Politique de confidentialité Noltya
Document de référence applicable à la plateforme Noltya, à l’application mobile Noltya Mobile et à l’ensemble des services associés. Édité par We Devops dans le respect du RGPD et de la loi Informatique et Libertés.
2.0
4 mai 2026
RGPD · LIL n°78-17
Noltya est conforme au RGPD et à la loi Informatique et Libertés. We Devops est responsable de traitement pour les comptes utilisateurs et sous-traitant des Régies pour les données clients du CRM.
L’application mobile demande des permissions limitées (caméra) et utilise le sélecteur système pour les photos/documents — toujours sur action explicite, jamais en arrière-plan, et révocables à tout moment.
Les fonctionnalités IA contextuelles peuvent s’appuyer sur OpenAI (États-Unis) uniquement à la demande de l’utilisateur. Aucun cookie publicitaire ni traceur tiers de tracking comportemental.
Les demandes d’accès, de rectification, d’effacement ou d’opposition passent par contact@noltya.fr (objet : « Données personnelles »). Une réclamation peut être adressée à la CNIL.
Préambule et champ d’application
La présente politique de confidentialité décrit la manière dont We Devops (ci-après « l’Éditeur ») collecte, traite, conserve et protège les données à caractère personnel dans le cadre de l’utilisation de la plateforme Noltya (site web, application web, API) et de l’application mobile Noltya Mobile (iOS et Android), ci-après collectivement désignées le « Service ».
Le Service est destiné à un usage strictement professionnel par des entreprises clientes de l’Éditeur (ci-après « Régies ») et leurs collaborateurs (commerciaux, managers, administrateurs). Il permet la gestion d’une activité commerciale de terrain : suivi des prospects et clients, planification des rendez-vous, comptes-rendus de visite, signature de contrats.
L’Éditeur s’engage à respecter le Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et la loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (« LIL »). Cette politique est régulièrement mise à jour pour rester conforme aux exigences légales et aux évolutions du Service.
Identité du responsable de traitement
L’éditeur du Service et responsable de traitement pour les données qu’il traite directement est :
Raison sociale : We Devops — SASU
Capital social : 1 000 €
Immatriculation : 100 029 867 R.C.S. Marseille
Siège social : 164 Rue du Commandant Rolland, 13008 Marseille
Hébergeur : Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, Etats-Unis
Contact : contact@noltya.fr — 07 68 80 53 01
Articulation des rôles : l’Éditeur est responsable de traitement pour les données relatives aux utilisateurs du Service (comptes, authentification, journalisation, support). Il agit en qualité de sous-traitant au sens de l’article 28 du RGPD pour les données saisies par les Régies dans le CRM (clients, prospects, contrats, dossiers), traitées pour leur compte et selon leurs instructions documentées dans le contrat de prestation et l’accord de traitement (DPA) signés avec chaque Régie.
Catégories de données collectées
Selon votre rôle et l’usage que vous faites du Service, les catégories suivantes peuvent être collectées :
Compte utilisateur : nom, prénom, adresse e-mail professionnelle, numéro de téléphone, mot de passe (haché — jamais stocké en clair), photo de profil, rôle et permissions, identifiant interne, préférences (thème, notifications, langue).
Données client/prospect saisies dans le CRM : identité (civilité, nom, raison sociale), coordonnées (adresse postale, e-mail, téléphone), informations contractuelles et commerciales (devis, contrats, signatures, statuts, historique d’interactions, notes, comptes-rendus de visite, documents joints).
Données issues de l’application mobile : photographies prises ou importées via l’app, documents sélectionnés par l’utilisateur, comptes-rendus saisis par l’utilisateur.
Données techniques : adresse IP, identifiant unique de l’appareil, modèle et version du système d’exploitation, version de l’application, journaux d’événements (connexions, actions critiques), données de diagnostic (rapports de plantage, métriques de performance).
Aucune donnée sensible au sens de l’article 9 du RGPD (origine, opinions, santé, biométrie, etc.) n’est collectée volontairement. L’Éditeur invite les utilisateurs à ne pas saisir de telles données dans les champs libres du Service.
Permissions de l’application mobile
L’application Noltya Mobile sollicite les permissions et actions système suivantes au niveau du système d’exploitation. Chaque permission est demandée à l’utilisateur lors du premier usage de la fonctionnalité concernée et peut être refusée ou révoquée à tout moment depuis les réglages de l’appareil.
Appareil photo (Caméra) : prendre des photos directement intégrées à un dossier client (preuves de visite, pièces administratives, signatures manuscrites). Utilisation strictement à la demande — jamais en arrière-plan.
Photothèque / Galerie : importer des documents existants dans un dossier (photos, scans) via le sélecteur système. Sélection ponctuelle par l’utilisateur, l’app ne lit pas la totalité de la galerie.
Navigation terrain et position locale : ouvrir le téléphone, les SMS, l’e-mail ou une application de cartographie avec les coordonnées déjà présentes dans le CRM. Lorsque l’utilisateur le demande, l’app peut accéder à sa position pendant l’utilisation pour estimer localement la distance et le temps vers un rendez-vous. Cette position n’est pas stockée, n’est pas transmise à Noltya et n’est pas visible par les responsables.
