Politique de confidentialité
Dernière mise à jour : 1er avril 2026
Vulko SAS (« Vulko ») s'engage a protéger la vie privée de ses utilisateurs. La présente politique de confidentialité décrit les données personnelles que nous collectons, les finalités de leur traitement et les droits dont vous disposez conformément au Règlement Général sur la Protection des Données (RGPD).
1. Données collectées
Nous collectons les catégories de données suivantes :
- Données d'identification : nom, prénom, adresse email, numéro de téléphone, raison sociale, numéro SIRET.
- Données de connexion : adresse IP, type de navigateur, système d'exploitation, pages visitées, date et heure de connexion.
- Données de paiement : les informations de carte bancaire sont collectées et traitées directement par Stripe Inc. Vulko ne stocke aucun numéro de carte.
- Données d'utilisation : devis créés, factures générées, paramètres de compte et préférences.
2. Finalités du traitement
- Fourniture et gestion du service Vulko (exécution du contrat).
- Facturation et gestion des paiements (obligation légale et exécution du contrat).
- Amélioration du service et personnalisation de l'expérience utilisateur (intérêt légitime).
- Communication commerciale, uniquement avec votre consentement préalable.
- Respect des obligations légales et comptables.
3. Durée de conservation
- Données de compte : conservées pendant la durée de l'abonnement. À la suppression du compte (action utilisateur depuis « Mon compte »), effacement immédiat des données personnelles. Exception : les factures payées sont conservées 10 ans (article L123-22 du Code de commerce, obligation comptable).
- Devis et factures : 10 ans après émission (Code de commerce).
- Journal d'audit (sécurité) : 12 mois (base légale : intérêt légitime, article 32 RGPD).
- Audio voice (dictée vocale) : non stocké. La transcription est demandée à Mistral AI Voxtral en flux et effacée immédiatement après transmission du texte.
- Notifications internes : 6 mois.
- Historique d'utilisation IA (devis générés, transcriptions vocales) : 13 mois — données utilisées pour le calcul des quotas mensuels et le rapport d'activité.
- Idempotence emails de relance d'essai : 12 mois après envoi.
- Liens de partage de dossier client (PDF clients) : 90 jours après leur date d'expiration.
- Cookies : durée maximale de 13 mois.
4. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès : obtenir une copie de vos données personnelles.
- Droit de rectification : corriger des données inexactes ou incomplètes.
- Droit a l'effacement : demander la suppression de vos données, sous réserve des obligations légales.
- Droit à la portabilité : recevoir vos données dans un format structuré et lisible par machine.
- Droit d'opposition : vous opposer au traitement de vos données à des fins de prospection commerciale.
- Droit à la limitation : demander la limitation du traitement dans certains cas prévus par le RGPD.
Pour exercer vos droits, contactez notre Délégué à la Protection des Données à l'adresse indiquée ci-dessous.
5. Cookies
Vulko utilise des cookies strictement nécessaires au fonctionnement du service (authentification, préférences). Des cookies de mesure d'audience ne sont déposés qu'après votre consentement explicite. Aucun cookie d'analyse n'est chargé tant que vous n'avez pas cliqué sur « Tout accepter » ou activé la catégorie correspondante dans la fenêtre de personnalisation.
| Cookie | Finalité | Durée | Émetteur |
|---|---|---|---|
| _ga | Mesure d'audience — distinguer les visiteurs uniques (Google Analytics 4). | 13 mois | |
| _ga_G-YN6QKGQV1V | Mesure d'audience — état de la session GA4. | 13 mois | |
| vulko_consent | Mémorisation de vos préférences de consentement cookies. | 13 mois | Vulko |
Vous pouvez modifier vos préférences à tout moment via le bouton « Gérer les cookies » en bas de page.
