Armonist

Politique de confidentialité

La présente politique décrit la manière dont Armonist traite les données à caractère personnel des utilisateurs du service, en application du règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et de la loi n° 78-17 du 6 janvier 1978 modifiée (« Loi Informatique et Libertés »).

1. Responsable du traitement

Le responsable du traitement est Yanis Kalkias, exploitant le service Armonist, dont le siège est situé 17 rue Eugène Lisbonne, 34000 Montpellier, France.

Toute demande relative à la présente politique peut être adressée à rgpd@armonist.fr.

2. Données traitées et finalités

Armonist traite les catégories de données suivantes, pour les finalités et bases légales détaillées ci-dessous :

2.1 Données de compte (utilisateur artisan)

  • Adresse email, mot de passe (stocké sous forme de hachage), nom du dirigeant.
  • Coordonnées de l'entreprise (raison sociale, SIRET, adresse, IBAN, logo).
  • Finalité : création et gestion du compte, fourniture du service.
  • Base légale : exécution du contrat (art. 6.1.b RGPD).

2.2 Données métier (devis, factures, clients de l'artisan)

  • Informations sur les clients finaux de l'artisan : nom, adresse, email, téléphone.
  • Devis, factures, lignes de prestation, montants, échéances, signatures électroniques (image, IP, user-agent, horodatage).
  • Historique des relances et événements liés aux documents.
  • Finalité : permettre à l'artisan de gérer son activité commerciale.
  • Base légale : exécution du contrat (art. 6.1.b RGPD) avec l'artisan. À l'égard des clients finaux, Armonist agit en qualité de sous-traitant de l'artisan au sens de l'article 28 RGPD ; l'artisan reste le responsable du traitement.

2.3 Données techniques et logs

  • Adresse IP, en-têtes HTTP, identifiants de session, dates et heures d'accès.
  • Journaux de bord des envois d'emails et des appels API.
  • Finalité : sécurité du service, lutte contre la fraude, supervision technique.
  • Base légale : intérêt légitime du responsable (art. 6.1.f RGPD).

2.4 Mesure d'audience anonyme (Vercel Web Analytics)

  • Aucun cookie n'est déposé. Un identifiant éphémère, calculé par hachage anonyme d'un sel quotidien, permet de compter les visiteurs uniques par jour avant suppression. Aucune adresse IP n'est conservée en clair par le sous-traitant. Aucune corrélation entre sessions successives n'est techniquement possible.
  • Données agrégées collectées : pages visitées, source de trafic, pays, appareil, durée de visite, indicateurs de performance (Core Web Vitals).
  • Finalité : amélioration de l'ergonomie, du contenu et des performances du site.
  • Base légale : intérêt légitime du responsable (art. 6.1.f RGPD), traitement non-intrusif exempté de consentement art. 82 LIL.
  • Durée : données individuelles supprimées sous 24 heures, statistiques agrégées conservées 12 mois.

2.5 Données de support

  • Contenu des emails échangés avec le support.
  • Finalité : traitement des demandes utilisateurs.
  • Base légale : exécution du contrat (art. 6.1.b RGPD) ou intérêt légitime (6.1.f).

2.6 Données de paiement

  • Données nécessaires à la souscription : identité de facturation, adresse, email, téléphone, identifiant client Stripe, offre choisie, statut du paiement et références de transaction.
  • Les numéros complets de carte bancaire ne sont jamais stockés parArmonist. Ils sont saisis et traités directement par Stripe, prestataire de paiement certifié PCI-DSS.
  • Finalité : encaissement du prix, gestion de l'abonnement, lutte contre la fraude et preuve comptable.
  • Base légale : exécution du contrat (art. 6.1.b RGPD) et obligations légales comptables (art. 6.1.c).

2.7 Classification automatisée des emails entrants

  • Lorsqu'un client final répond à un email envoyé via le service, le contenu de sa réponse est analysé par un modèle de langage tiers (Mistral AI, fournisseur français) afin de classifier son intention (acceptation, refus, demande de complément, report). Le résultat conditionne les actions automatisées proposées à l'artisan.
  • Aucune décision produisant des effets juridiques n'est prise sur ce seul fondement sans intervention humaine au-dessus d'un seuil de confiance défini (réf. art. 22 RGPD). En particulier, l'acceptation définitive d'un devis exige une signature électronique explicite par le client.
  • Finalité : automatisation des relances et de la qualification commerciale.
  • Base légale : exécution du contrat (art. 6.1.b RGPD).

3. Durées de conservation

  • Données de compte actif : pendant toute la durée de la relation contractuelle, puis archivage 3 ans à des fins probatoires.
  • Devis et factures : conservation 10 ans à compter de la clôture de l'exercice, conformément à l'article L. 123-22 du Code de commerce.
  • Logs techniques : 12 mois maximum.
  • Emails support : 3 ans à compter du dernier contact.
  • Données traitées pour la classification IA : non conservées par le modèle au-delà du traitement individuel (zéro rétention côté Mistral pour les API utilisées).

