CONFIDENTIALITÉ

Politique de confidentialité

Dernière mise à jour : 1er mai 2026

Mano Labelle (Micro-entrepreneur (entreprise individuelle), « Rainbow », « nous ») édite l'application Rainbow, un assistant commercial IA pour commerciaux terrain. Cette politique décrit les données que nous traitons et vos droits, conformément au Règlement (UE) 2016/679 (« RGPD »).

1. Responsable du traitement

Mano LabelleMicro-entrepreneur (entreprise individuelle), 8 rue du 8 Mai 1945, 76700 Gonfreville l'Orcher, France. SIRET 889 097 739 00011. Contact : mano@askrainbow.ai.

2. Données collectées

Nous collectons uniquement ce qui est nécessaire au service :

  • Identifiants de compte — nom, adresse email, mot de passe haché (Argon2), numéro de téléphone (optionnel).
  • Messages et requêtes — texte saisi, mémos vocaux (transmis à OpenAI Whisper pour transcription), images (transmis à OpenAI Vision pour analyse de cartes de visite, devis, etc.).
  • Données CRM saisies par vous — contacts professionnels, tâches, rendez-vous, notes.
  • Données Google Calendar (si vous connectez votre agenda) — voir section « Intégration Google » ci-dessous.
  • Position approximative — uniquement quand vous recherchez des contacts à proximité. Géocodage via une API tierce. Non stockée.
  • Données techniques — diagnostics et rapports de crash (Sentry), logs serveur (Railway), aucun pixel publicitaire.

3. Traitement par l'IA — OpenAI

Rainbow utilise les API OpenAI (Whisper, GPT, Vision) pour comprendre vos demandes et générer des réponses. Le traitement IA n'est activé qu'après votre consentement explicite via une modale dédiée à votre première utilisation.

  • OpenAI conserve les données 30 jours maximum à des fins de surveillance des abus, puis les supprime automatiquement (Enterprise Privacy).
  • OpenAI n'utilise pas vos données pour entraîner ses modèles (API Data Usage Policy).
  • Vous pouvez révoquer votre consentement à tout moment depuis Paramètres > Traitement IA. La révocation prend effet immédiatement et bloque tout nouvel envoi à OpenAI.

4. Intégration Google (Calendar)

Si vous connectez votre Google Calendar, Rainbow demande l'accès à deux scopes Google :

  • https://www.googleapis.com/auth/calendar — lecture et écriture de vos événements de calendrier.
  • https://www.googleapis.com/auth/userinfo.email — votre adresse email Google, pour identifier le compte connecté.

Pourquoi cet accès ?

  • Lecture: afficher vos rendez-vous dans l'application, répondre à des questions comme « mon prochain rendez-vous avec Marie ? », générer le digest matinal et les briefs pré-rendez-vous.
  • Écriture: créer un événement quand vous dictez « rendez-vous avec Paul demain 14h », mettre à jour ou supprimer un événement quand vous le demandez à l'assistant.

Ce que nous stockons

  • Tokens OAuth (access + refresh) chiffrés au repos (AES-256-GCM, clé de chiffrement gérée séparément des données).
  • Mappings événement — pour relier un rendez-vous Rainbow à son événement Google correspondant (id Google + id Rainbow + id calendrier).
  • Cache léger d'événements à venir— titre, date, participants, lieu — pour servir l'agenda hors-ligne et générer les briefings sans appeler Google à chaque ouverture d'écran.

Ce que nous NE faisons PAS

  • Aucun partage de vos données Google avec des tiers.
  • Aucune utilisation pour de la publicité, du profilage marketing ou de l'entraînement de modèles.
  • Aucune lecture d'événements antérieurs à 6 mois (limite de requête).

Comment révoquer l'accès Google

Deux options :

  • Dans Rainbow : Paramètres > Calendrier > Déconnecter Google. Les tokens sont effacés et l'accès est révoqué côté Google.
  • Sur Google : myaccount.google.com/permissions — révoquer Rainbow.

Conformité Google API Services User Data Policy. L'utilisation et le transfert par Rainbow des informations reçues des API Google respectent la Google API Services User Data Policy, y compris les exigences d'utilisation limitée (Limited Use).

5. Finalités du traitement

  • Fournir l'assistant commercial IA (transcription, réponse, exécution d'actions).
  • Stocker votre CRM (contacts, tâches, notes, rendez-vous).
  • Synchroniser votre agenda Google avec vos rendez-vous Rainbow.
  • Vous envoyer des notifications et rappels (avec votre consentement push).
  • Diagnostiquer les erreurs et améliorer la qualité du service.

Bases légales : exécution du contrat (article 6.1.b du RGPD) pour les fonctions essentielles ; consentement (article 6.1.a) pour le traitement IA et les notifications.

6. Sous-traitants et hébergement

  • Neon(PostgreSQL managé) — hébergement base de données dans l'Union européenne (Francfort, Allemagne).
  • Railway — hébergement du serveur backend.
  • OpenAI — traitement IA des messages, images, audio (États-Unis, sous Standard Contractual Clauses).
  • Google — agenda (lecture/écriture, sous votre contrôle via OAuth).
  • Sentry— diagnostics d'erreurs.
  • Expo / EAS — distribution mobile et notifications push (APNs Apple, FCM Google).

7. Durée de conservation

  • Compte actif : tant que votre compte existe.
  • Historique de conversation : conservé pour permettre la reprise de contexte. Vous pouvez le purger via Paramètres > Supprimer mes données.
  • Données envoyées à OpenAI : 30 jours maximum côté OpenAI.
  • Tokens Google : effacés à la déconnexion ou à la suppression du compte.
  • Logs techniques : 30 jours sur Sentry et Railway.
  • Sauvegardes : 7 jours roulants, automatiques.

8. Sécurité

  • Communications HTTPS/TLS 1.3.
  • Mots de passe hachés Argon2id.
  • Tokens d'authentification dans le trousseau sécurisé de l'appareil (Keychain iOS, Keystore Android).
  • Tokens Google chiffrés AES-256-GCM au repos.
  • Isolation des organisations via Row-Level Security PostgreSQL.
  • Accès interne restreint, journalisé.

9. Vos droits (RGPD)

Vous disposez des droits suivants :

  • Accès — obtenir une copie de vos données.
  • Rectification — corriger vos informations.
  • Effacement — supprimer toutes vos données (Paramètres > Supprimer mes données, immédiat).
  • Portabilité — recevoir vos données dans un format standard (CSV, JSON).
  • Opposition — refuser certains traitements (toggle IA dans les Paramètres).
  • Retrait du consentement — désactiver le traitement IA, déconnecter Google, à tout moment.
  • Réclamation — auprès de la CNIL (cnil.fr) si vous estimez que vos droits ne sont pas respectés.

Pour exercer vos droits, écrivez à mano@askrainbow.ai. Réponse sous 30 jours maximum.

10. Mineurs

Rainbow n'est pas destiné aux personnes de moins de 16 ans. Nous ne collectons pas sciemment de données de mineurs.

11. Modifications

Toute modification importante de cette politique sera notifiée dans l'application au moins 30 jours avant son entrée en vigueur. La date de dernière mise à jour figure en haut de cette page.

12. Contact

Pour toute question : mano@askrainbow.ai.

← Retour à l'accueil