Cette politique décrit comment Ompalea (« nous », « notre ») collecte, utilise et protège les données personnelles des utilisateurs du service ompalea.com. Nous prenons la protection de vos données très au sérieux et nous engageons à respecter le Règlement général sur la protection des données (RGPD) et la loi Informatique et Libertés.
Responsable du traitement
Le responsable du traitement de vos données personnelles est :
Une question sur le traitement de vos données ? Écrivez-nous directement à l'adresse ci-dessus.
Données que nous collectons
Nous collectons uniquement les données strictement nécessaires au fonctionnement du service. Voici le détail de chaque catégorie :
Données de compte
Fichiers uploadés
Données de paiement
Données d'usage
Données de connexion Google OAuth (optionnel)
Finalités et bases légales
Chaque traitement repose sur une base légale conforme au RGPD :
| Finalité | Base légale |
|---|---|
| Création et gestion de votre compte | Exécution du contrat |
| Traitement de vos fichiers par IA | Exécution du contrat |
| Gestion des abonnements et facturation | Exécution du contrat + obligation légale |
| Envoi d'e-mails transactionnels | Exécution du contrat |
| Sécurité, prévention de la fraude | Intérêt légitime |
| Analyses d'usage anonymisées | Intérêt légitime |
| Respect des obligations comptables | Obligation légale |
Nous n'effectuons aucun traitement à des fins de prospection commerciale sans votre consentement explicite.
Destinataires des données
Vos données peuvent être transmises aux sous-traitants techniques suivants, dans le strict cadre de la prestation du service :
| Prestataire | Rôle | Localisation |
|---|---|---|
| Supabase | Base de données et authentification | Union européenne |
| Render | Hébergement du serveur applicatif | États-Unis (contrat DPA en place) |
| Stripe | Traitement des paiements | États-Unis / UE (certifié PCI-DSS) |
| Resend | Envoi d'e-mails transactionnels | États-Unis (contrat DPA en place) |
| Anthropic | Modèle IA pour traiter vos requêtes | États-Unis (API professionnelle, aucune rétention) |
| PostHog | Analyses d'usage anonymisées | Union européenne |
| Sentry | Monitoring d'erreurs (données anonymisées) | États-Unis (contrat DPA en place) |
Nous ne vendons, ne louons et ne cédons jamais vos données à des tiers à des fins commerciales ou publicitaires.
Transferts hors de l'Union européenne
Certains de nos sous-traitants sont établis aux États-Unis (Render, Stripe, Resend, Anthropic, Sentry). Ces transferts sont encadrés par des clauses contractuelles types (CCT) approuvées par la Commission européenne, conformément à l'article 46 du RGPD.
Pour Stripe spécifiquement, le transfert est également couvert par la certification EU-US Data Privacy Framework.
Supabase et PostHog traitent vos données au sein de l'Union européenne.
Durées de conservation
| Catégorie de données | Durée de conservation |
|---|---|
| Fichiers uploadés dans le chat | Supprimés sous 24h après le traitement |
| Compte utilisateur actif | Jusqu'à la suppression du compte |
| Données de compte après suppression | 30 jours (récupération possible), puis effacement définitif |
| Logs techniques (IP, accès) | 30 jours |
| Données de facturation | 10 ans (obligation comptable légale) |
| Métriques d'usage anonymisées | Durée indéfinie (aucune donnée identifiante) |
Vos droits
Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants concernant vos données personnelles :
Cookies et traceurs
Cookies strictement nécessaires
Ces cookies sont indispensables au fonctionnement du service. Ils ne peuvent pas être désactivés.
Cookies analytiques (PostHog)
Nous utilisons PostHog pour mesurer l'usage du service de façon anonymisée (pages visitées, fonctionnalités utilisées). Aucune donnée permettant de vous identifier personnellement n'est collectée ou transmise. Ces cookies sont soumis à votre consentement implicite lors de l'utilisation du service.
Pour en savoir plus ou vous opposer à ce traceur : posthog.com/privacy.
Ce que nous n'utilisons pas
Ompalea n'utilise aucun cookie publicitaire, aucun pixel de suivi tiers (Facebook, Google Ads, etc.), et aucun outil de profilage comportemental.
Sécurité des données
Nous mettons en œuvre les mesures techniques et organisationnelles suivantes pour protéger vos données :
En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à notifier la CNIL dans les 72 heures, et vous-même dans les meilleurs délais si le risque est élevé.
Mineurs
Le service Ompalea est destiné aux personnes âgées de 16 ans et plus. Nous ne collectons pas sciemment de données personnelles concernant des enfants de moins de 16 ans. Si vous avez connaissance qu'un mineur de moins de 16 ans a créé un compte, contactez-nous à contact@ompalea.com : nous procéderons à la suppression immédiate du compte et des données associées.
Modifications de cette politique
Nous nous réservons le droit de modifier cette politique de confidentialité à tout moment. En cas de modification substantielle (changement de finalité, nouveau sous-traitant, nouveau type de données), nous vous en informerons par e-mail au moins 15 jours avant l'entrée en vigueur des modifications.
La version en vigueur est toujours accessible à l'adresse ompalea.com/privacy. La date de dernière mise à jour figure en haut de ce document.
Contact et droit de réclamation
Pour toute question sur cette politique ou pour exercer vos droits :
Ompalea — Service protection des données
E-mail : contact@ompalea.com
Délai de réponse : 30 jours maximum
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) :