Politique de confidentialité

La présente Politique de confidentialité décrit la manière dont TALQOR (ci-après « TALQOR » ou « le Service ») collecte, utilise, stocke et protège les données personnelles dans le cadre de son service. Elle est conforme au Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée, dite « Informatique et Libertés ».

Le responsable de traitement est Jessi Pacaud, entrepreneur individuel, exerçant son activité sous le nom commercial « TALQOR ». Pour toute demande relative à vos données personnelles : contact@talqor.fr.

Conformément à la réglementation en vigueur, l'entrepreneur individuel n'est pas tenu de désigner un délégué à la protection des données (DPO). Toutes les demandes RGPD sont traitées directement par le responsable de traitement à l'adresse ci-dessus, dans un délai maximum d'un (1) mois.

Les données traitées par TALQOR se répartissent en cinq familles :

• Données de compte : nom, prénom, email, mot de passe (chiffré via bcrypt par Supabase Auth), photo de profil, raison sociale ou nom commercial, zone d'activité, spécialités immobilières. Collectées au signup et au cours de l'onboarding.
• Données d'intégrations OAuth : jetons d'accès (chiffrés AES-256 au repos), identifiants de comptes connectés (ID utilisateur Meta, ID compte Instagram Business, ID Page Facebook, URN LinkedIn, identifiant Google), nom affiché du compte, emails associés. Stockés uniquement pour permettre les actions explicitement demandées par l'utilisateur (publication programmée, lecture d'agenda, envoi d'email, etc.).
• Données métier (dossiers, contacts, contenus) :informations sur les biens immobiliers, vendeurs, acquéreurs, prospects, événements de calendrier, échanges email/WhatsApp, photos de propriétés, posts programmés et publiés. Saisies par l'utilisateur ou importées via les intégrations qu'il connecte.
• Données techniques : logs de connexion (IP, user agent, horodatage), métriques d'usage anonymisées, logs des appels aux modèles d'IA (anonymisés et nécessaires au support et à la facturation des appels).
• Cookies strictement nécessaires : cookie de session d'authentification, cookies CSRF temporaires (5 minutes) pendant les flux OAuth. Aucun cookie publicitaire ni de tracking tiers.

Lorsque vous connectez un service externe à TALQOR via OAuth, vous autorisez TALQOR à accéder à un ensemble limité de données et de permissions précisé dans l'écran de consentement de chaque plateforme. TALQOR n'utilise ces accès que pour exécuter les actions que vous demandez.

• Meta (Instagram + Facebook) : permissionsinstagram_business_basic, instagram_business_content_publish, pages_show_list, pages_read_engagement, pages_manage_posts, business_management. Données collectées : ID utilisateur Meta, identifiant Page, identifiant Instagram Business, nom de Page, jetons d'accès. Usage : publication des posts programmés sur la Page Facebook et le compte Instagram que vous sélectionnez. Aucun envoi de données Meta vers des tiers.
• LinkedIn : scopes openid, profile, email, w_member_social. Données collectées : nom, email, photo, URN du profil, jeton d'accès. Usage : publication des posts programmés sur votre profil LinkedIn.
• Google (Gmail + Calendar + Drive) : scopes lus à l'écran de consentement Google. Usage : lecture du calendrier pour détecter les rendez-vous, classement automatique d'emails entrants, import de documents stockés sur Drive.
• WhatsApp Business (Meta Cloud API) : envoi des messages clients (rappels, anniversaires) que vous activez explicitement.

Vous pouvez à tout moment révoquer ces accès depuis les paramètres de chaque plateforme (Facebook → Apps autorisées, LinkedIn → Apps connectées, Google → Sécurité → Apps tierces) ou directement dans TALQOR via Paramètres → Intégrations → Déconnecter.

Lorsque vous connectez votre compte Google à TALQOR (Gmail, Google Calendar, Google Drive), TALQOR accède à certaines données de votre compte Google via les API Google. L'utilisation que TALQOR fait de ces informations est strictement encadrée.

