Retour à l'accueil

RGPD & vie privée

Politique de confidentialité

Comment nous collectons, utilisons et protégeons vos données personnelles, conformément au Règlement Général sur la Protection des Données (RGPD).

Dernière mise à jour13 juillet 2026
01

Rôles et responsabilités

Replybot est responsable du traitement des données nécessaires à la gestion du site, des comptes, des abonnements, de la sécurité et de sa relation avec ses clients professionnels.

Pour les données des personnes qui échangent avec un bot WhatsApp ou appellent un agent vocal déployé par un client professionnel, ce client détermine les finalités du traitement et agit en qualité de responsable du traitement. Replybot traite alors ces données pour son compte, en qualité de sous-traitant, afin de fournir le service.

Pour toute question relative au traitement de vos données, vous pouvez nous contacter via le formulaire dédié sur la plateforme.

02

Données collectées

Dans le cadre de l'utilisation de notre service, nous collectons les catégories de données suivantes :

  • Données d'identification : nom, prénom, adresse email, identifiant du compte.
  • Données de connexion : adresse IP, date et heure de connexion, type de navigateur.
  • Données d'utilisation : numéros WhatsApp connectés, statistiques d'envoi, configurations IA.
  • Données de paiement : traitées exclusivement par notre prestataire de paiement Polar (aucune donnée bancaire stockée).
  • Contenu des conversations WhatsApp : messages entrants et sortants nécessaires au fonctionnement du bot.
  • Données des appels aux agents vocaux : numéro de l'appelant, nom affiché le cas échéant, date et heure, durée, statut, enregistrement sonore de l'appel, transcription, résumé, actions effectuées par l'agent et éventuel numéro de transfert.
  • Jetons OAuth Google (refresh tokens) chiffrés au repos en AES-256-GCM, lorsque vous connectez un agenda Google à un agent vocal pour la prise de rendez-vous. Le contenu de votre calendrier n'est jamais stocké : l'API Google est interrogée en temps réel pendant l'appel.
03

Finalités du traitement

Vos données sont traitées pour les finalités suivantes :

  • Fournir et maintenir le service (création de compte, gestion des sessions WhatsApp, génération de réponses IA).
  • Répondre aux appels, dialoguer en temps réel, exécuter les actions configurées par le client professionnel, restituer l'historique de l'appel et permettre son suivi depuis le tableau de bord.
  • Assurer la facturation et le suivi des abonnements.
  • Améliorer le service et détecter les anomalies techniques.
  • Vous notifier en cas d'incident (déconnexion d'une session, expiration d'un QR code).
  • Respecter nos obligations légales et réglementaires.
04

Bases légales

Pour les comptes clients, les traitements reposent principalement sur l'exécution du contrat conclu avec Replybot, sur nos obligations légales et sur notre intérêt légitime à sécuriser et améliorer le service. Les cookies non essentiels, s'ils sont utilisés, reposent sur le consentement.

Pour les conversations et appels des contacts finaux, le client professionnel choisit et documente la base légale adaptée à sa finalité, par exemple l'exécution d'un contrat, une obligation légale, son intérêt légitime après mise en balance, ou le consentement lorsque celui-ci est requis. Replybot n'enregistre pas les appels pour ses propres finalités commerciales.

05

Appels aux agents vocaux : enregistrement et transcription

Lorsqu'une personne appelle un numéro auquel un agent vocal est activé, sa voix et celle de l'agent sont traitées en temps réel pour permettre la conversation. L'appel est enregistré par défaut. À la fin de l'appel, un fichier audio MP3, une transcription textuelle et un résumé sont enregistrés dans l'espace du client professionnel, avec les métadonnées et actions liées à l'appel.

Ces contenus peuvent révéler des informations personnelles, voire des données sensibles si l'appelant les communique. L'appelant ne doit pas transmettre de données bancaires, mots de passe ou autres secrets qui ne sont pas nécessaires à sa demande.

Le client professionnel doit informer l'appelant, dès le début de l'appel, qu'il échange avec une intelligence artificielle et que l'appel est enregistré et transcrit. Il doit préciser la finalité, la base légale, la durée de conservation, les destinataires, les droits applicables et un moyen d'obtenir l'information complète. Lorsque la loi l'exige, il doit également recueillir le consentement ou proposer une solution sans enregistrement.

