Politique de confidentialité
Chez Omnysia, nous prenons la protection de vos données personnelles au sérieux. Cette politique vous explique, en français clair, ce que nous collectons, pourquoi, avec qui nous travaillons, combien de temps nous conservons vos données et quels sont vos droits. Elle s'inscrit dans le respect du Règlement général sur la protection des données (RGPD — Règlement (UE) 2016/679) et de la loi n° 78-17 du 6 janvier 1978 modifiée (loi « Informatique et Libertés »).
1. Qui est responsable de vos données ?
Le responsable de traitement au sens de l'article 4 (7) du RGPD est :
- Nom : Warren-Georges Maunier
- Statut : entrepreneur individuel (micro-entreprise)
- SIRET : 99537687800022
- Adresse : 12 rue de la Part-Dieu, 69003 Lyon, France
- Contact vie privée / RGPD : privacy@omnysia.fr
- Contact général : contact@omnysia.fr
Aucun délégué à la protection des données (DPO) n'a été désigné : la désignation d'un DPO n'est pas obligatoire pour Omnysia au sens de l'article 37 du RGPD (absence d'activité principale consistant en un suivi systématique et à grande échelle, absence de traitement à grande échelle de catégories particulières de données). Toute question relative à la vie privée est traitée par l'éditeur à l'adresse privacy@omnysia.fr.
2. Quelles données collectons-nous ?
2.1 Données de compte
- Nom, prénom
- Adresse courriel professionnelle
- Mot de passe (stocké sous forme de hachage cryptographique irréversible, jamais en clair)
- Préférences et paramètres du compte
2.2 Données de messagerie et calendrier (via Unipile SAS)
- Expéditeurs, destinataires, objets, dates, corps des courriels
- Métadonnées des pièces jointes (nom, taille, type MIME)
- Titres, dates, durées, participants et descriptions des événements de calendrier
- Jetons d'accès OAuth (ou équivalents) conservés par Unipile SAS, sous-traitant technique d'Omnysia (voir section 5), pour le compte de l'Utilisateur qui en a donné le consentement explicite
L'accès à ces données nécessite votre consentement explicite lors du branchement de votre compte via Unipile SAS. Ce consentement est révocable à tout moment, soit depuis Omnysia, soit depuis votre fournisseur d'origine (Google, Microsoft, Apple, IMAP).
2.3 Données métier saisies dans l'application
- Contacts, prospects, deals, opportunités commerciales
- Tâches internes, notes, rappels
- Documents générés (devis, factures, courriers, synthèses)
- Historique des conversations textuelles et vocales avec l'assistant
2.4 Données de paiement
- Identifiant client Stripe, historique d'abonnement, factures
- Omnysia ne stocke jamais vos données de carte bancaire — elles sont gérées exclusivement par Stripe (certifié PCI DSS niveau 1).
2.5 Données vocales (module Éclat)
- Enregistrements audio bruts : non conservés. Traités en streaming temps réel via LiveKit / Deepgram, puis immédiatement supprimés après transcription.
- Transcriptions textuelles : conservées pour historique et amélioration personnelle de l'expérience, dans la limite indiquée à la section 9.
- Synthèse vocale (TTS) : les textes de réponse sont transmis à Cartesia pour génération audio, qui est diffusée à l'Utilisateur sans conservation au-delà du temps nécessaire à la session.
