Politique de confidentialité
Dernière mise à jour : 5 mai 2026 — Version 2026.05.01
1. Responsable du traitement
Le responsable du traitement des données personnelles collectées sur devyz.fr et dans l'application Devyz est :
- Laurent Jachimiak — Entrepreneur Individuel, enseigne « Elginux »
- Adresse : Parentis-en-Born (40160), France
- Email RGPD dédié : privacy@elginux.fr
- SIRET : en cours d'attribution (reprise d'activité mai 2026)
Aucun délégué à la protection des données (DPO) n'a été désigné, la désignation n'étant pas obligatoire (art. 37 RGPD : volume et nature des traitements ne déclenchent pas l'obligation). Le responsable du traitement est joignable directement à l'adresse ci-dessus.
2. Périmètre et nature des données traitées
Devyz traite deux catégories de données distinctes :
2.1 Données de l'artisan utilisateur (responsable de traitement = Elginux)
- Données d'identification : nom, prénom, adresse email professionnelle
- Données de contact : téléphone, adresse postale professionnelle
- Données professionnelles : nom commercial, métier déclaré, SIRET, mentions légales du devis
- Données techniques de connexion : adresse IP, user-agent, horodatage des sessions, identifiant de session Supabase
- Données de facturation (à compter de l'activation de l'abonnement payant) : moyens de paiement collectés via Stripe
2.2 Données des clients finaux de l'artisan (responsable = artisan, sous-traitant = Elginux)
- Données d'identification du client final : nom, prénom ou raison sociale
- Coordonnées du client : adresse postale, email, téléphone
- Données du devis : intitulés des prestations, quantités, prix, conditions, dates
- Transcriptions vocales temporaires : audio non conservé côté serveur, transcript textuel transmis aux sous-traitants IA puis non persisté en clair (cf. §6)
- Photos de chantier (à compter de la version 2 de Devyz, lorsque la fonctionnalité sera activée)
Pour les données de la catégorie 2.2, Elginux agit en qualité de sous-traitant au sens de l'art. 28 RGPD. Les engagements correspondants figurent dans le contrat de sous-traitance DPA.
3. Finalités et bases légales
| Finalité | Base légale | Référence RGPD |
|---|---|---|
| Création et gestion du compte artisan, fourniture du service | Exécution du contrat | Art. 6.1.b |
| Génération des devis vocaux, structuration et envoi PDF | Exécution du contrat | Art. 6.1.b |
| Facturation et encaissement de l'abonnement | Exécution du contrat + obligation légale (registres comptables) | Art. 6.1.b et 6.1.c |
| Conservation des données comptables (factures émises) | Obligation légale (Code de commerce art. L. 123-22) | Art. 6.1.c |
| Support utilisateur, réponses aux demandes, gestion des incidents | Exécution du contrat | Art. 6.1.b |
| Mesure d'usage agrégée et anonyme du service (Vercel Analytics sans cookie) | Intérêt légitime | Art. 6.1.f |
| Sécurité de la plateforme, prévention de la fraude, journalisation | Intérêt légitime | Art. 6.1.f |
| Communication d'informations produit et nouveautés (utilisateurs actifs uniquement) | Intérêt légitime, droit d'opposition à tout moment | Art. 6.1.f |
Les opérations de prospection commerciale par voie électronique vers de nouveaux contacts B2B reposent sur l'intérêt légitime (art. 6.1.f), conformément à la position CNIL relative à la prospection professionnelle, et offrent à tout moment la possibilité de se désabonner.
4. Destinataires et sous-traitants
Les données sont destinées au seul responsable du traitement (Laurent Jachimiak) et aux sous-traitants techniques strictement nécessaires à la fourniture du service. Aucune donnée n'est cédée, louée ou vendue à des tiers à des fins commerciales.
