En bref
Chez Obraa, nous construisons un outil pour vous faire gagner du temps sur votre administratif : Devis, avenant et facture. Cette politique explique quelles données nous traitons, pourquoi, et comment vous gardez le contrôle.
- Vos données restent dans l'Union européenne pour leur stockage principal.
- Nous ne vendons jamais vos données.
- Vous pouvez vous opposer à l'usage de vos conversations pour améliorer notre IA en un clic.
- Vous gardez la maîtrise complète de vos données et de votre compte.
Une question ? Écrivez-nous à privacy@obraa.io.
1. Qui est responsable de vos données
Obraa est exploité par Déna Solimani Jahangiri, indépendant établi en Belgique.
Pour les coordonnées légales complètes (siège, numéro d'entreprise, TVA), consultez nos mentions légales.
Pour toute question sur vos données : privacy@obraa.io.
Nous n'avons pas désigné de Délégué à la protection des données (DPO) car notre activité ne relève pas des cas où cette désignation est obligatoire au sens de l'article 37 du RGPD. Nous restons directement joignables sur les questions de protection des données.
2. Quand cette politique s'applique
Cette politique concerne :
- Les professionnels du bâtiment qui utilisent Obraa pour gérer leurs devis et factures (ci-après "pros").
- Les clients finaux mentionnés dans les devis et factures émis via Obraa, de manière indirecte.
- Les visiteurs de notre site obraa.io et les personnes qui nous contactent.
Lorsqu'un pro utilise Obraa pour gérer les coordonnées de ses propres clients, il est le responsable de traitement de ces données. Obraa agit alors comme sous-traitant au sens de l'article 28 du RGPD. Les conditions de cette sous-traitance figurent dans nos Conditions générales d'utilisation et dans l'accord de traitement des données qui leur est annexé.
3. Quelles données nous traitons et pourquoi
Nous avons organisé cette section par situation, pour que vous compreniez ce qui se passe à chaque étape.
3.1 Quand vous créez votre compte
Données : email, mot de passe (stocké sous forme hachée, jamais en clair), prénom, nom. En cas de connexion via un fournisseur d'identité tiers, nous récupérons ces mêmes informations depuis votre profil.
Finalité : créer et sécuriser votre compte, vous permettre de vous connecter.
Base légale : exécution du contrat (article 6.1.b RGPD).
Durée : pendant la durée de votre compte. En cas de suppression, les données sont marquées comme supprimées et conservées pour des raisons de sécurité et d'audit pendant une durée alignée sur nos obligations légales.
3.2 Quand vous complétez votre profil professionnel
Données : nom d'entreprise, numéro de TVA, adresse de facturation, IBAN, téléphone, métier, spécialisations, langue préférée, logo, conditions générales que vous appliquez à vos clients, identité du signataire de vos devis.
Finalité : produire des devis et factures conformes à votre identité et aux exigences légales applicables.
Base légale : exécution du contrat.
Durée : pendant la durée de votre compte. Après suppression, conservation selon les obligations fiscales applicables aux documents émis.
3.3 Quand vous souscrivez à un abonnement
Données : identifiants techniques liés à votre paiement (nous ne stockons jamais votre numéro de carte), plan souscrit, statut d'abonnement, dates de renouvellement, éventuel motif de résiliation.
Finalité : gérer votre abonnement, vos paiements et votre facturation.
Base légale : exécution du contrat et obligation légale (obligations fiscales belges).
Durée : 7 ans à compter de la fin de la relation contractuelle, conformément aux obligations fiscales applicables.
3.4 Quand vous gérez votre catalogue et vos clients
Données : postes de travaux (descriptions, unités, prix), informations de vos clients finaux (noms, adresses, emails, téléphones, numéros de TVA si entreprises).
Finalité : vous permettre de créer des devis rapidement en pré-remplissant des informations récurrentes.
Base légale : exécution du contrat. Pour les données de vos clients finaux, Obraa agit comme sous-traitant : vous restez responsable de l'usage que vous en faites.
Durée : pendant la durée de votre compte. Les devis et factures émis sont conservés 7 ans (obligation fiscale).
3.5 Quand vous utilisez l'assistant IA par WhatsApp
Cette section est développée au chapitre 4.
3.6 Quand nous générons et envoyons vos devis et factures
Données : contenu des devis et factures (lignes, quantités, prix, totaux, TVA), horodatage d'envoi, statut, email du destinataire.
Finalité : générer des PDF professionnels, les envoyer à vos clients en votre nom, assurer le suivi.
Base légale : exécution du contrat et obligation légale.