2.6 Données techniques et journaux
- Adresse IP, type de navigateur, système d'exploitation
- Horodatage des connexions et actions (piste d'audit)
- Jetons OAuth (chiffrés AES-256-GCM côté prestataire technique et / ou Omnysia selon le flux)
3. Pour quoi faire ?
| Finalité | Description |
|---|---|
| Gestion de compte | Création, authentification, gestion des droits, support. |
| Service email et calendrier | Tri, classification, brouillons, alertes, propositions de créneaux — assistés par IA. |
| Pipeline, contacts, tâches, documents | Gestion de l'activité professionnelle de l'Utilisateur dans l'application. |
| Module vocal Éclat | Transcription et exécution de commandes vocales via LiveKit / Deepgram / Cartesia. |
| Facturation et paiement | Gestion des abonnements via Stripe, émission de factures. |
| Communications transactionnelles | Envoi de courriels transactionnels via Resend (confirmation d'inscription, alerte quota, fin de garantie, factures…). |
| Sécurité et audit | Détection d'anomalies, traçabilité, protection anti-fraude. |
| Amélioration du service | Analyse agrégée des usages, sans revente, sans profilage publicitaire. |
4. Sur quelle base légale ?
| Traitement | Base légale RGPD |
|---|---|
| Compte, pipeline, tâches, documents, vocal Éclat | Exécution du contrat — article 6.1.b |
| Connexion email / calendrier via un prestataire technique et traitement IA des contenus | Consentement explicite — article 6.1.a |
| Facturation Stripe | Exécution du contrat + obligation légale — art. 6.1.b et 6.1.c |
| Conservation des factures 10 ans | Obligation légale — art. 6.1.c (Code de commerce, Livre des procédures fiscales) |
| Journaux techniques, sécurité, piste d'audit | Intérêt légitime — art. 6.1.f (conformément aux recommandations CNIL 2024-2025 sur l'IA et à l'obligation LCEN de conservation des journaux de connexion) |
Lorsque le traitement repose sur le consentement, celui-ci peut être retiré à tout moment, sans que cela affecte la licéité des traitements antérieurs (art. 7.3 du RGPD). Le retrait s'effectue depuis Paramètres > Confidentialité et IA ou par courriel à privacy@omnysia.fr.
5. Qui a accès à vos données ? (sous-traitants, article 28 RGPD)
Pour fournir le service, Omnysia fait appel aux sous-traitants listés ci-dessous. Des contrats de sous-traitance (DPA) conformes à l'article 28 du RGPD sont en place ou en cours de formalisation avec chacun. Aucune donnée n'est cédée à des tiers à des fins commerciales, publicitaires ou de profilage.
| Sous-traitant | Finalité | Localisation du traitement | Garantie hors UE |
|---|---|---|---|
| Hostinger International Ltd | Hébergement de l'application SaaS et de la base de données PostgreSQL auto-hébergée | France — Paris (datacenter physique) | Aucun transfert hors UE |
| Vercel Inc. | Hébergement du site vitrine omnysia.fr (statique) | États-Unis | SCC (clauses contractuelles types) |
| Unipile SAS Siège : 168 rue de la Rotonde, 42153 Riorges, France · RCS Roanne 885 265 505 |
Connexion sécurisée aux fournisseurs d'email et de calendrier (Gmail, Outlook, iCloud, IMAP), conservation des jetons d'accès au nom d'Omnysia | France (hébergement Scaleway) | Aucun transfert hors UE. Contrat de sous-traitance (DPA article 28 RGPD) signé le 16 avril 2026 entre Omnysia et Unipile SAS. |
| Anthropic PBC | Traitement par le modèle d'IA Claude (conversation, génération de brouillons, classification, synthèses, appels d'outils) | États-Unis | SCC + DPA Anthropic. Anthropic s'engage contractuellement à ne pas utiliser les données transmises via son API pour entraîner ses modèles. |
| OpenAI, L.L.C. | Sous-traitant de secours (fallback) pour les services vocaux (synthèse TTS, reconnaissance STT) et de traitement conversationnel (LLM), activé uniquement en cas d'indisponibilité des sous-traitants principaux (Cartesia, Deepgram, Anthropic). Toute activation de ce fallback est journalisée et notifiée à l'équipe Omnysia. | États-Unis | SCC + DPA OpenAI |
| Cartesia Inc. | Synthèse vocale (texte vers audio) pour le module Éclat | États-Unis | SCC |
| Deepgram Inc. | Reconnaissance vocale (audio vers texte) pour le module Éclat | États-Unis | SCC |
| LiveKit Inc. | Transport temps réel des flux audio pour les sessions vocales | États-Unis | SCC |
| Stripe, Inc. et Stripe Payments Europe Ltd | Traitement des paiements, facturation, gestion des abonnements | Irlande (UE) et États-Unis | DPF UE-USA + SCC — certification PCI DSS niveau 1 |
| Resend Inc. | Envoi de courriels transactionnels | États-Unis | SCC + DPA Resend |
| Google LLC (Google Workspace) | Messagerie professionnelle Omnysia (contact@, support@, privacy@) — Google n'accède pas aux données utilisateurs du service, uniquement aux courriels échangés avec Omnysia | États-Unis | DPF UE-USA + SCC |
Liste des sous-traitants mise à jour régulièrement. L'identité du prestataire technique en charge de la connexion email et calendrier multi-provider sera précisée dans cette page dès signature du DPA correspondant, avant la mise en service publique.