4.1 Liste des sous-traitants
| Sous-traitant | Finalité | Localisation données | Cadre transfert |
|---|---|---|---|
| Supabase Inc. | Base de données, authentification, stockage | Frankfurt (Allemagne, UE) | UE — pas de transfert |
| Vercel Inc. | Hébergement web, exécution serveur | Frankfurt (Allemagne, UE) — entité juridique USA | SCC + EU-US Data Privacy Framework |
| Groq Inc. | Extraction structurée IA du devis (modèle gpt-oss-120b) à partir du transcript vocal | États-Unis | SCC (Décision 2021/914/UE) + DPA Groq |
| OpenAI, L.L.C. | Transcription vocale (Whisper) — conversion audio → texte | États-Unis | SCC (Décision 2021/914/UE) + DPA OpenAI |
| Resend | Envoi des emails transactionnels | UE (région européenne) | UE — pas de transfert |
| Stripe Payments Europe Ltd. (à compter de l'activation de l'abonnement payant) | Encaissement de l'abonnement | Irlande (UE) — réplications USA possibles | SCC + EU-US Data Privacy Framework |
4.2 Transferts hors Union européenne
Trois sous-traitants sont susceptibles de traiter des données aux États-Unis : Vercel Inc., Groq Inc. et OpenAI, L.L.C.. Ces transferts sont encadrés par :
- les Clauses Contractuelles Types (CCT / SCC) adoptées par la Commission européenne (Décision d'exécution 2021/914/UE du 4 juin 2021) ;
- l'adhésion des sous-traitants concernés au cadre de protection « EU-US Data Privacy Framework » lorsque celui-ci s'applique à leur activité (Décision d'adéquation du 10 juillet 2023).
Pour la transcription vocale, l'audio brut n'est jamais conservé sur les serveurs Devyz : il est traité en flux par OpenAI Whisper, le transcript textuel est ensuite transmis à Groq pour extraction structurée puis stocké en base aux fins d'audit légal (cf. §5). En cas de refus du transfert hors UE par l'artisan utilisateur ou son client final, un mode de saisie manuelle (formulaire ligne par ligne, sans IA) reste disponible.
5. Durées de conservation
| Donnée | Durée |
|---|---|
| Compte artisan actif (identifiants, profil, paramètres) | Pendant toute la durée de l'abonnement |
| Compte artisan désactivé / résilié | 3 ans à compter de la résiliation, puis suppression ou anonymisation |
| Devis et factures émis (registres comptables) | 10 ans (Code de commerce art. L. 123-22) |
| Pièces justificatives fiscales | 6 ans (Livre des procédures fiscales art. L. 102 B) |
| Logs techniques de sécurité (connexions, IP, user-agent) | 12 mois maximum (recommandation CNIL) |
| Transcriptions vocales brutes (audio) | Non conservées (traitement transitoire) |
| Transcript textuel + sortie IA brute (audit EU AI Act) | Liés au devis correspondant — durée 10 ans (alignement art. L. 123-22) |
| Données de prospects (waitlist, formulaire contact, sans devis émis) | 3 ans à compter du dernier contact (recommandation CNIL prospection B2B) |
| Cookies de session d'authentification | Durée de la session (suppression à la déconnexion) |
6. Sécurité des données
Devyz met en œuvre les mesures techniques et organisationnelles suivantes pour assurer un niveau de sécurité adapté au risque (art. 32 RGPD) :
- chiffrement des communications en transit (TLS 1.3) entre tous les composants ;
- chiffrement au repos (AES-256) de la base PostgreSQL Supabase ;
- cloisonnement des données par organisation via Row Level Security (RLS) PostgreSQL ;
- authentification par mot de passe haché (bcrypt) ou par lien magique à usage unique ;
- politique de mot de passe (8 caractères minimum) ;
- journalisation des accès et des opérations sensibles ;
- sauvegardes quotidiennes automatiques de la base de données (rétention 7 jours) ;
- limitation stricte des accès administratifs au seul responsable du traitement ;
- secrets et clés d'API conservés hors du code source, dans un coffre-fort dédié.