Durée : 7 ans minimum à compter de l'émission, conformément aux obligations fiscales applicables.
3.7 Quand vous contactez le support
Données : objet, catégorie, description de votre demande, éventuelles pièces jointes, commentaires, statut de résolution.
Finalité : répondre à votre demande et améliorer le produit.
Base légale : exécution du contrat.
Durée : 3 ans après résolution. Au-delà, anonymisation à des fins d'amélioration produit.
3.8 Quand vous remplissez le formulaire de contact public
Données : nom, email, entreprise, message.
Finalité : répondre à votre demande commerciale ou d'information.
Base légale : intérêt légitime (article 6.1.f RGPD).
Durée : 24 mois si votre demande ne donne pas lieu à une relation commerciale.
3.9 Pour des raisons de sécurité et d'audit
Données : journaux techniques des actions sensibles sur votre compte (création, modification, envoi de documents), horodatage, adresse IP, agent utilisateur. Ces journaux sont rendus inaltérables par des techniques cryptographiques conformes à l'état de l'art.
Finalité : prévenir la fraude, garantir la traçabilité, répondre aux obligations légales.
Base légale : intérêt légitime et obligation légale.
Durée : 7 ans, aligné sur les obligations fiscales applicables.
4. L'assistant IA Obraa
L'assistant IA WhatsApp est une des fonctionnalités d'Obraa. Nous vous devons la transparence sur son fonctionnement.
4.1 Ce qui se passe quand vous dictez un devis
- Vous envoyez un message WhatsApp à Obraa (vocal ou texte).
- Notre orchestrateur reçoit le message via le canal WhatsApp Business.
- Si c'est un message vocal, il est transcrit en texte par un service de transcription vocale automatique. Le fichier audio n'est pas conservé après transcription.
- Le texte est analysé par un modèle d'IA générative pour extraire les informations pertinentes (postes, quantités, client mentionné).
- Pour les photos de catalogue fournisseur, un modèle d'analyse d'image extrait les données structurées.
- Les informations structurées sont enregistrées dans notre base de données.
- Un brouillon de devis est créé. Rien n'est envoyé à votre client à ce stade.
- Vous recevez une confirmation avec un récapitulatif.
- Vous validez, modifiez ou rejetez le devis avant tout envoi au client final.
Point crucial : aucun devis n'est jamais envoyé à votre client final sans votre validation explicite. L'IA propose, vous décidez.
4.2 Pourquoi nous conservons vos conversations et vos devis
Au-delà de leur usage immédiat (créer et archiver votre devis), nous conservons de manière structurée le contenu des devis (postes, prix, quantités), les conversations entre vous et l'assistant, et les métadonnées de l'IA (niveau de confiance, corrections que vous avez apportées).
Finalité : améliorer l'assistant Obraa. Plus l'IA voit de cas réels, meilleure elle devient pour vous aider.
Base légale : intérêt légitime (article 6.1.f RGPD). Nous avons documenté cette analyse dans un test d'intérêt légitime, disponible sur demande à privacy@obraa.io.
Nos engagements :
- Vos données restent traitées dans l'Union européenne pour le stockage principal du corpus.
- Nous ne les vendons jamais et ne les communiquons jamais à des tiers à des fins commerciales.
- Les mentions de vos clients finaux sont pseudonymisées avant toute utilisation pour amélioration de nos modèles.
- Vous pouvez vous y opposer à tout moment, sans justification, en un clic dans vos paramètres.
4.3 Comment vous opposer à cette utilisation (opt-out)
Depuis votre espace Obraa, rendez-vous dans Paramètres puis Contribution à l'amélioration de l'IA et désactivez l'option.
Vous pouvez aussi nous écrire à privacy@obraa.io.
Après votre opt-out, vos nouvelles données ne sont pas utilisées pour entraîner notre IA. Sur demande explicite, vos données antérieures sont également exclues des prochains cycles d'amélioration. Vous continuez à bénéficier pleinement d'Obraa : l'opt-out ne dégrade en rien votre service.
Limite technique que nous assumons en toute transparence : une fois qu'un modèle a été entraîné avec des données, il n'est pas techniquement possible de "désapprendre" ce qui a été appris. Aucune information individuelle identifiable ne sort toutefois du modèle.
4.4 Quand l'IA se trompe
L'IA peut se tromper. C'est pour cela que :
- Chaque ligne extraite par l'IA est affichée avec un niveau de confiance.
- Si la confiance est faible, l'assistant vous demande une confirmation explicite.
- Vous pouvez tout corriger ou rejeter avant envoi à votre client.