6. Transferts de données hors de l'Union européenne
Certains de nos sous-traitants sont établis aux États-Unis (Anthropic, Cartesia, Deepgram, LiveKit, Stripe, Resend, Google, Vercel, et le cas échéant OpenAI). Les transferts vers ces destinataires sont encadrés par les mécanismes suivants, conformément aux articles 44 à 49 du RGPD :
- Data Privacy Framework UE-USA (DPF) — décision d'adéquation de la Commission européenne du 10 juillet 2023 — pour les sous-traitants certifiés (Google, Stripe).
- Clauses contractuelles types (SCC) — Module 2 (responsable vers sous-traitant), décision d'exécution (UE) 2021/914 de la Commission européenne — pour les autres destinataires.
- Mesures techniques et organisationnelles complémentaires : minimisation des données envoyées, chiffrement en transit TLS 1.3, engagements contractuels de non-réentraînement des modèles d'IA, pseudonymisation lorsqu'elle est techniquement possible.
Une analyse des risques de transfert (« Transfer Impact Assessment » post-Schrems II) est en cours de formalisation pour les destinataires principaux (Anthropic, Cartesia, Deepgram, LiveKit, Resend) et sera tenue à disposition de la CNIL sur demande.
7. Sécurité : ce que nous faisons et ce que nous ne faisons pas
Voir la page sécurité pour le détail technique (mesures de sécurité, chiffrement, sauvegardes, gestion des violations).
7.1 Ce que nous faisons
- Chiffrement en transit : TLS 1.3 pour toutes les communications entre votre navigateur, Omnysia et nos sous-traitants.
- Chiffrement au repos des données sensibles : jetons OAuth chiffrés (AES-256-GCM) avant stockage.
- Hachage des mots de passe : bcrypt ou équivalent à l'état de l'art, non réversible.
- Isolation multi-tenant : chaque compte est identifié de façon unique ; les requêtes sont filtrées au niveau applicatif pour empêcher tout accès croisé (chantier d'isolation renforcée livré et testé avant le lancement, incluant 82 routes migrées vers une extension d'isolation durcie et 13 tests d'étanchéité bout-en-bout).
- Piste d'audit : journalisation des actions sensibles.
- Sauvegardes chiffrées régulières avec rotation automatique.
7.2 Ce que nous ne faisons pas (transparence)
- Le service n'est PAS chiffré de bout en bout (end-to-end). Pour que l'IA puisse lire et traiter vos contenus (emails, documents, requêtes), ils sont déchiffrés sur les serveurs Omnysia. C'est un choix inhérent au fonctionnement d'un assistant IA.
- Vos données applicatives sont hébergées en France (Hostinger, Paris), mais certains traitements IA et techniques impliquent des transferts hors de France vers les États-Unis (voir section 6).
Si ces choix ne vous conviennent pas, nous vous invitons à ne pas utiliser le service.