TALQOR's use and transfer of information received from Google APIs to any other app will adhere to Google API Services User Data Policy, including the Limited Use requirements.

Concrètement, TALQOR s'engage à respecter les principes suivants concernant les données issues des API Google (notamment Gmail) :

• Usage limité aux fonctionnalités visibles : les données Google ne sont utilisées que pour fournir et améliorer les fonctionnalités explicitement décrites dans l'interface de TALQOR — détection de demandes clients dans la boîte mail de l'agent, envoi de bilans de visite ou de suivis depuis le compte Gmail de l'agent, synchronisation du calendrier des visites, et import de documents depuis Google Drive choisis par l'agent.
• Pas de transfert à des tiers : TALQOR ne transfère pas les données reçues des API Google à des tiers, sauf (a) lorsque cela est nécessaire pour fournir et améliorer ces fonctionnalités visibles à l'utilisateur, (b) pour se conformer à la loi applicable, ou (c) dans le cadre d'une fusion ou acquisition avec notification préalable.
• Pas d'usage publicitaire : TALQOR n'utilise pas les données reçues des API Google à des fins de publicité, y compris la publicité personnalisée ou reciblée.
• Pas de revente : TALQOR ne vend pas les données reçues des API Google.
• Pas de lecture humaine : aucun collaborateur humain de TALQOR ne lit les données reçues des API Google, sauf (a) avec votre consentement explicite préalable et affirmatif, (b) à des fins de sécurité (enquête sur un abus ou une attaque), (c) pour respecter une obligation légale, ou (d) lorsque les données sont agrégées et anonymisées à des fins de statistiques internes. Les traitements automatisés (classification d'emails, génération de réponses) sont effectués par des modèles d'intelligence artificielle décrits à la section 6, sans intervention humaine sur le contenu brut.

Scopes Google demandés et finalités précises :

• gmail.readonly — lecture des emails entrants de l'agent immobilier afin de détecter les demandes clients (leads, demandes d'informations, prises de rendez-vous) et d'alimenter son agent Mail. Le contenu lu n'est jamais affiché à un tiers et n'est jamais utilisé pour entraîner de modèles d'IA tiers.
• gmail.send — envoi d'emails (bilans de visite, relances, suivis clients) depuis le compte Gmail de l'agent, uniquement lorsque l'agent valide explicitement un brouillon depuis l'interface TALQOR.
• calendar.readonly + calendar.events — lecture des événements du calendrier de l'agent (pour détecter les visites à venir) et création de contre-visites.
• drive.file + drive.metadata.readonly — accès aux dossiers Google Drive explicitement sélectionnés par l'agent pour importer des documents de dossiers.
• openid, email, profile — identification du compte Google connecté.

Conservation des données Google : les contenus d'emails et de calendrier détectés et traités par TALQOR sont conservés pour une durée maximale de 90 jours dans la base de données opérationnelle, puis supprimés automatiquement. Les jetons d'accès OAuth sont chiffrés au repos avec AES-256-GCM. Vous pouvez révoquer à tout moment l'accès de TALQOR depuis Google → Sécurité → Apps tierces ayant accès à votre compte, ou demander la suppression complète de votre compte TALQOR depuis Paramètres → Compte → Supprimer mon compte.

TALQOR fait appel à des sous-traitants dûment encadrés par des accords de traitement de données (DPA) conformes à l'article 28 du RGPD :

• Hébergement applicatif : Vercel Inc. (USA — sous Clauses Contractuelles Types).
• Base de données : Supabase Inc. via région eu-central-1 (UE — Allemagne).
• Stockage objet (photos, documents) : Cloudflare R2 (UE).
• Modèles d'IA : Anthropic PBC (USA — Claude), OpenAI L.L.C. (USA — GPT-4, GPT-image-1 et Whisper), Google AI Studio (USA — Gemini). Les données envoyées à ces modèles sont strictement limitées au contexte nécessaire à la génération demandée. Aucun jeton OAuth, aucune donnée de paiement ni information bancaire n'est jamais transmis à ces modèles. Voir la section 6 bis ci-dessous pour le détail des données transmises à chaque fournisseur IA et leur finalité.
• API Meta (Instagram, Facebook, WhatsApp) : Meta Platforms Ireland Limited (Irlande).
• API LinkedIn : LinkedIn Ireland Unlimited Company (Irlande).
• API Google : Google Ireland Limited (Irlande).
• Enrichissement de marque (logos, couleurs) : Brandfetch (UE — Suisse, jugée adéquate par la Commission européenne).