06

Sous-traitants et destinataires

Pour fournir notre service, nous faisons appel à des sous-traitants techniques qui peuvent accéder à certaines de vos données dans le cadre strict de leur mission :

  • Supabase (Singapour) : hébergement de la base de données et authentification.
  • Vercel (États-Unis) : hébergement de l'application web.
  • OpenAI (États-Unis) : génération des réponses IA.
  • Mistral AI (France) : synthèse vocale (TTS) pour les messages audio.
  • Twilio (États-Unis) : fourniture des numéros, acheminement et transport des appels téléphoniques et, selon la configuration, envoi de SMS.
  • Google LLC (États-Unis) : traitement conversationnel en temps réel des flux audio par le service d'IA vocale et génération de la transcription.
  • Polar (États-Unis) : traitement des paiements et facturation (Merchant of Record).
  • Google LLC (États-Unis) : API Google Calendar, lorsque vous connectez un agenda à un agent vocal pour la prise de rendez-vous. L'utilisation est conforme à la Google API Services User Data Policy et à ses exigences d'usage limité (Limited Use).
07

Durée de conservation

Les données de compte sont conservées pendant toute la durée d'utilisation du service, puis supprimées dans un délai de 12 mois après la clôture du compte.

Les messages WhatsApp et journaux d'événements sont conservés 90 jours glissants, sauf obligation légale spécifique.

Les enregistrements audio, transcriptions, résumés et métadonnées d'appel sont conservés pendant la durée d'utilisation du service, puis supprimés au plus tard 12 mois après la clôture du compte. Le client professionnel doit vérifier que cette durée est nécessaire aux finalités annoncées aux appelants et demander une durée plus courte lorsque nécessaire, sous réserve d'une obligation légale de conservation.

Les données de facturation sont conservées 10 ans conformément aux obligations comptables françaises.

08

Transferts hors Union Européenne

Certains de nos sous-traitants étant situés hors de l'Union Européenne, vos données peuvent être transférées vers ces pays. Ces transferts sont encadrés par des clauses contractuelles types adoptées par la Commission Européenne ou par d'autres mécanismes garantissant un niveau de protection adéquat.

09

Vos droits

Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :

  • Droit d'accès à vos données personnelles.
  • Droit de rectification des données inexactes.
  • Droit à l'effacement (droit à l'oubli).
  • Droit à la limitation du traitement.
  • Droit à la portabilité de vos données.
  • Droit d'opposition au traitement.
  • Droit de retirer votre consentement à tout moment.
  • Droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr).
10

Cookies

Le site utilise des cookies strictement nécessaires au fonctionnement de la plateforme (authentification, session). Aucun cookie publicitaire ou de profilage tiers n'est déposé sans votre consentement explicite.

11

Sécurité

Replybot met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données contre tout accès non autorisé, altération, divulgation ou destruction : chiffrement des données en transit (TLS), chiffrement au repos pour les secrets sensibles tels que les jetons d'accès aux API tierces (AES-256-GCM), contrôle d'accès strict, journalisation des actions sensibles et sauvegardes régulières.

Les enregistrements d'appels sont stockés dans un espace privé. Leur lecture depuis le tableau de bord nécessite l'authentification d'un utilisateur du client concerné et passe par un lien signé temporaire.

12

Connexion à Google Calendar (prise de rendez-vous)

Lorsque vous activez la prise de rendez-vous pour un agent vocal, vous pouvez connecter votre agenda Google. Cette intégration utilise OAuth 2.0 et est strictement optionnelle : aucune donnée Google n'est collectée tant que vous n'avez pas effectué cette connexion.

Les autorisations (« scopes ») demandées au moment du consentement sont les suivantes :

  • https://www.googleapis.com/auth/calendar.events — créer, lire et modifier des événements pour poser ou déplacer des rendez-vous.
  • https://www.googleapis.com/auth/calendar.readonly — lister vos calendriers afin que vous puissiez choisir lequel utiliser.
  • https://www.googleapis.com/auth/userinfo.email — afficher l'email du compte connecté dans votre tableau de bord.
13

Données Google traitées et politique d'usage limité (Limited Use)

Nous conservons sur nos serveurs uniquement votre adresse email Google et un jeton de rafraîchissement (refresh token) chiffré au repos en AES-256-GCM. Le contenu de votre calendrier (événements, invités, descriptions) n'est jamais persisté : l'API Google n'est interrogée qu'en temps réel, lorsqu'un agent vocal a besoin de vérifier vos disponibilités ou de poser/déplacer un rendez-vous pendant un appel téléphonique.

