Document légal
Politique de confidentialité
Dernière mise à jour : 15 mai 2026
La présente politique décrit comment Olbria collecte, utilise et protège les données personnelles de ses utilisateurs, conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) et à la loi Informatique et Libertés modifiée.
§1Responsable du traitement
Le responsable du traitement est [À COMPLÉTER : raison sociale], dont le siège social est situé à [À COMPLÉTER : adresse].
Pour toute question relative à tes données, écris-nous à rgpd@olbria.fr ou à [À COMPLÉTER : DPO si désigné].
§2Données collectées
Nous collectons et traitons les catégories suivantes :
- Identité : nom, prénom, email professionnel, numéro de téléphone.
- Activité professionnelle : réseau immobilier d'affiliation, date de début d'activité, taux d'honoraires, objectif de CA.
- Données métier : informations relatives aux dossiers immobiliers que vous saisissez (biens, vendeurs, acquéreurs, visites, commissions, notes).
- Conversations IA : historique des échanges avec l'assistant Jeanne, anonymisés après agrégation pour l'amélioration du service.
- Données techniques : adresse IP, type de navigateur, journaux d'accès (logs de sécurité), conservés 12 mois.
- Données de facturation : historique d'abonnement et factures, gérées via Stripe ; Olbria n'a jamais accès aux données de carte bancaire.
§3Finalités et bases légales
| Finalité | Base légale |
|---|---|
| Fourniture du service (compte, dossiers, IA) | Exécution du contrat (art. 6.1.b RGPD) |
| Facturation et lutte contre la fraude | Obligation légale |
| Amélioration du service (analytics agrégées) | Intérêt légitime |
| Emails transactionnels (welcome, factures, alertes) | Exécution du contrat |
| Communications commerciales (newsletter) | Consentement (opt-in explicite) |
§4Destinataires et sous-traitants
Olbria fait appel à des sous-traitants techniques pour la fourniture du service. Chacun est lié par un DPA (Data Processing Agreement) conforme au RGPD :
- Supabase (base de données, authentification, stockage) — hébergement Union européenne, région Paris.
- Vercel Inc. (hébergement de l'application) — États-Unis, certifié Data Privacy Framework (DPF).
- Anthropic, PBC (modèles d'IA pour le scoring, les rapports, le simulateur) — États-Unis, certifié DPF. Les contenus envoyés à l'API Anthropic ne sont pas utilisés pour l'entraînement de leurs modèles.
- OpenAI, LLC (modèles IA GPT pour le chat Jeanne) — États-Unis, certifié DPF. Configuration enterprise désactivant l'entraînement sur les requêtes API.
- Stripe Payments Europe Ltd. (paiements et abonnements) — siège Irlande (UE).
- Resend (envoi d'emails transactionnels) — États-Unis, DPF.
Aucune donnée n'est cédée ou vendue à des tiers à des fins commerciales.
§5Transferts hors Union européenne
Certains sous-traitants (Vercel, Anthropic, OpenAI, Resend) sont situés aux États-Unis. Ces transferts sont encadrés par la certification EU-U.S. Data Privacy Framework (DPF), assurant un niveau de protection équivalent à celui de l'UE conformément à la décision d'adéquation de la Commission européenne du 10 juillet 2023.
§6Durée de conservation
- Données du compte actif : pendant toute la durée de l'abonnement.
- Après résiliation : 6 mois de période de récupération (les données sont conservées mais inaccessibles, sauf demande de réactivation).
- Suppression définitive : à l'issue de cette période de 6 mois, ou immédiatement sur demande explicite via le bouton « Supprimer mon compte » dans les paramètres (avec un délai de 7 jours de grâce pour annuler).
- Factures et données comptables : 10 ans après l'exercice fiscal, conformément à l'obligation légale (article L123-22 du Code de commerce).
- Logs techniques de sécurité : 12 mois.
§7Vos droits
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès
- Droit de rectification
- Droit à l'effacement (« droit à l'oubli »)
- Droit à la portabilité de vos données
- Droit d'opposition au traitement
- Droit à la limitation du traitement
- Droit de définir des directives sur le sort de vos données après votre décès
Vous pouvez exercer ces droits directement depuis vos paramètres (bouton « Exporter mes données » et « Supprimer mon compte ») ou en nous écrivant à rgpd@olbria.fr. Nous répondons sous 30 jours maximum.
En cas de litige non résolu, vous pouvez saisir la CNIL.
§8Sécurité
Olbria met en œuvre des mesures techniques et organisationnelles appropriées pour garantir la confidentialité, l'intégrité et la disponibilité de tes données : chiffrement TLS de bout en bout, chiffrement au repos, séparation logique des données par utilisateur (Row-Level Security côté base), authentification passwordless (OTP à 6-10 chiffres), accès admin journalisé.
§9Évolution de la politique
Cette politique peut évoluer pour refléter des changements légaux, techniques ou d'organisation. La version en vigueur est toujours celle accessible sur cette page. Toute modification substantielle sera notifiée par email aux utilisateurs actifs au moins 30 jours avant son entrée en vigueur.