Politique de confidentialité
La présente politique décrit la manière dont Hoplacollecte, utilise, partage et protège les données personnelles dans le cadre de l'utilisation du service accessible sur hopla-btp.comet via son agent conversationnel WhatsApp. Elle s'applique aux artisans utilisateurs du service ainsi qu'aux contacts (clients finaux) que ces artisans gèrent dans l'application.
Hopla s'engage à respecter le Règlement (UE) 2016/679 (RGPD) et la loi française Informatique et Libertés modifiée.
1. Responsable de traitement
Hopla, édité par Hugo Clauzade, entrepreneur individuel, basé à Lyon, France.
Contact : clauzade.hugo@gmail.com
Pour toute demande relative à vos données : dpo@hopla-btp.com
2. Données collectées
Données de compte
- Adresse e-mail, mot de passe (haché), identifiant Google si connexion OAuth
- Nom, prénom, raison sociale, SIREN, adresse postale, numéro de téléphone
- Numéro WhatsApp lié au compte
Données métier saisies par l'utilisateur
- Coordonnées de vos clients (nom, e-mail, téléphone, adresse), chantiers, devis, factures, paiements
- Documents et photos liés aux chantiers (stockés dans nos buckets sécurisés)
- Notes vocales transmises pour transcription
Données issues d'intégrations tierces
- Jetons OAuth Gmail / Microsoft 365 pour envoyer et recevoir des e-mails depuis votre boîte (jamais lus en clair côté Hopla, scopes limités à l'envoi et à la consultation des fils initiés depuis Hopla)
- Messages WhatsApp échangés avec l'agent (numéros, horodatage, contenu, médias) via l'API WhatsApp Business de Meta
Données techniques
- Adresse IP, type d'appareil, navigateur, pages consultées, horodatages
- Cookies strictement nécessaires (session) et cookies de mesure d'audience
3. Finalités et bases légales
| Finalité | Base légale (RGPD) |
|---|---|
| Création et gestion du compte, fourniture du service | Exécution du contrat (art. 6.1.b) |
| Émission, archivage et conformité PDP des devis et factures | Obligation légale (art. 6.1.c) : Code de commerce, CGI |
| Envoi de messages WhatsApp et e-mails au nom de l'utilisateur | Exécution du contrat (art. 6.1.b) |
| Sécurité, prévention de la fraude, journaux techniques | Intérêt légitime (art. 6.1.f) |
| Statistiques d'usage anonymisées et amélioration produit | Intérêt légitime (art. 6.1.f) |
| Communications commerciales | Consentement (art. 6.1.a) : opt-out à tout moment |
4. Sous-traitants et destinataires
Hopla fait appel à des sous-traitants techniques liés par des engagements de confidentialité et, le cas échéant, des Clauses Contractuelles Types (CCT) approuvées par la Commission européenne.
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| Supabase (Supabase Inc.) | Base de données, authentification, stockage de fichiers | UE (Frankfurt) |
| Vercel | Hébergement de l'application web | UE |
| Meta Platforms Ireland | API WhatsApp Business (messagerie) | UE / USA (CCT) |
| Twilio Ireland | Envoi de SMS et fallback voix | UE / USA (CCT) |
| Stripe Payments Europe | Encaissement des abonnements | UE |
| Anthropic PBC | Modèle Claude pour l'agent conversationnel Hop | USA (CCT, Zero Data Retention activé) |
| Groq Inc. | Transcription des notes vocales (Whisper) | USA (CCT) |
| Resend | E-mails transactionnels | UE |
| Google / Microsoft | Connexion OAuth boîte mail (à votre demande) | UE / USA (CCT) |
5. Transferts hors UE
Certains sous-traitants peuvent traiter des données aux États-Unis. Ces transferts sont encadrés par les Clauses Contractuelles Types de la Commission européenne et, le cas échéant, par l'adhésion au cadre EU-US Data Privacy Framework. Les données métier (devis, factures, contacts clients) sont stockées exclusivement dans l'Union européenne.
