Politique de Confidentialité

Dernière mise à jour: Janvier 2026

1. Responsable du Traitement

Entité: Orama SA

Email: privacy@orama.app

Responsable Données: data-protection@orama.app

Siège Social: Europe (Conformité RGPD & nLPD)

Hébergement: Neon (PostgreSQL), Upstash (Redis) - Infrastructure EU

2. Base Légale du Traitement

Nous traitons vos données sur les bases légales suivantes (RGPD Art. 6):

  • Contrat (6.1.b): Données nécessaires pour exécuter votre contrat d'abonnement
  • Obligation légale (6.1.c): Comptabilité, fiscalité, prévention fraude
  • Intérêt légitime (6.1.f): Amélioration du service, sécurité, analyse statistique
  • Consentement (6.1.a): Marketing, analytics avancés (opt-in explicite)

3. Données Collectées & Durée de Conservation

Données de Compte

Email, nom, mot de passe (hashé), profil photo

Conservation: Durée du contrat + 3 ans (obligations fiscales)

Base légale: Contrat & Obligation légale

Données de Contenu

Tâches, projets, notes, événements, intégrations

Conservation: Durée du contrat + 30 jours (bkp)

Base légale: Contrat

Données de Paiement

Informations factures, historique abonnement (PCI-DSS via Stripe)

Conservation: 7 ans (obligations comptables)

Base légale: Obligation légale

Données Techniques

Logs serveur, adresse IP, User-Agent, géolocalisation approximative

Conservation: 6 mois (sécurité & audit)

Base légale: Intérêt légitime & Obligation légale

Cookies & Trackers

Cookies techniques (session), analytics (opt-in)

Conservation: 13 mois max

Base légale: Consentement

Audit Trail

Logs d'actions utilisateur pour conformité & sécurité

Conservation: 2 ans

Base légale: Obligation légale & Intérêt légitime

4. Sous-traitants & Transferts de Données

Vos données sont traitées par:

  • Neon: Hébergement PostgreSQL (EU) - Clauses contractuelles types
  • Upstash: Cache Redis (EU) - Clauses contractuelles types
  • Stripe: Paiements (US) - Privacy Shield + Standard Contractual Clauses
  • Resend: Email (US) - Standard Contractual Clauses
  • Vercel Blob: Stockage fichiers (EU/US) - Standard Contractual Clauses

Tous les transferts hors UE/EEE/Suisse sont sécurisés par les Clauses Contractuelles Standards (Art. 46 RGPD).

5. Utilisation des Données

  • Fournir et maintenir le service Orama
  • Traiter les paiements et facturation
  • Authentification et gestion de compte
  • Support client et résolution de problèmes
  • Amélioration continue des fonctionnalités
  • Analyse statistique agrégée (sans identification)
  • Prévention fraude, sécurité, conformité légale
  • Communications transactionnelles (changements, mises à jour)
  • Marketing (uniquement avec consentement opt-in)

6. Sécurité des Données

  • Chiffrement en transit (HTTPS/TLS 1.3)
  • Chiffrement au repos pour données sensibles (AES-256)
  • Hachage sécurisé des mots de passe (bcrypt)
  • Row-Level Security (RLS) au niveau base de données
  • Audit trail complète des accès
  • Authentification 2FA disponible
  • Sauvegardes régulières (RAID + redondance géographique)
  • Tests de sécurité réguliers

7. Vos Droits (RGPD Art. 15-22)

Vous disposez des droits suivants:

Droit d'accès (Art. 15): Obtenir copie de vos données via votre compte dashboard

Droit de rectification (Art. 16): Corriger les données inexactes

Droit à l'effacement (Art. 17): Suppression complète via paramètres compte

Droit à la limitation (Art. 18): Limiter traitement de certaines données

Droit à la portabilité (Art. 20): Export données en JSON

Droit d'opposition (Art. 21): Refuser marketing/analytics

Droits liés aux décisions automatisées (Art. 22): Pas de profilage discriminatoire

Pour exercer ces droits: privacy@orama.app (réponse dans 30 jours)

8. Consentement & Cookies

Nous demandons votre consentement explicite pour les trackers optionnels. Les cookies techniques sont nécessaires à l'authentification. Voir notre page cookies pour plus de détails.

9. Droit de Réclamation

Si vous estimez que nous violons vos droits en matière de données personnelles, vous pouvez former une réclamation auprès de l'autorité compétente:

  • France: CNIL (cnil.fr) - Tel: +33 1 53 73 22 22
  • Suisse: PFPDT (preispsdata.ch) - Tel: +41 58 462 43 95
  • Belgique: APD (autoriteprotectiondonnees.be)

10. Modifications de cette Politique

Nous pouvons modifier cette politique. Les changements importants seront notifiés par email. Votre utilisation continue du service après modification signifie votre acceptation.

11. Droit Applicable

Cette politique de confidentialité est régie par la loi française et conforme au RGPD (UE) et à la nLPD (Suisse).

Politique entrée en vigueur: 1er Janvier 2026

Dernière révision: Janvier 2026