission européenne, conformément à l'article 46 du RGPD.

Pour Stripe spécifiquement, le transfert est également couvert par la certification EU-US Data Privacy Framework.

Supabase et PostHog traitent vos données au sein de l'Union européenne.

6

Durées de conservation

Catégorie de donnéesDurée de conservation
Fichiers uploadés dans le chatSupprimés sous 24h après le traitement
Compte utilisateur actifJusqu'à la suppression du compte
Données de compte après suppression30 jours (récupération possible), puis effacement définitif
Logs techniques (IP, accès)30 jours
Données de facturation10 ans (obligation comptable légale)
Métriques d'usage anonymiséesDurée indéfinie (aucune donnée identifiante)
7

Vos droits

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants concernant vos données personnelles :

Droit d'accès (art. 15 RGPD) — obtenir la confirmation que nous traitons vos données et recevoir une copie de celles-ci.
Droit de rectification (art. 16) — faire corriger des informations inexactes ou incomplètes.
Droit à l'effacement (art. 17) — demander la suppression de votre compte et de l'ensemble de vos données personnelles, sous réserve des obligations légales de conservation.
Droit à la portabilité (art. 20) — recevoir vos données dans un format structuré, couramment utilisé et lisible par machine.
Droit d'opposition (art. 21) — vous opposer à un traitement fondé sur l'intérêt légitime (ex : analyses d'usage).
Droit à la limitation du traitement (art. 18) — demander la suspension temporaire du traitement dans certains cas prévus par le RGPD.
Pour exercer l'un de ces droits, envoyez votre demande à contact@ompalea.com. Nous vous répondrons dans un délai maximum de 30 jours. Pour les demandes complexes, ce délai peut être porté à 3 mois (vous en serez informé).
8

Cookies et traceurs

Cookies strictement nécessaires

Ces cookies sont indispensables au fonctionnement du service. Ils ne peuvent pas être désactivés.

ompalea_token — jeton d'authentification JWT. Durée : session + 7 jours. Permet de vous maintenir connecté.
ompalea_lang — langue d'affichage sélectionnée. Durée : 1 an.

Cookies analytiques (PostHog)

Nous utilisons PostHog pour mesurer l'usage du service de façon anonymisée (pages visitées, fonctionnalités utilisées). Aucune donnée permettant de vous identifier personnellement n'est collectée ou transmise. Ces cookies sont soumis à votre consentement implicite lors de l'utilisation du service.

Pour en savoir plus ou vous opposer à ce traceur : posthog.com/privacy.

Ce que nous n'utilisons pas

Ompalea n'utilise aucun cookie publicitaire, aucun pixel de suivi tiers (Facebook, Google Ads, etc.), et aucun outil de profilage comportemental.

9

Sécurité des données

Nous mettons en œuvre les mesures techniques et organisationnelles suivantes pour protéger vos données :

Chiffrement en transit — toutes les communications entre votre navigateur et nos serveurs sont chiffrées via TLS 1.3 (HTTPS).
Chiffrement au repos — les données stockées dans notre base (Supabase) sont chiffrées au niveau du disque.
Hachage des mots de passe — algorithme bcrypt avec facteur de coût élevé. Aucun mot de passe lisible n'est jamais stocké.
Isolation des fichiers — chaque fichier uploadé est associé à un identifiant unique et accessible uniquement par son propriétaire.
Accès restreint — seul le code applicatif accède aux données. Aucun membre de l'équipe Ompalea n'a un accès direct en lecture à vos fichiers ou messages.
Surveillance — les erreurs et anomalies sont monitorées via Sentry avec des données anonymisées.

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à notifier la CNIL dans les 72 heures, et vous-même dans les meilleurs délais si le risque est élevé.

10

Mineurs

Le service Ompalea est destiné aux personnes âgées de 16 ans et plus. Nous ne collectons pas sciemment de données personnelles concernant des enfants de moins de 16 ans. Si vous avez connaissance qu'un mineur de moins de 16 ans a créé un compte, contactez-nous à contact@ompalea.com : nous procéderons à la suppression immédiate du compte et des données associées.

11

Modifications de cette politique

Nous nous réservons le droit de modifier cette politique de confidentialité à tout moment. En cas de modification substantielle (changement de finalité, nouveau sous-traitant, nouveau type de données), nous vous en informerons par e-mail au moins 15 jours avant l'entrée en vigueur des modifications.

La version en vigueur est toujours accessible à l'adresse ompalea.com/privacy. La date de dernière mise à jour figure en haut de ce document.

12

Contact et droit de réclamation

Pour toute question sur cette politique ou pour exercer vos droits :

Ompalea — Service protection des données

E-mail : contact@ompalea.com

Délai de réponse : 30 jours maximum

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) :

Site web : www.cnil.fr
Téléphone : 01 53 73 22 22
Adresse : 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07