Conformément à l'art. 33 RGPD, toute violation de données à caractère personnel sera notifiée à la CNIL dans un délai de 72 heures à compter de sa constatation, et aux personnes concernées si la violation présente un risque élevé pour leurs droits et libertés (art. 34).
7. Droits des personnes concernées
Conformément aux articles 15 à 22 du RGPD et à la loi Informatique et Libertés modifiée, toute personne dont les données sont traitées dispose des droits suivants :
- Droit d'accès (art. 15) : obtenir confirmation que ses données sont traitées et en recevoir une copie ;
- Droit de rectification (art. 16) : faire corriger des données inexactes ou incomplètes ;
- Droit à l'effacement (art. 17) : demander la suppression des données, sauf obligation légale de conservation ;
- Droit à la limitation (art. 18) : restreindre temporairement le traitement ;
- Droit à la portabilité (art. 20) : recevoir les données dans un format structuré et lisible par machine (export JSON sous 30 jours) ;
- Droit d'opposition (art. 21) : s'opposer au traitement fondé sur l'intérêt légitime, notamment à la prospection commerciale ;
- Droit de définir des directives sur le sort de ses données après son décès (art. 85 loi Informatique et Libertés).
Ces droits s'exercent par email à privacy@elginux.fr, avec justification de l'identité en cas de doute raisonnable. Une réponse est apportée dans un délai d'un mois (prorogeable à trois mois si la demande est complexe).
Pour les données traitées par Devyz pour le compte d'un artisan utilisateur (clients finaux de l'artisan), la demande doit être adressée à l'artisan responsable de traitement. Devyz, en sa qualité de sous-traitant, assistera l'artisan dans le traitement de la demande conformément au DPA.
8. Cookies et traceurs
Devyz n'utilise que des cookies strictement nécessaires au fonctionnement de l'application :
- cookie de session d'authentification Supabase (durée : session) ;
- cookie de préférence d'affichage (mode sombre / clair).
Aucun cookie de mesure d'audience tierce, de publicité, de profilage ou de réseau social n'est déposé. Vercel Analytics et Vercel Speed Insights sont configurés sans cookie ni identifiant utilisateur. En conséquence, aucun bandeau de consentement n'est affiché (art. 82 loi Informatique et Libertés modifiée — exemption pour cookies strictement nécessaires).
9. Décisions automatisées et profilage
Devyz utilise des outils d'intelligence artificielle (Groq et OpenAI Whisper) pour la transcription vocale et la structuration du devis. Ces traitements n'entraînent aucune décision juridique ou significativeà l'égard d'une personne au sens de l'art. 22 RGPD : la sortie IA est systématiquement soumise à validation humaine par l'artisan avant tout envoi au client final.
Conformément à l'article 50 §1 du Règlement européen sur l'intelligence artificielle (EU AI Act), applicable au 2 août 2026, chaque devis généré porte la mention explicite de l'assistance IA et du modèle utilisé.
10. Réclamation auprès de la CNIL
Toute personne estimant que le traitement de ses données ne respecte pas la réglementation peut adresser une réclamation à la Commission nationale de l'informatique et des libertés (CNIL) :
- 3 place de Fontenoy — TSA 80715 — 75334 PARIS CEDEX 07
- Téléphone : 01 53 73 22 22
- Site : www.cnil.fr/fr/plaintes
11. Modifications de la présente politique
La présente politique de confidentialité peut être modifiée à tout moment pour refléter les évolutions du service, des obligations légales ou des sous-traitants. Toute modification substantielle sera notifiée aux utilisateurs par email et / ou par bandeau dans l'application au moins 30 jours avant son entrée en vigueur. La date de dernière mise à jour figure en tête du présent document.
12. Contact
Pour toute question relative au traitement de vos données personnelles : privacy@elginux.fr.