Politique de Confidentialité (RGPD)
Service : Serrurio — standard téléphonique automatisé par intelligence artificielle
Dernière mise à jour : 29 juin 2026
Avertissement. Ce document est un modèle. Il doit être relu et validé par un professionnel du droit et adapté à votre configuration réelle (prestataires, durées, coordonnées). Complétez les mentions entre
[crochets].
1. Qui est responsable de vos données ?
La présente politique décrit la manière dont [Raison sociale] (« Serrurio »), [forme juridique] dont le siège est situé [adresse complète], immatriculée sous le numéro [SIREN], traite les données à caractère personnel dans le cadre du Service.
- Contact / Délégué à la protection des données (DPO) : [email DPO ou contact] — [adresse postale].
1.1. Deux rôles distincts
Serrurio intervient à deux titres :
- Responsable de traitement pour les données relatives au compte de l'Artisan (inscription, abonnement, facturation, utilisation du tableau de bord).
- Sous-traitant (article 28 du RGPD), pour le compte de l'Artisan, concernant les données des appelants (les clients de l'Artisan) traitées via le standard téléphonique. Dans ce cadre, l'Artisan est responsable de traitement et détermine les finalités ; Serrurio agit sur ses instructions, dans les conditions d'un accord de traitement des données (DPA).
2. Quelles données sont collectées ?
2.1. Données de l'Artisan (Client)
- Identité et coordonnées : nom, prénom, nom de l'entreprise, adresse e-mail, numéro de téléphone, ville/zone d'intervention.
- Données de compte : identifiants de connexion, paramètres, horaires, statut de disponibilité.
- Données de facturation : offre souscrite, historique d'abonnement, identifiants de paiement gérés par Stripe (Serrurio ne stocke aucune donnée de carte bancaire).
2.2. Données des appelants (clients de l'Artisan)
Dans le cadre de la prise en charge des appels, sont susceptibles d'être traités :
- le numéro de téléphone de l'appelant ;
- l'enregistrement audio de l'appel et/ou sa transcription écrite (données vocales) ;
- les informations communiquées pendant l'appel : nature de la demande, niveau d'urgence, adresse d'intervention, créneau souhaité, et tout élément que l'appelant choisit de communiquer ;
- des métadonnées techniques : date, heure et durée de l'appel.
Données vocales — mention spécifique. Les enregistrements et transcriptions d'appels constituent des données personnelles. L'appelant doit en être informé dès le début de l'appel (message d'information). L'Artisan, en tant que responsable de traitement de ces données, doit s'assurer que cette information est délivrée et, lorsque cela est requis, recueillir le consentement approprié. Serrurio fournit les moyens techniques d'information mais ne se substitue pas à l'Artisan dans cette obligation.
3. À quelles fins et sur quelles bases légales ?
| Finalité | Base légale (RGPD) |
|---|---|
| Création et gestion du compte Artisan | Exécution du contrat (art. 6.1.b) |
| Fourniture du standard téléphonique IA (réception, qualification, alertes, RDV) | Exécution du contrat / instructions du responsable de traitement (art. 6.1.b / 28) |
| Enregistrement et transcription des appels | Intérêt légitime de l'Artisan / consentement de l'appelant selon le cas (art. 6.1.f / 6.1.a) |
| Facturation et comptabilité | Exécution du contrat et obligation légale (art. 6.1.b / 6.1.c) |
| Sécurité, prévention de la fraude, amélioration du Service | Intérêt légitime (art. 6.1.f) |
| Envoi d'e-mails / SMS liés au Service | Exécution du contrat (art. 6.1.b) |
4. Destinataires et sous-traitants
Les données sont accessibles aux personnels habilités de Serrurio et aux prestataires techniques (sous-traitants ultérieurs) strictement nécessaires au fonctionnement du Service :
| Prestataire | Rôle | Localisation des données |
|---|---|---|
| Vercel Inc. | Hébergement de l'application web | [UE / États-Unis] |
| Supabase | Base de données, authentification | [UE — région à préciser] |
| Twilio Inc. | Téléphonie (appels, SMS), numéros dédiés | [UE / États-Unis] |
| Vapi | Orchestration de l'agent vocal IA (traitement audio/transcription) | [États-Unis] |
| Anthropic (Claude) | Traitement par modèle de langage (qualification, résumés) | [États-Unis] |
| Stripe Payments Europe, Ltd. | Paiement et facturation | [UE / États-Unis] |
| Resend | Envoi d'e-mails transactionnels | [UE / États-Unis] |
Chaque sous-traitant est encadré par un contrat conforme à l'article 28 du RGPD. Serrurio ne vend ni ne loue les données à des tiers à des fins commerciales.
5. Transferts hors Union européenne
Certains prestataires (notamment Twilio, Vapi, Anthropic, Stripe) peuvent traiter des données aux États-Unis ou dans d'autres pays hors UE. Ces transferts sont encadrés par des garanties appropriées : clauses contractuelles types (CCT) de la Commission européenne et/ou adhésion au Data Privacy Framework lorsque applicable. Une copie des garanties peut être demandée à [email de contact].
6. Durées de conservation
| Donnée | Durée de conservation |
|---|---|
| Compte Artisan (données actives) | Pendant toute la durée de l'abonnement |
| Compte Artisan après résiliation | [3 ans] à des fins de preuve, puis suppression ou anonymisation |
| Enregistrements audio des appels | [par défaut : 12 mois], puis suppression |
| Transcriptions et fiches d'appel | [12 à 24 mois], puis suppression ou anonymisation |
| Données de rendez-vous | Durée nécessaire au suivi, puis [archivage / suppression] |
| Données de facturation | [10 ans] (obligation légale comptable) |
| Logs techniques de sécurité | [6 à 12 mois] |
Les durées relatives aux données des appelants sont définies en accord avec l'Artisan, responsable de traitement.
7. Vos droits
Conformément au RGPD, toute personne concernée (Artisan ou appelant) dispose des droits suivants :
- droit d'accès à ses données ;
- droit de rectification des données inexactes ;
- droit à l'effacement (« droit à l'oubli ») ;
- droit à la limitation du traitement ;
- droit d'opposition pour motif légitime ;
- droit à la portabilité des données qu'elle a fournies ;
- droit de définir des directives relatives au sort de ses données après son décès.
Exercice des droits : par e-mail à [email DPO / contact] ou par courrier à [adresse postale]. Une réponse est apportée dans un délai d'un mois.
Les appelants exercent prioritairement leurs droits auprès de l'Artisan (responsable de traitement). Serrurio, en tant que sous-traitant, relaie les demandes à l'Artisan et l'assiste dans leur traitement.
Réclamation : vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés), 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr.
8. Sécurité
Serrurio met en œuvre des mesures techniques et organisationnelles appropriées : chiffrement des secrets sensibles, chiffrement des communications (HTTPS/TLS), contrôle des accès, journalisation, hébergement chez des prestataires reconnus. En cas de violation de données susceptible d'engendrer un risque pour les personnes, les obligations de notification prévues par le RGPD (art. 33 et 34) sont appliquées.
9. Cookies
Le site de Serrurio peut utiliser des cookies strictement nécessaires au fonctionnement (authentification, session) et, le cas échéant, des cookies de mesure d'audience soumis à votre consentement. Voir [le bandeau cookies / la politique cookies] pour le détail et la gestion de vos préférences.
10. Modifications
La présente politique peut être mise à jour. La version applicable est celle publiée sur le site à la date de votre utilisation du Service. Toute modification substantielle sera portée à votre connaissance.
Contact : [email de contact] — [Raison sociale], [adresse complète].