Politique de confidentialité

Le responsable du traitement des données collectées via la plateforme www.replybot.org est Replybot.

Pour toute question relative au traitement de vos données, vous pouvez nous contacter via le formulaire dédié sur la plateforme.

Dans le cadre de l'utilisation de notre service, nous collectons les catégories de données suivantes :

• Données d'identification : nom, prénom, adresse email, identifiant du compte.
• Données de connexion : adresse IP, date et heure de connexion, type de navigateur.
• Données d'utilisation : numéros WhatsApp connectés, statistiques d'envoi, configurations IA.
• Données de paiement : traitées exclusivement par notre prestataire de paiement Polar (aucune donnée bancaire stockée).
• Contenu des conversations WhatsApp : messages entrants et sortants nécessaires au fonctionnement du bot.
• Jetons OAuth Google (refresh tokens) chiffrés au repos en AES-256-GCM, lorsque vous connectez un agenda Google à un agent vocal pour la prise de rendez-vous. Le contenu de votre calendrier n'est jamais stocké : l'API Google est interrogée en temps réel pendant l'appel.

Vos données sont traitées pour les finalités suivantes :

• Fournir et maintenir le service (création de compte, gestion des sessions WhatsApp, génération de réponses IA).
• Assurer la facturation et le suivi des abonnements.
• Améliorer le service et détecter les anomalies techniques.
• Vous notifier en cas d'incident (déconnexion d'une session, expiration d'un QR code).
• Respecter nos obligations légales et réglementaires.

Les traitements reposent principalement sur l'exécution du contrat conclu entre l'utilisateur et Replybot, ainsi que sur notre intérêt légitime à améliorer le service et à assurer sa sécurité. Certains traitements peuvent également reposer sur le consentement de l'utilisateur (cookies non essentiels).

Pour fournir notre service, nous faisons appel à des sous-traitants techniques qui peuvent accéder à certaines de vos données dans le cadre strict de leur mission :

• Supabase (Singapour) : hébergement de la base de données et authentification.
• Vercel (États-Unis) : hébergement de l'application web.
• OpenAI (États-Unis) : génération des réponses IA.
• Mistral AI (France) : synthèse vocale (TTS) pour les messages audio.
• Polar (États-Unis) : traitement des paiements et facturation (Merchant of Record).
• Google LLC (États-Unis) : API Google Calendar, lorsque vous connectez un agenda à un agent vocal pour la prise de rendez-vous. L'utilisation est conforme à la Google API Services User Data Policy et à ses exigences d'usage limité (Limited Use).

Les données de compte sont conservées pendant toute la durée d'utilisation du service, puis supprimées dans un délai de 12 mois après la clôture du compte.

Les messages WhatsApp et journaux d'événements sont conservés 90 jours glissants, sauf obligation légale spécifique.

Les données de facturation sont conservées 10 ans conformément aux obligations comptables françaises.

Certains de nos sous-traitants étant situés hors de l'Union Européenne, vos données peuvent être transférées vers ces pays. Ces transferts sont encadrés par des clauses contractuelles types adoptées par la Commission Européenne ou par d'autres mécanismes garantissant un niveau de protection adéquat.

Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :

• Droit d'accès à vos données personnelles.
• Droit de rectification des données inexactes.
• Droit à l'effacement (droit à l'oubli).
• Droit à la limitation du traitement.
• Droit à la portabilité de vos données.
• Droit d'opposition au traitement.
• Droit de retirer votre consentement à tout moment.
• Droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr).

Le site utilise des cookies strictement nécessaires au fonctionnement de la plateforme (authentification, session). Aucun cookie publicitaire ou de profilage tiers n'est déposé sans votre consentement explicite.

Replybot met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données contre tout accès non autorisé, altération, divulgation ou destruction : chiffrement des données en transit (TLS), chiffrement au repos pour les secrets sensibles tels que les jetons d'accès aux API tierces (AES-256-GCM), contrôle d'accès strict, journalisation des actions sensibles et sauvegardes régulières.

Lorsque vous activez la prise de rendez-vous pour un agent vocal, vous pouvez connecter votre agenda Google. Cette intégration utilise OAuth 2.0 et est strictement optionnelle : aucune donnée Google n'est collectée tant que vous n'avez pas effectué cette connexion.