4. Destinataires et sous-traitants

Les données sont accessibles aux personnes habilitées de l'éditeur dans la limite de leurs fonctions. Le service fait appel aux sous-traitants suivants, dont la liste à jour est publiée ci-dessous (art. 28.2 RGPD) :

Sous-traitantRôleLocalisation des donnéesEncadrement du transfert
Supabase Inc.Hébergement de la base de données (Postgres), authentification et stockage de fichiersDonnées stockées en UE — eu-west-3 (Paris, France) via AWSClauses Contractuelles Types (SCC) + DPA Supabase
Vercel Inc.Hébergement de l'application web, exécution des fonctions serveur et mesure d'audience anonyme cookieless (Vercel Web Analytics, sans cookie ni identifiant persistant)Fonctions exécutées hors UE (par défaut)Clauses Contractuelles Types (SCC) + DPA Vercel + certification Data Privacy Framework
Resend Inc.Envoi et réception d'emails transactionnels (devis, relances, factures)Infrastructure AWS SES — eu-west-1 (Irlande) pour le routage entrant et sortantClauses Contractuelles Types (SCC) + DPA Resend
Mistral AIClassification automatisée des emails entrants (intention client)Modèles hébergés exclusivement en Union européenneAucun — sous-traitant intra-UE
Stripe Payments Europe, LimitedEncaissement sécurisé des abonnements, gestion des moyens de paiement, prévention de la fraude et émission des reçus de paiementDonnées traitées dans l'Union européenne et, selon les opérations de paiement, par le groupe Stripe hors UEClauses Contractuelles Types (SCC) + DPA Stripe

L'éditeur a conclu avec chacun de ces sous-traitants un accord de traitement de données (DPA) conforme à l'article 28 RGPD. La liste ci-dessus est susceptible d'évoluer ; toute modification substantielle sera signalée par mise à jour de la présente politique.

5. Transferts hors Union européenne

Certaines opérations techniques (hébergement applicatif sur Vercel, routage email sur Resend) impliquent des transferts vers les États-Unis. Ces transferts sont encadrés par :

  • les Clauses Contractuelles Types adoptées par la Commission européenne (décision 2021/914) ;
  • le cadre Data Privacy Framework (décision d'adéquation du 10 juillet 2023) pour les sous-traitants certifiés ;
  • des mesures supplémentaires techniques et organisationnelles (chiffrement en transit TLS 1.2+, chiffrement au repos, contrôle d'accès strict).

6. Sécurité

L'éditeur met en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté aux risques, notamment :

  • chiffrement TLS 1.2 ou supérieur pour tous les échanges réseau ;
  • chiffrement au repos des bases de données (AES-256) ;
  • politique de mots de passe forts (minimum 8 caractères, lettres et chiffres) et hachage bcrypt côté serveur ;
  • cloisonnement par locataire (Row-Level Security PostgreSQL) ;
  • journalisation des accès et supervision continue ;
  • sauvegardes quotidiennes redondées au sein de l'Union européenne ;
  • procédure de notification de violation de données conforme à l'article 33 RGPD (notification CNIL sous 72 heures et information des personnes concernées si risque élevé).

7. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

  • Droit d'accès à vos données ;
  • Droit de rectification en cas d'inexactitude ;
  • Droit à l'effacement (« droit à l'oubli ») dans les conditions de l'article 17 RGPD ;
  • Droit à la limitation du traitement ;
  • Droit à la portabilité de vos données dans un format structuré, courant et lisible par machine ;
  • Droit d'opposition, notamment au traitement fondé sur l'intérêt légitime ;
  • Droit de retirer votre consentement à tout moment, lorsque le traitement repose sur cette base ;
  • Droit de définir des directives relatives au sort de vos données après votre décès (art. 85 LIL).

Pour exercer ces droits, écrivez à rgpd@armonist.fr. Une réponse vous sera apportée dans un délai d'un mois (renouvelable deux fois en cas de complexité). Une preuve d'identité pourra vous être demandée en cas de doute raisonnable.

8. Réclamation auprès de l'autorité de contrôle

Vous avez le droit d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL) :

Commission Nationale de l'Informatique et des Libertés
3, place de Fontenoy — TSA 80715 — 75334 PARIS CEDEX 07
www.cnil.fr/fr/plaintes

9. Délégué à la protection des données

Compte tenu de la nature et du volume des traitements, la désignation d'un délégué à la protection des données (DPO) n'est pas obligatoire au sens de l'article 37 RGPD. Un référent confidentialité est toutefois désigné en interne et peut être contacté à rgpd@armonist.fr.

10. Modifications

La présente politique peut être modifiée pour tenir compte de l'évolution du service ou du cadre légal. Toute modification substantielle sera signalée aux utilisateurs et la date de mise à jour figurant au bas de la page sera incrémentée.

Dernière mise à jour : 2026-05-30.