6. Durée de conservation
- Compte actif : pendant toute la durée de la relation contractuelle.
- Compte supprimé : l'ensemble des données métier (clients, devis, factures, chantiers, conversations) est effacé sous 30 jours. Aucune copie n'est conservée par Hopla ; il revient à l'utilisateur d'exporter ses pièces comptables avant la suppression pour respecter ses propres obligations légales (art. L123-22 Code de commerce, 10 ans).
- Logs techniques et journaux de connexion anonymisés : 13 mois maximum (art. L34-1 CPCE).
- Messages WhatsApp et e-mails archivés : tant que le compte est actif, supprimables à la demande.
- Données comptables Hopla(facturation de l'abonnement à l'utilisateur) : 10 ans, obligation légale propre à Hopla en tant que fournisseur du service.
7. Conformité Google API Services User Data Policy
L'utilisation et le transfert par Hopla des informations reçues des API Google respectent la Google API Services User Data Policy, y compris les exigences Limited Use.
Scopes Gmail utilisés
https://www.googleapis.com/auth/gmail.send: envoyer des e-mails au nom de l'utilisateur, uniquement à son initiative explicite (clic sur « Envoyer le devis » ou « Envoyer la facture »).https://www.googleapis.com/auth/gmail.compose: composer le corps MIME multipart de l'e-mail avec la pièce jointe PDF du devis ou de la facture.
Engagements Limited Use
Hopla s'engage à :
- n'utiliser les données Gmail que pour fournir et améliorer la fonctionnalité d'envoi d'e-mails depuis l'application ;
- ne pas transférer les données Gmail à des tiers, sauf nécessité technique pour fournir le service (hébergeur UE, registre d'envoi pour audit) ;
- ne pas utiliser les données Gmail à des fins publicitaires ;
- ne pas permettre à des humains de lire les e-mails de l'utilisateur, sauf (a) consentement explicite, (b) raisons de sécurité (anti-fraude, débogage d'incident) ou (c) obligation légale ;
- permettre à l'utilisateur de révoquer l'accès Gmail à tout moment depuis Settings → Intégrations ou depuis myaccount.google.com/permissions ;
- stocker les jetons OAuth de manière chiffrée (AES-256) dans une base hébergée dans l'Union européenne ;
- supprimer les jetons OAuth dans les 30 jours suivant la suppression du compte Hopla (cf. Suppression de mes données).
8. Sécurité
Hopla met en œuvre des mesures techniques et organisationnelles appropriées : chiffrement TLS en transit, chiffrement au repos sur la base de données, isolation par Row Level Security (RLS), authentification multi-facteurs, journalisation des accès, rotation des secrets, sauvegardes quotidiennes, hébergement dans l'Union européenne.
9. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Accès, rectification et effacement de vos données
- Limitation et opposition au traitement
- Portabilité de vos données dans un format structuré
- Retrait du consentement à tout moment, sans rétroactivité
- Définition de directives sur le sort de vos données après votre décès
Pour exercer ces droits, écrivez à dpo@hopla-btp.com. Nous répondons dans un délai d'un mois maximum.
Pour la suppression complète de votre compte, voir notre page dédiée : Suppression de mes données.
Vous pouvez également introduire une réclamation auprès de la CNIL (3 Place de Fontenoy, 75007 Paris).
10. Cookies
Le site utilise des cookies strictement nécessaires au fonctionnement (session d'authentification) et, sous réserve de votre consentement, des cookies de mesure d'audience anonymisée. Aucun cookie publicitaire tiers n'est déposé.
11. Modifications
Hopla peut mettre à jour la présente politique pour refléter des évolutions réglementaires ou techniques. La date de dernière mise à jour figure en tête de page. Les évolutions substantielles vous sont notifiées par e-mail ou dans l'application.
12. Contact
Toute question relative à la protection de vos données : dpo@hopla-btp.com