Les autorisations (« scopes ») demandées au moment du consentement sont les suivantes :

• https://www.googleapis.com/auth/calendar.events — créer, lire et modifier des événements pour poser ou déplacer des rendez-vous.
• https://www.googleapis.com/auth/calendar.readonly — lister vos calendriers afin que vous puissiez choisir lequel utiliser.
• https://www.googleapis.com/auth/userinfo.email — afficher l'email du compte connecté dans votre tableau de bord.

Nous conservons sur nos serveurs uniquement votre adresse email Google et un jeton de rafraîchissement (refresh token) chiffré au repos en AES-256-GCM. Le contenu de votre calendrier (événements, invités, descriptions) n'est jamais persisté : l'API Google n'est interrogée qu'en temps réel, lorsqu'un agent vocal a besoin de vérifier vos disponibilités ou de poser/déplacer un rendez-vous pendant un appel téléphonique.

Notre utilisation des données Google est conforme à la Google API Services User Data Policy (https://developers.google.com/terms/api-services-user-data-policy), y compris à ses exigences d'usage limité (Limited Use). Concrètement :

• Nous utilisons les données Google exclusivement pour fournir et améliorer les fonctionnalités directement visibles par vous (vérification de disponibilités, création, modification et annulation de rendez-vous par l'agent vocal).
• Nous ne transférons aucune donnée Google à des tiers, sauf dans la mesure strictement nécessaire à la fourniture du service ou si la loi l'exige.
• Nous n'utilisons aucune donnée Google à des fins publicitaires.
• Nous n'utilisons aucune donnée Google pour entraîner, ajuster ou améliorer un modèle d'intelligence artificielle, qu'il soit nôtre ou tiers.
• Aucun être humain ne lit vos données Google, sauf : (a) avec votre consentement explicite, (b) à des fins de sécurité (enquête sur un incident, prévention d'abus), (c) si la loi l'exige, ou (d) sous une forme agrégée et anonymisée à des fins d'exploitation.

Vous pouvez à tout moment retirer l'accès accordé à notre application via deux moyens équivalents :

• depuis le tableau de bord www.replybot.org, en cliquant sur « Déconnecter » dans l'onglet « Outils & intégrations » de l'agent vocal concerné. Le jeton est alors révoqué côté Google et supprimé de notre base.
• depuis votre compte Google, à l'adresse https://myaccount.google.com/permissions, en retirant l'autorisation accordée à notre application.

Lorsqu'un utilisateur final contacte un bot déployé via www.replybot.org, nous pouvons collecter son identifiant WhatsApp (JID) et, lorsque WhatsApp l'expose, son numéro de téléphone au format international. Cette collecte est strictement limitée à l'exploitation du service de messagerie et à la bonne tenue de l'historique de conversation.

Le client professionnel (tenant) qui utilise www.replybot.org est responsable du traitement des données de ses propres contacts. À ce titre, il doit :

• respecter les Conditions d'utilisation de WhatsApp Business et les règles de la plateforme Meta, notamment l'interdiction de messages non sollicités et l'utilisation d'un opt-in préalable vérifiable ;
• recueillir le consentement explicite, éclairé et traçable de la personne concernée avant tout recontact par un canal différent (appel téléphonique, SMS, email), conformément aux articles 6 et 7 du RGPD ;
• pour les destinataires résidant en France, vérifier l'inscription au registre d'opposition au démarchage téléphonique Bloctel (www.bloctel.gouv.fr) avant toute campagne sortante B2C et, le cas échéant, exclure les numéros inscrits conformément à l'article L. 223-1 du Code de la consommation ;
• offrir à tout moment un moyen simple et gratuit de retirer son consentement et de demander la suppression de ses données.

La présente politique peut être modifiée à tout moment afin de refléter l'évolution de nos services ou du cadre légal. Toute modification substantielle vous sera notifiée par email ou via la plateforme.

Pour exercer vos droits ou pour toute question relative à cette politique, vous pouvez nous contacter via le formulaire dédié sur www.replybot.org.