6. Sous-traitants et transferts de données
Conformément à l'article 28 du RGPD, Vulko fait appel aux sous-traitants suivants pour fournir le service :
| Sous-traitant | Finalité | Hébergement | Garantie de transfert |
|---|---|---|---|
| Supabase | Base de données + authentification + stockage signatures | Frankfurt (UE) | RGPD natif |
| Vercel | Hébergement de l'application et CDN | États-Unis | SCC + DPF |
| Anthropic | IA Claude pour la génération de devis (texte uniquement) | États-Unis | SCC + DPA |
| Mistral AI (Voxtral) | Transcription vocale en flux pour la dictée de devis (audio non conservé) | France (UE) | RGPD natif |
| Stripe | Paiement par carte bancaire | Irlande (UE) + États-Unis | SCC + DPF |
| Resend | Envoi des emails transactionnels | États-Unis | SCC + DPA |
| Google (GA4) | Mesure d'audience anonymisée (uniquement après consentement) | Europe + États-Unis | SCC + DPF |
| ImprovMX | Réception des emails entrants (contact@, support@, dpo@) avec forward vers une boîte mail interne | Lituanie (UE) | RGPD natif |
| SMTP2GO | Relay SMTP des réponses humaines envoyées en tant que contact@vulko.fr | UE (data centers européens) | SCC + DPA |
| Sentry | Détection d'erreurs applicatives (PII filtrée avant transmission) | Europe (Sentry SaaS EU) | RGPD natif |
| Cloudflare Turnstile | CAPTCHA invisible anti-bot sur formulaires login/signup (cookieless) | Edge global | SCC + DPA |
SCC = Standard Contractual Clauses (clauses contractuelles types approuvées par la Commission européenne) · DPF = Data Privacy Framework UE-USA · DPA = Data Processing Agreement.
Liste à jour au 10 mai 2026. En cas d'invalidation du Data Privacy Framework UE-USA par la CJUE, Vulko basculera ces transferts sur SCC seules dans les 30 jours suivant la décision.
Tous les transferts de données vers des pays hors UE sont encadrés par des garanties juridiques conformes aux articles 44 à 49 du RGPD.
7. Données collectées par le carnet de bord chantier (Cluster A)
- Photos chantier — pour mémoire visuelle des travaux. Stockées dans Supabase Storage privé. EXIF (métadonnées GPS de l'appareil) supprimées avant stockage. Conservation : durée du chantier + 12 mois si COMPLETED, 30 jours si CANCELLED.
- Notes vocales — transcrites par Groq Whisper (sous-traitant DPA). Audio + transcription stockés en privé. Conservation identique aux photos.
- Géolocalisation — capturée à la prise de photo (toujours) + à l'arrivée/départ chantier (uniquement si pointage géofencé activé). Coordonnées stockées au centième de degré. Pas de trace en temps réel.
- Heures de présence — agrégées à partir des pointages géofencés.
Base légale : exécution du contrat de service (art. 6.1.b RGPD) pour l'artisan. Intérêt légitime de l'artisan vis-à-vis de ses clients (art. 6.1.f) pour le rapport hebdo. Consentement explicite (art. 6.1.a) pour le pointage géofencé des ouvriers (toggle dans Réglages > Préférences).
Vos droits : accès, rectification, effacement, opposition, portabilité (art. 15-22 RGPD). Contact DPO : dpo@vulko.fr.
8. Décision automatisée et profilage
Les outils d'IA proposés par Vulko (génération de devis, analyse de photos de chantier, suggestions de prix) sont des outils d'aide à la décision. L'artisan revoit, modifie et valide chaque devis avant envoi : aucune décision ne produisant d'effets juridiques n'est prise automatiquement à votre encontre, au sens de l'article 22 du RGPD.
9. Contact — Délégué à la Protection des Données
Pour toute question relative à la protection de vos données personnelles, ou pour exercer vos droits (accès, rectification, opposition, effacement, portabilité, limitation) :
Email : dpo@vulko.fr.
En cas de litige non résolu, vous pouvez introduire une réclamation auprès de la CNIL.