Notre utilisation des données Google est conforme à la Google API Services User Data Policy (https://developers.google.com/terms/api-services-user-data-policy), y compris à ses exigences d'usage limité (Limited Use). Concrètement :

  • Nous utilisons les données Google exclusivement pour fournir et améliorer les fonctionnalités directement visibles par vous (vérification de disponibilités, création, modification et annulation de rendez-vous par l'agent vocal).
  • Nous ne transférons aucune donnée Google à des tiers, sauf dans la mesure strictement nécessaire à la fourniture du service ou si la loi l'exige.
  • Nous n'utilisons aucune donnée Google à des fins publicitaires.
  • Nous n'utilisons aucune donnée Google pour entraîner, ajuster ou améliorer un modèle d'intelligence artificielle, qu'il soit nôtre ou tiers.
  • Aucun être humain ne lit vos données Google, sauf : (a) avec votre consentement explicite, (b) à des fins de sécurité (enquête sur un incident, prévention d'abus), (c) si la loi l'exige, ou (d) sous une forme agrégée et anonymisée à des fins d'exploitation.
14

Révoquer l'accès à Google Calendar

Vous pouvez à tout moment retirer l'accès accordé à notre application via deux moyens équivalents :

  • depuis le tableau de bord www.replybot.org, en cliquant sur « Déconnecter » dans l'onglet « Outils & intégrations » de l'agent vocal concerné. Le jeton est alors révoqué côté Google et supprimé de notre base.
  • depuis votre compte Google, à l'adresse https://myaccount.google.com/permissions, en retirant l'autorisation accordée à notre application.
15

Obligations du client professionnel envers ses contacts

Lorsqu'un utilisateur final contacte un bot ou un agent vocal déployé via www.replybot.org, nous pouvons traiter son identifiant WhatsApp (JID), son numéro de téléphone et le contenu de ses échanges pour fournir le service et maintenir l'historique demandé par le client professionnel.

Le client professionnel (tenant) qui utilise www.replybot.org est responsable du traitement des données de ses propres contacts. À ce titre, il doit :

  • respecter les Conditions d'utilisation de WhatsApp Business et les règles de la plateforme Meta, notamment l'interdiction de messages non sollicités et l'utilisation d'un opt-in préalable vérifiable ;
  • recueillir le consentement explicite, éclairé et traçable de la personne concernée avant tout recontact par un canal différent (appel téléphonique, SMS, email), conformément aux articles 6 et 7 du RGPD ;
  • pour les destinataires résidant en France, vérifier l'inscription au registre d'opposition au démarchage téléphonique Bloctel (www.bloctel.gouv.fr) avant toute campagne sortante B2C et, le cas échéant, exclure les numéros inscrits conformément à l'article L. 223-1 du Code de la consommation ;
  • offrir à tout moment un moyen simple et gratuit de retirer son consentement et de demander la suppression de ses données.
  • configurer une annonce claire au début de chaque appel vocal signalant l'usage d'une IA, l'enregistrement et la transcription, et fournir sa propre notice de confidentialité aux appelants ;
  • limiter la collecte aux informations nécessaires, définir une durée de conservation et restreindre l'accès aux enregistrements, transcriptions et résumés aux seules personnes habilitées ;
  • éviter de demander des données sensibles ; si leur traitement est nécessaire, identifier une exception applicable au titre de l'article 9 du RGPD et mettre en place des garanties renforcées.
16

Modifications

La présente politique peut être modifiée à tout moment afin de refléter l'évolution de nos services ou du cadre légal. Toute modification substantielle vous sera notifiée par email ou via la plateforme.

17

Contact

Pour exercer vos droits ou pour toute question relative à cette politique, vous pouvez nous contacter via le formulaire dédié sur www.replybot.org.