Les transferts hors UE (Vercel, Anthropic, OpenAI, Google AI) sont encadrés par les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne ou par toute autre garantie appropriée. La liste détaillée des sous-traitants est disponible sur demande à contact@talqor.fr.

TALQOR repose sur des fonctionnalités d'intelligence artificielle (Copilote conversationnel, transcription vocale, génération de contenu, agent Mail, analyse de documents) qui nécessitent le transfert de données utilisateur à des fournisseurs IA tiers. Conformément à l'article 7 du RGPD et aux exigences d'Apple App Review (Guidelines 5.1.1(i) et 5.1.2(i)), TALQOR recueille votre consentement explicite à ce traitement avant tout envoi de données.

Recueil du consentement : lors de votre première connexion à l'application mobile TALQOR, un écran de disclosure dédié vous est présenté avec la liste exhaustive des fournisseurs, des catégories de données transmises et des finalités. Vous devez taper explicitement « J'accepte et je continue » pour accéder aux fonctionnalités. À défaut, vous êtes déconnecté de l'application.

Retrait du consentement : vous pouvez retirer votre consentement à tout moment, sans justification, depuis l'écran Plus → Confidentialité de l'application mobile, ou en nous écrivant à contact@talqor.fr. Le retrait déclenche votre déconnexion immédiate et désactive les fonctionnalités IA jusqu'à un nouveau consentement.

Détail des transferts par fournisseur :

• OpenAI L.L.C. (USA)
  • Modèles : Whisper, GPT-4, GPT-image-1.
  • Données transmises : enregistrements vocaux (pour Whisper, supprimés sous 30 jours après transcription), messages texte adressés au Copilote, contexte de dossier strictement nécessaire à la génération demandée (nom du client, type de bien, statut), corps des emails que vous soumettez à l'agent Mail, photos soumises à l'amélioration.
  • Finalités : transcription de la voix en texte, génération de réponses du Copilote, rédaction d'emails de prospection, génération de visuels IA, amélioration de photos.
  • Encadrement : Data Processing Addendum OpenAI + Clauses Contractuelles Types pour les transferts hors UE. OpenAI s'engage contractuellement à ne pas utiliser ces données pour entraîner ses modèles (« API data is not used for training »).
• Anthropic PBC (USA)
  • Modèles : Claude Haiku, Claude Sonnet.
  • Données transmises : messages texte adressés au Copilote, contexte de dossier strictement nécessaire, transcriptions à corriger.
  • Finalités : Copilote conversationnel, correction des transcriptions vocales, classification automatique des emails par l'agent Mail.
  • Encadrement : Data Processing Addendum Anthropic + Clauses Contractuelles Types. Anthropic s'engage contractuellement à ne pas utiliser les données API pour entraîner ses modèles.
• Google LLC / Google AI Studio (USA)
  • Modèles : Gemini.
  • Données transmises : documents soumis pour analyse (mandats, diagnostics, copropriété), photos pour analyse visuelle.
  • Finalités : extraction structurée d'informations à partir de documents PDF, analyse de contenu de photos immobilières.
  • Encadrement : Conditions Google AI Studio + Clauses Contractuelles Types. Google s'engage à ne pas utiliser les données API payantes pour entraîner ses modèles.

Données jamais transmises aux modèles IA : jetons OAuth, mots de passe, données de paiement, numéros de carte bancaire, données de santé, informations financières détaillées, mots de passe transmis par vos clients.

Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :

• Droit d'accès : obtenir une copie des données vous concernant.
• Droit de rectification : corriger des données inexactes ou incomplètes.
• Droit à l'effacement (« droit à l'oubli ») : demander la suppression de vos données, sous réserve des obligations légales de conservation.
• Droit à la limitation du traitement : geler le traitement de vos données dans certains cas.
• Droit à la portabilité : récupérer vos données dans un format structuré et lisible (JSON / CSV).
• Droit d'opposition : vous opposer au traitement fondé sur l'intérêt légitime.
• Droit de retirer votre consentement à tout moment pour les traitements basés sur le consentement.
• Droit d'introduire une réclamation auprès de la CNIL ( www.cnil.fr).

Pour exercer ces droits, écrivez à contact@talqor.fr. Nous répondons sous un délai maximum d'un (1) mois.

Si vous avez connecté votre compte Instagram ou Facebook à TALQOR et souhaitez que nous supprimions toutes les données associées, vous disposez de deux options :

1. Depuis TALQOR : Paramètres → Intégrations → cliquer sur « Déconnecter » pour Instagram et/ou Facebook. La déconnexion purge immédiatement les jetons d'accès et les identifiants de compte associés.
2. Depuis Facebook : Paramètres → Sécurité → Applications autorisées → TALQOR → Supprimer. Meta enverra alors automatiquement à TALQOR une notification de suppression que nous traiterons sous 24 heures. Vous recevrez un code de confirmation accessible à l'URL /data-deletion-status?code=....

Le retrait Meta n'affecte que les intégrations Meta. Pour supprimer également votre compte TALQOR ou vos autres intégrations, contactez-nous à contact@talqor.fr.

TALQOR met en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre la perte, l'accès non autorisé, la divulgation, l'altération ou la destruction. En particulier :

• Chiffrement TLS 1.3 sur tous les échanges, chiffrement au repos (AES-256-GCM) sur les jetons OAuth.
• Mots de passe hashés via bcrypt par Supabase Auth — jamais stockés en clair.
• Isolation par workspace via Row-Level Security PostgreSQL — chaque utilisateur ne voit que ses propres données.
• Audit log des actions sensibles, conservé 13 mois.
• Sauvegardes journalières chiffrées, restauration testée régulièrement.
• Accès aux données de production restreint au strict minimum nécessaire à la maintenance du Service.

TALQOR n'utilise que des cookies strictement nécessaires au fonctionnement du Service :

• Cookie de session (Supabase Auth) — durée de la session utilisateur, indispensable à l'authentification.
• Cookies CSRF temporaires (5 minutes) pendant les flux OAuth (Google, Meta, LinkedIn) pour prévenir les attaques par requête forgée.
• Cookie de parrainage talqor_ref (90 jours) si l'utilisateur arrive via un lien d'invitation.

Aucun cookie publicitaire, aucun cookie de tracking tiers, aucune revente de données d'usage. Aucun consentement préalable n'est requis pour les cookies strictement nécessaires (article 82 de la loi Informatique et Libertés, exemption ePrivacy).

Lorsque vous saisissez dans TALQOR des informations sur des tiers (vendeurs, acquéreurs, prospects, contacts importés depuis vos dossiers), vous agissez en qualité de responsable de traitement et TALQOR en qualité de sous-traitant.

À ce titre, vous vous engagez à informer ces tiers de l'usage de leurs données via TALQOR et à recueillir, le cas échéant, leur consentement. TALQOR met à votre disposition les outils nécessaires à l'exercice des droits RGPD par ces personnes (export, suppression ciblée).

Le Service est destiné exclusivement à des professionnels de l'immobilier majeurs. TALQOR ne collecte pas sciemment de données personnelles concernant des personnes de moins de 13 ans. Si vous êtes parent ou tuteur et pensez qu'un mineur nous a transmis des données, écrivez à contact@talqor.fr pour suppression immédiate.

La présente Politique peut évoluer pour refléter des changements légaux, techniques ou de service. Toute modification substantielle sera notifiée par email avec un préavis raisonnable et publiée sur cette page. La date de dernière mise à jour est affichée en haut du document.