7.3 En cas de violation de données
En cas de violation de sécurité entraînant un risque pour les droits et libertés des personnes, Omnysia s'engage à :
- notifier la CNIL dans un délai de 72 heures (article 33 du RGPD) ;
- informer les personnes concernées si la violation présente un risque élevé (article 34 du RGPD) ;
- documenter l'incident dans le registre des violations et appliquer les mesures correctives nécessaires.
8. Transparence sur l'usage de l'intelligence artificielle (AI Act)
Conformément à l'article 50 du Règlement (UE) 2024/1689 du 13 juin 2024 établissant des règles harmonisées concernant l'intelligence artificielle (« AI Act »), applicable à compter du 2 août 2026, Omnysia vous informe de manière explicite que :
- Vous interagissez avec un système d'intelligence artificielle dès que vous utilisez les fonctionnalités : génération de brouillons d'emails, tri et classification automatique, alertes et priorisation, synthèses et briefings, génération de documents, conversation textuelle ou vocale avec l'assistant (module Éclat), transcription vocale.
- Le fournisseur du modèle d'IA conversationnelle est Anthropic PBC, via le modèle Claude. Les fonctions vocales s'appuient sur Cartesia (synthèse), Deepgram (reconnaissance), LiveKit (transport).
- Les contenus générés par l'IA sont identifiés dans l'interface par une mention explicite (« IA », « Brouillon IA », « Synthèse IA », « Suggéré par l'IA »…) afin de pouvoir les distinguer d'un contenu humain.
- L'IA n'est pas infaillible : les contenus générés peuvent être inexacts, incomplets ou non pertinents. Vous êtes tenu de les vérifier avant toute utilisation, a fortiori avant tout envoi à un tiers.
- Aucune décision juridiquement significative n'est prise de manière entièrement automatisée au sens de l'article 22 du RGPD. Toutes les actions IA sont des suggestions que vous validez, modifiez ou rejetez avant exécution.
- Vous pouvez désactiver certaines fonctions IA depuis Paramètres > Confidentialité et IA. Certaines fonctions restent indissociables du service.
Cette section sera mise à jour si l'AI Act évolue, si Omnysia ajoute de nouveaux fournisseurs d'IA ou de nouvelles fonctionnalités, ou si le statut d'Omnysia au titre de l'AI Act évolue (à ce jour : fournisseur d'un système d'IA à risque limité au sens de l'article 50, non classé à haut risque).
9. Combien de temps conservons-nous vos données ?
| Type de donnée | Durée de conservation |
|---|---|
| Compte utilisateur actif | Durée de l'abonnement |
| Compte après résiliation | Délai de grâce de 30 jours, puis suppression |
| Métadonnées des emails traités | Durée du contrat, suppression sous 30 jours après résiliation |
| Contenu brut des emails (cache IA) | 90 jours maximum, puis suppression automatique |
| Données métier (contacts, deals, tâches, documents) | Durée du contrat, suppression sous 30 jours après résiliation |
| Factures émises par Omnysia | 10 ans (obligation légale comptable et fiscale, art. L. 123-22 du Code de commerce) |
| Jetons OAuth connexion email / calendrier (chiffrés) | Durée de la connexion, révocation immédiate à la déconnexion |
| Enregistrements audio bruts (vocal) | Non conservés — traités en temps réel puis supprimés |
| Transcriptions vocales (texte) | 90 jours maximum |
| Piste d'audit / journal de sécurité | 12 à 36 mois selon criticité |
| Journaux de connexion (obligations LCEN) | 12 mois (art. 6-II LCEN) |
| Sauvegardes chiffrées | 30 jours (rotation automatique) |
| Registre des violations de données | 5 ans minimum |
Une partie de ces durées est configurable depuis Paramètres > Confidentialité et IA. Un processus automatisé applique ces durées quotidiennement.