- En cas d'erreur détectée après envoi, vous pouvez créer un avenant qui remplace le devis initial tout en conservant la traçabilité.
Aucun devis n'étant envoyé à votre client sans votre validation humaine, l'article 22 du RGPD relatif aux décisions individuelles automatisées ne s'applique pas à notre traitement. Vous restez maître des décisions contractuelles envers vos clients.
5. À qui nous transmettons vos données
Nous faisons appel à des prestataires techniques pour faire fonctionner Obraa. Nous les sélectionnons sur leur sérieux, leurs certifications (SOC 2, ISO 27001, PCI-DSS selon les rôles) et leur conformité au RGPD. Nous avons signé avec chacun les accords de sous-traitance exigés par l'article 28 du RGPD.
Catégories de sous-traitants utilisées :
| Catégorie | Rôle | Localisation des traitements |
|---|---|---|
| Hébergement applicatif | Mise à disposition de l'application web | Union européenne |
| Base de données et authentification | Stockage de vos données, gestion des comptes | Union européenne |
| Paiement et abonnement | Traitement des paiements, facturation | Union européenne et États-Unis |
| Messagerie professionnelle | Canal WhatsApp pour l'assistant IA | Union européenne et États-Unis |
| Transcription vocale | Conversion de la voix en texte | Union européenne |
| Modèles d'IA générative | Compréhension du langage et extraction de données | Union européenne et États-Unis |
| Analyse d'image | Lecture de catalogues fournisseurs en photo | Union européenne et États-Unis |
| Génération de documents PDF | Production de vos devis et factures | Union européenne |
| Envoi d'emails transactionnels | Communications liées à votre compte | Union européenne et États-Unis |
| Surveillance technique et détection d'erreurs | Maintien en condition opérationnelle | Union européenne et États-Unis |
| Protection anti-fraude et analytics anonymes | Sécurité du site, statistiques agrégées | Union européenne et États-Unis |
| Conseil juridique | Accompagnement réglementaire | Union européenne |
Nous ne vendons pas vos données à des tiers à des fins publicitaires ou commerciales.
La liste nominative à jour de nos sous-traitants est disponible sur demande motivée à privacy@obraa.io.
6. Transferts internationaux de données
Certains de nos sous-traitants ou de leurs infrastructures sont situés en dehors de l'Union européenne, principalement aux États-Unis. Pour chaque transfert, nous nous appuyons sur l'un des mécanismes prévus par le RGPD :
- Le cadre Data Privacy Framework lorsque le sous-traitant américain y est certifié (décision d'adéquation de la Commission européenne du 10 juillet 2023).
- Les Clauses contractuelles types adoptées par la Commission européenne (décision 2021/914) lorsque le DPF ne s'applique pas.
- Des mesures techniques complémentaires : chiffrement en transit et au repos, activation de la résidence européenne des données chez les prestataires qui le permettent, minimisation systématique.
Aucune donnée n'est transférée vers un pays sans décision d'adéquation ni garantie appropriée.
7. Combien de temps nous conservons vos données
| Type de données | Durée |
|---|---|
| Compte utilisateur hors documents fiscaux | Durée du compte plus 5 ans |
| Devis et factures émis | 7 ans (obligation fiscale belge) |
| Historique des paiements | 7 ans |
| Historique WhatsApp et sessions IA | Durée du compte, exploitable pour amélioration de l'IA sauf opt-out |
| Tickets de support résolus | 3 ans |
| Formulaire de contact non commercial | 24 mois |
| Journaux d'audit (sécurité) | 7 ans |
| Logs techniques d'erreurs | 90 jours |
Au terme de ces durées, les données sont supprimées ou anonymisées de manière irréversible.
8. Vos droits sur vos données
Le RGPD vous donne des droits. Voici comment les exercer chez Obraa.
8.1 Droit d'accès (article 15)
Vous pouvez à tout moment consulter l'ensemble de vos données dans votre espace Obraa. Pour un export complet, écrivez à privacy@obraa.io. Délai de réponse : 30 jours maximum.
8.2 Droit de rectification (article 16)
Vous pouvez modifier votre profil, vos clients et votre catalogue à tout moment depuis votre espace. Les devis déjà envoyés à un client sont verrouillés : vous pouvez créer un avenant qui les modifie tout en conservant la traçabilité.
8.3 Droit à l'effacement (article 17)
Vous pouvez supprimer votre compte depuis vos paramètres. Après suppression, votre compte est désactivé immédiatement, votre abonnement est résilié et vos données deviennent invisibles. Elles ne sont pas supprimées physiquement car la loi belge impose la conservation des documents fiscaux pendant 7 ans.
