Politique de confidentialité
Dernière mise à jour : 10 mai 2026
Dokrafter (« nous », « notre service ») accorde une importance particulière à la protection de vos données personnelles. La présente politique vous informe, conformément au Règlement (UE) 2016/679 (RGPD) et à la loi française « Informatique et Libertés » du 6 janvier 1978 modifiée, de la manière dont vos données sont collectées, utilisées et protégées.
1. Responsable du traitement
Le responsable du traitement des données collectées via Dokrafter est l'éditeur du site, dont les coordonnées figurent dans les mentions légales.
Pour toute question ou demande relative à vos données personnelles, écrivez-nous à [email protected]. Pour toute autre question, voir la page contact.
2. Données collectées
Données que vous nous fournissez directement
- Compte utilisateur : adresse email, mot de passe (haché et salé), nom de l'entreprise.
- Profil entreprise : raison sociale, SIRET, adresse, téléphone, RIB/IBAN, BIC, logo.
- Données métier : devis, factures, fiches clients (nom, adresse, email, téléphone), descriptions de chantier.
- Communications : messages envoyés via le bot Telegram (textes, fichiers), prompts envoyés à l'IA, photos et enregistrements vocaux soumis pour extraction automatique.
- Emails envoyés à vos clients : contenu, destinataires, événements de remise (délivré, ouvert, cliqué, rebond).
Données collectées automatiquement
- Données de connexion : adresse IP, type de navigateur, système d'exploitation, dates et heures d'accès.
- Traceurs strictement nécessaires : jeton de session stocké localement (localStorage) et cookie anti-bot Cloudflare. Aucun traceur publicitaire ni de mesure d'audience. Voir la politique de gestion des traceurs.
Données fournies par des tiers
- Connexion Google : si vous utilisez « Continuer avec Google », nous recevons votre adresse email, votre nom et votre photo de profil.
3. Finalités et bases légales
| Finalité | Base légale | Durée de conservation |
|---|---|---|
| Gestion du compte et fourniture du service | Exécution du contrat (art. 6.1.b RGPD) | Pendant toute la durée du compte + 3 ans après dernière activité |
| Génération de devis/factures et stockage des PDF | Exécution du contrat | 10 ans après émission (obligation comptable, art. L123-22 Code de commerce) |
| Génération assistée par IA (texte, photo, vocal) | Exécution du contrat / consentement | Prompts et fichiers non conservés au-delà du traitement |
| Envoi des devis/factures par email + suivi de remise | Exécution du contrat / intérêt légitime | Métadonnées d'envoi conservées 3 ans (preuve d'émission) |
| Bot Telegram (réception de messages) | Consentement (activation manuelle) | Tant que le compte Telegram est lié |
| Mesure d'audience anonyme | Intérêt légitime | 13 mois maximum |
| Sécurité, lutte contre la fraude, journaux de connexion | Intérêt légitime / obligation légale | 1 an |
| Réponse aux demandes de support | Intérêt légitime | 3 ans après dernier contact |
4. Destinataires et sous-traitants
Vos données sont accessibles aux personnes habilitées de Dokrafter et aux sous-traitants strictement nécessaires au fonctionnement du service :
| Sous-traitant | Rôle | Localisation des données |
|---|---|---|
| Supabase, Inc. | Base de données et authentification (PostgreSQL avec Row-Level Security) | Union européenne (Paris, France — eu-west-3) |
| Cloudflare, Inc. | Hébergement de l'application web, CDN, protection anti-DDoS, et stockage des PDF (service Cloudflare R2) | Réseau mondial (chiffrement en transit) |
| Google LLC (Cloud Run) | Génération des PDF (devis, factures, avoirs) sur infrastructure conteneurisée managée | Union européenne (region europe-west1, Belgique) |
| Cerebras Systems | Inférence IA texte (assistant conversationnel, génération de styles) | États-Unis |
| Google LLC (Gemini API) | Inférence IA multimodale : extraction de prestations à partir de photos de chantier et d'enregistrements vocaux | États-Unis / UE (régions Vertex AI) |
| Google LLC | Authentification OAuth (si activée par l'utilisateur) | États-Unis / UE |
| Brevo (Sendinblue SAS) | Envoi des emails transactionnels (devis, factures), suivi de remise et d'ouverture | Union européenne (Paris, France) |
| PostHog Inc. | Suivi des erreurs techniques de l'application (crash reporting) — sans cookie de suivi, IP non collectée | Union européenne (instance eu.posthog.com, Allemagne) |
| Telegram FZ-LLC | Bot conversationnel (si activé par l'utilisateur) | Émirats Arabes Unis / international |
Nous ne vendons jamais vos données à des tiers et ne les utilisons pas à des fins de prospection commerciale non sollicitée.
5. Transferts hors Union européenne
Certains de nos sous-traitants (Cerebras, Google Gemini, Google OAuth, Telegram, Cloudflare) peuvent traiter vos données en dehors de l'Union européenne. Brevo, la base de données Supabase, Google Cloud Run (génération PDF) et PostHog (instance EU) sont en revanche hébergés dans l'Union européenne. Ces transferts sont encadrés par :
- les clauses contractuelles types approuvées par la Commission européenne (décision 2021/914) ;
- le cas échéant, le Data Privacy Framework UE - États-Unis pour les sous-traitants américains certifiés.
6. Vos droits
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès à vos données ;
- Droit de rectification des données inexactes ;
- Droit à l'effacement (« droit à l'oubli ») ;
- Droit à la limitation du traitement ;
- Droit à la portabilité de vos données dans un format structuré ;
- Droit d'opposition au traitement fondé sur l'intérêt légitime ;
- Droit de retirer votre consentement à tout moment, lorsqu'il constitue la base du traitement ;
- Droit de définir des directives sur le sort de vos données après votre décès.
Pour exercer ces droits, écrivez-nous à [email protected]. Nous répondrons dans un délai d'un mois maximum (prolongeable de deux mois en cas de demande complexe).
Vous pouvez également supprimer votre compte directement depuis votre espace Profil, ce qui entraîne l'effacement de vos données, sous réserve des obligations légales de conservation (notamment comptables).
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous avez le droit d'introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés), 3 place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07.
7. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles destinées à protéger vos données :
- chiffrement des communications via TLS (HTTPS) ;
- chiffrement des mots de passe (hachage bcrypt/argon2) ;
- cloisonnement des données entre comptes via Row-Level Security (RLS) PostgreSQL ;
- accès aux PDF par liens signés à durée limitée ;
- journaux d'accès et alertes de sécurité ;
- mises à jour régulières des dépendances et de l'infrastructure.
8. Décisions automatisées et IA
Les fonctions de génération assistée par IA (lignes de devis, suggestions de style) ne produisent aucune décision automatisée ayant un effet juridique sur vous. Les contenus générés sont des propositions que vous validez et modifiez librement avant toute utilisation commerciale.
9. Modifications
La présente politique peut être mise à jour pour refléter des évolutions réglementaires ou techniques. La date en haut de page indique la dernière version applicable. Toute modification substantielle vous sera notifiée par email ou via l'application.
Une question sur ce document ? Écrivez-nous à [email protected].