Politique de Confidentialité

Dernière mise à jour: Janvier 2026

1. Responsable du Traitement

Entité : Orama

Siège Social : Suisse

Contact : contact@orama.li

Hébergement : Neon (PostgreSQL), Upstash (Redis) - Infrastructure EU

2. Base Légale du Traitement

Nous traitons vos données sur les bases légales suivantes (RGPD Art. 6):

  • Contrat (6.1.b): Données nécessaires pour exécuter votre contrat d'abonnement
  • Obligation légale (6.1.c): Comptabilité, fiscalité, prévention fraude
  • Intérêt légitime (6.1.f): Amélioration du service, sécurité, analyse statistique
  • Consentement (6.1.a): Marketing, analytics avancés (opt-in explicite)

3. Données Collectées & Durée de Conservation

Données de Compte

Email, nom, mot de passe (hashé), profil photo

Conservation: Durée du contrat + 3 ans (obligations fiscales)

Base légale: Contrat & Obligation légale

Données de Contenu

Tâches, projets, notes, événements, intégrations

Conservation: Durée du contrat + 30 jours (bkp)

Base légale: Contrat

Données de Paiement

Informations factures, historique abonnement (PCI-DSS via Stripe)

Conservation: 7 ans (obligations comptables)

Base légale: Obligation légale

Données Techniques

Logs serveur, adresse IP, User-Agent, géolocalisation approximative

Conservation: 6 mois (sécurité & audit)

Base légale: Intérêt légitime & Obligation légale

Cookies & Trackers

Cookies techniques (session), analytics (opt-in)

Conservation: 13 mois max

Base légale: Consentement

Audit Trail

Logs d'actions utilisateur pour conformité & sécurité

Conservation: 2 ans

Base légale: Obligation légale & Intérêt légitime

4. Tiers et Partage de Données

4.1 Services auxquels vous autorisez l'accès à vos données Google

Orama vous permet de connecter et synchroniser vos données Google. Lorsque vous autorisez ces connexions, les données suivantes peuvent être accessibles:

  • Google Calendar: Nous accédons à vos événements pour synchroniser avec Orama. Les événements sont stockés de manière chiffrée dans notre base de données.
  • Google Drive: Pour intégration documents/fichiers. Vos fichiers Google Drive restent stockés chez Google; nous conservons uniquement les métadonnées et liens.
  • Gmail/Google Contacts: Si vous activez l'intégration, nous pouvons accéder à vos contacts pour améliorer les suggestionsdans Orama.
  • Google Tasks: Synchronisation optionnelle de vos tâches Google Tasks.

Important: Vous pouvez révoquer l'accès à tout moment depuis les paramètres de compte ou directement dans votre compte Google.

4.2 Services Tiers (Sous-traitants)

Vos données (y compris celles synchronisées depuis Google) sont traitées par:

  • Neon (PostgreSQL): Hébergement base de données - EU - Clauses contractuelles types
  • Upstash (Redis): Cache et sessions - EU - Clauses contractuelles types
  • Stripe: Traitement paiements - US - Privacy Shield + Standard Contractual Clauses
  • Resend: Email transactionnels - US - Standard Contractual Clauses
  • Vercel Blob: Stockage fichiers/images - EU/US - Standard Contractual Clauses
  • Zoom: Intégration optionnelle - Génération de notes depuis réunions Zoom

Tous ces services sont soumis aux Clauses Contractuelles Standards (Art. 46 RGPD) et à des accords de confidentialité stricts.

4.3 Partage avec des Tiers Externes

IMPORTANT: Orama ne partage jamais vos données avec des tiers externes (publicité, courtage de données, marketing) sans votre consentement explicite.

Votre contenu reste votre propriété. Nous ne divulguons jamais vos données Google, tâches, projets, calendriers ou notes à d'autres utilisateurs ou entreprises.

Tous les transferts de données hors UE/EEE/Suisse sont sécurisés par des mécanismes de conformité RGPD (Clauses Contractuelles Standards, Adequacy Decisions).

5. Utilisation des Données

  • Fournir et maintenir le service Orama
  • Traiter les paiements et facturation
  • Authentification et gestion de compte
  • Support client et résolution de problèmes
  • Amélioration continue des fonctionnalités
  • Analyse statistique agrégée (sans identification)
  • Prévention fraude, sécurité, conformité légale
  • Communications transactionnelles (changements, mises à jour)
  • Marketing (uniquement avec consentement opt-in)

6. Sécurité des Données

  • Chiffrement en transit (HTTPS/TLS 1.3)
  • Chiffrement au repos pour données sensibles (AES-256)
  • Hachage sécurisé des mots de passe (bcrypt)
  • Row-Level Security (RLS) au niveau base de données
  • Audit trail complète des accès
  • Authentification 2FA disponible
  • Sauvegardes régulières (RAID + redondance géographique)
  • Tests de sécurité réguliers

7. Vos Droits (RGPD Art. 15-22)

Vous disposez des droits suivants:

Droit d'accès (Art. 15): Obtenir copie de vos données via votre compte dashboard

Droit de rectification (Art. 16): Corriger les données inexactes

Droit à l'effacement (Art. 17): Suppression complète via paramètres compte

Droit à la limitation (Art. 18): Limiter traitement de certaines données

Droit à la portabilité (Art. 20): Export données en JSON

Droit d'opposition (Art. 21): Refuser marketing/analytics

Droits liés aux décisions automatisées (Art. 22): Pas de profilage discriminatoire

Pour exercer ces droits : contact@orama.li (réponse dans 30 jours)

8. Consentement & Cookies

Nous demandons votre consentement explicite pour les trackers optionnels. Les cookies techniques sont nécessaires à l'authentification. Voir notre page cookies pour plus de détails.

9. Droit de Réclamation

Si vous estimez que nous violons vos droits en matière de données personnelles, vous pouvez former une réclamation auprès de l'autorité compétente:

  • Suisse : PFPDT — Préposé fédéral à la protection des données (edoeb.admin.ch) — Tél. +41 58 462 43 95
  • Union européenne : Autorité de protection des données de votre pays de résidence

10. Modifications de cette Politique

Nous pouvons modifier cette politique. Les changements importants seront notifiés par email. Votre utilisation continue du service après modification signifie votre acceptation.

11. Droit Applicable

Cette politique de confidentialité est régie par le droit suisse, notamment la loi fédérale sur la protection des données (nLPD), et est conforme au RGPD (UE).

Politique entrée en vigueur: 1er Janvier 2026

Dernière révision: Janvier 2026