Pour aller plus loin (exclusion explicite de nos corpus d'amélioration IA, par exemple), écrivez à privacy@obraa.io.
8.4 Droit à la limitation (article 18)
Si vous contestez l'exactitude d'une donnée, vous pouvez demander à ce que son traitement soit temporairement suspendu. Écrivez à privacy@obraa.io.
8.5 Droit à la portabilité (article 20)
Vous pouvez demander un export de vos données dans un format structuré pour les transférer à un autre service. Délai : 30 jours.
8.6 Droit d'opposition (article 21)
Lorsque nous nous appuyons sur l'intérêt légitime, vous pouvez vous opposer sans justification. Pour le corpus d'amélioration IA, l'opt-out est directement disponible dans vos paramètres.
8.7 Droit de réclamation
Si vous estimez que nous n'avons pas correctement respecté vos droits, vous pouvez déposer une plainte auprès de l'Autorité de protection des données belge :
APD, Rue de la Presse 35, 1000 Bruxelles Téléphone : +32 2 274 48 00 Email : contact@apd-gba.be Site : autoriteprotectiondonnees.be
Nous préférerions que vous nous en parliez d'abord. Écrivez à privacy@obraa.io.
8.8 Comment exercer vos droits
Un seul email suffit : privacy@obraa.io. Précisez le droit que vous souhaitez exercer et confirmez votre identité (nous pouvons demander un email lié à votre compte). Nous répondrons dans les 30 jours, délai prolongeable à 60 jours pour les demandes complexes, auquel cas nous vous préviendrons. L'exercice de vos droits est gratuit, sauf demandes manifestement abusives ou répétitives.
9. Comment nous protégeons vos données
La sécurité n'est pas une option chez Obraa. Nous appliquons des mesures techniques et organisationnelles proportionnées aux risques, conformément à l'article 32 du RGPD.
Mesures techniques :
- Chiffrement systématique de vos données en transit et au repos par des techniques conformes à l'état de l'art.
- Isolation stricte des données entre comptes, appliquée au niveau de la base de données elle-même.
- Traçabilité des actions sensibles dans un registre inaltérable.
- Mots de passe stockés sous forme hachée, jamais en clair.
- Authentification renforcée disponible (double authentification, connexion via un fournisseur d'identité tiers).
- Secrets et clés d'API conservés dans un environnement sécurisé, jamais exposés côté navigateur.
- Sauvegardes continues de la base de données.
Mesures organisationnelles :
- Accès à l'infrastructure restreint au strict nécessaire.
- Engagements de confidentialité signés par les collaborateurs et prestataires.
- Environnements de test et de production strictement séparés.
- Procédure de notification de violation : nous informons l'APD dans les 72 heures et les personnes concernées si leurs droits sont menacés.
De votre côté : utilisez un mot de passe fort et unique, activez la double authentification, ne partagez jamais vos identifiants, et signalez toute activité suspecte à security@obraa.io.
10. Cookies et analytics
Nous n'utilisons aucun cookie publicitaire ni de tracking individualisé.
Les statistiques d'usage de notre site sont mesurées de manière agrégée et anonyme, sans cookie tiers, ce qui nous dispense de bandeau de consentement.
Les seuls cookies présents sont strictement nécessaires au fonctionnement du service (session de connexion, préférences de langue, protection anti-fraude). Ils ne nécessitent pas votre consentement (article 5.3 directive ePrivacy, exception des cookies strictement nécessaires).
Pour le détail complet, consultez notre Politique cookies.
11. Les enfants
Obraa est un service strictement réservé aux professionnels majeurs. Nous ne collectons pas sciemment de données relatives à des mineurs. Si vous pensez qu'un mineur nous a transmis des données, écrivez à privacy@obraa.io pour que nous prenions les mesures appropriées.
12. Modifications de cette politique
Cette politique peut évoluer. Nous vous informerons de toute modification significative :
- Par email à l'adresse liée à votre compte.
- Via une bannière visible dans votre espace Obraa pendant au moins 14 jours.
- En indiquant la date de dernière mise à jour en haut de cette page.
Les versions précédentes sont archivées et peuvent être consultées sur demande à privacy@obraa.io.
13. Nous contacter
Pour toute question sur vos données : privacy@obraa.io.
Pour un incident de sécurité : security@obraa.io.
Pour une réclamation formelle, l'Autorité de protection des données belge reste votre interlocuteur de dernier recours (coordonnées en section 8.7).
Obraa est fait en Belgique pour les pros du bâtiment, avec respect de leurs données.