10. Vos droits
Le RGPD vous confère plusieurs droits sur vos données personnelles :
- Accès (art. 15) : obtenir la confirmation que vos données sont traitées et en recevoir une copie.
- Rectification (art. 16) : faire corriger des données inexactes ou incomplètes.
- Effacement / « droit à l'oubli » (art. 17) : demander la suppression de vos données, sous réserve des obligations légales (ex. factures conservées 10 ans).
- Portabilité (art. 20) : recevoir vos données dans un format structuré (JSON / CSV) et les transmettre à un autre service.
- Opposition (art. 21) : vous opposer à un traitement fondé sur l'intérêt légitime.
- Limitation (art. 18) : demander la suspension temporaire d'un traitement.
- Décision automatisée (art. 22) : le service ne prend aucune décision entièrement automatisée produisant des effets juridiques à votre égard ; toutes les actions IA restent des suggestions soumises à votre validation.
- Retrait du consentement (art. 7.3) : pour les traitements fondés sur le consentement, vous pouvez le retirer à tout moment.
- Directives post-mortem (article 85 de la loi n° 78-17 du 6 janvier 1978 modifiée) : les personnes physiques peuvent définir les modalités de conservation, d'effacement et de communication de leurs données après leur décès. Cette disposition s'applique aux membres personnes physiques utilisant le Service à titre individuel ; elle ne s'applique pas aux comptes d'une personne morale.
10.1 Comment exercer vos droits
- Depuis l'application : Paramètres > Confidentialité et IA (export, suppression, gestion des connexions, désactivation de certaines fonctions IA).
- Par courriel : privacy@omnysia.fr.
Délai de réponse : un (1) mois à compter de la réception, prolongeable de deux (2) mois supplémentaires en cas de complexité ou de nombre élevé de demandes (article 12.3 du RGPD ; vous en serez informé dans le mois).
Vérification d'identité : pour protéger vos données, il peut vous être demandé de justifier votre identité avant de traiter une demande sensible (suppression, portabilité).
10.2 Droit de réclamation auprès de la CNIL
Si vous estimez que le traitement de vos données constitue une violation du RGPD, vous avez le droit d'introduire une réclamation auprès de la CNIL :
Commission Nationale de l'Informatique et des Libertés
3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
Téléphone : 01 53 73 22 22 — cnil.fr
11. Cookies
Le service utilise uniquement des cookies strictement nécessaires à son fonctionnement (session, authentification, protection CSRF, préférences d'interface). Ces cookies ne nécessitent pas votre consentement préalable au sens des lignes directrices CNIL du 17 septembre 2020 modifiées.
À ce jour, Omnysia n'utilise aucun cookie publicitaire, aucun cookie de profilage, aucun tracker tiers de mesure d'audience non exempté. Si cela devait évoluer (ajout d'un outil d'analyse par exemple), votre consentement serait recueilli préalablement via un bandeau dédié conforme aux exigences CNIL.
12. Mineurs
Le service est destiné à un usage strictement professionnel par des personnes majeures agissant dans le cadre de leur activité. Aucune inscription d'un mineur de moins de 18 ans n'est volontairement acceptée. Si vous êtes parent ou tuteur et pensez qu'un mineur nous a communiqué des données, contactez-nous à privacy@omnysia.fr pour suppression immédiate.
13. Modifications de cette politique
Nous pouvons modifier cette politique pour l'adapter aux évolutions légales, techniques ou du service. En cas de modification substantielle (nouveau sous-traitant, nouveau traitement, changement de durées de conservation, évolution du périmètre IA), vous serez informé par courriel au moins 15 jours avant l'entrée en vigueur. L'historique des versions est disponible sur demande à privacy@omnysia.fr.
14. Contact
- Vie privée et RGPD : privacy@omnysia.fr
- Support technique : support@omnysia.fr
- Contact général : contact@omnysia.fr
- Adresse postale : 12 rue de la Part-Dieu, 69003 Lyon, France