Le refus d’une permission n’empêche pas l’utilisation des autres fonctionnalités. La fonctionnalité concernée par la permission refusée est simplement désactivée jusqu’à autorisation.
Finalités et bases légales
Chaque traitement repose sur l’une des bases légales prévues à l’article 6 du RGPD :
Exécution du contrat (art. 6.1.b) : fournir le Service souscrit par la Régie : authentification, hébergement des dossiers, planification, comptes-rendus, sauvegarde et restauration.
Intérêt légitime (art. 6.1.f) : garantir la sécurité du Service (anti-fraude, journalisation des connexions, détection d’anomalies), améliorer la qualité (statistiques agrégées et anonymisées), gérer le support et la relation client.
Consentement (art. 6.1.a) : activer les permissions système optionnelles (caméra, photothèque), recevoir des notifications push, utiliser les fonctionnalités IA à la demande. Le consentement peut être retiré à tout moment.
Obligation légale (art. 6.1.c) : répondre aux réquisitions des autorités compétentes, conserver les pièces à valeur comptable et fiscale dans les délais imposés par la loi.
Traitement par intelligence artificielle
Le Service intègre des fonctionnalités d’intelligence artificielle qui s’appuient sur les modèles de la société OpenAI, OpenAI OpCo LLC, dont le siège est aux États-Unis. Les traitements concernés sont :
Assistance contextuelle (copilote) : à la demande explicite de l’utilisateur, des éléments du contexte de travail (notes, statut d’un dossier, extraits du CRM) peuvent être transmis aux modèles de langage d’OpenAI pour générer un résumé, une suggestion ou un brouillon de réponse.
Conformément aux conditions d’utilisation API d’OpenAI, les données transmises ne sont pas utilisées pour entraîner les modèles. Elles sont conservées par OpenAI pendant une durée maximale de 30 jours à des fins de modération et de sécurité, puis supprimées.
Les fonctionnalités d’IA assistent l’utilisateur sans prendre de décision automatisée produisant des effets juridiques au sens de l’article 22 du RGPD : un humain valide systématiquement chaque action proposée. L’utilisateur peut désactiver toute interaction avec l’IA depuis ses paramètres.
Destinataires et sous-traitants
Les données ne sont jamais cédées, vendues ou louées. Elles peuvent être transmises uniquement aux destinataires suivants, dans la stricte mesure nécessaire à leur intervention :
Personnel habilité de l’Éditeur : support technique, équipes produit et sécurité, soumis à une obligation de confidentialité.
Régie cliente : les données saisies par un commercial sont accessibles aux managers et administrateurs de la même Régie selon les permissions définies.
Hébergeur — Vercel Inc. (États-Unis) : hébergement de la plateforme web et des API.
Sous-traitant IA — OpenAI OpCo LLC (États-Unis) : assistance contextuelle à la demande de l’utilisateur (cf. section 6).
Sous-traitants techniques : fournisseur d’email transactionnel, services de notifications push (Apple Push Notification service / Firebase Cloud Messaging), services de monitoring et de journalisation.
Autorités publiques : uniquement sur réquisition légale formelle.
Chaque sous-traitant est lié à l’Éditeur par un contrat de traitement (DPA) conforme à l’article 28 du RGPD. La liste à jour des sous-traitants peut être obtenue sur simple demande à contact@noltya.fr.
Transferts hors Union européenne
Certains sous-traitants sont établis en dehors de l’Union européenne, principalement aux États-Unis (Vercel, OpenAI, services de notifications push). Ces transferts sont encadrés par :
les Clauses Contractuelles Types adoptées par la Commission européenne (Décision 2021/914/UE) ;
le cas échéant, l’adhésion du sous-traitant au cadre EU-US Data Privacy Framework (DPF) lorsque ce dernier est certifié ;
des mesures techniques complémentaires : chiffrement TLS 1.3 en transit, minimisation des données transmises, pseudonymisation lorsque possible.
Une copie des garanties applicables peut être obtenue sur simple demande à contact@noltya.fr.
Durées de conservation
Les données sont conservées pendant la durée strictement nécessaire à la finalité poursuivie :
Compte utilisateur actif : pendant toute la durée du contrat, puis 3 ans à compter de la dernière connexion.
Données de prospects (B2B) : 3 ans à compter du dernier contact ou de la dernière interaction émanant du prospect, conformément à la recommandation de la CNIL relative à la prospection commerciale.
Données contractuelles (clients signés) : durée de la relation contractuelle, puis 5 ans pour la prescription civile.
Pièces à valeur comptable et fiscale (factures, contrats signés) : 10 ans à compter de la clôture de l’exercice (article L123-22 du Code de commerce).
Journaux de connexion et de sécurité : 12 mois maximum.
Sauvegardes chiffrées : rétention glissante de 30 jours, puis écrasement.
Au-delà de ces durées, les données sont définitivement supprimées ou anonymisées de manière irréversible.
Droits des personnes concernées
Conformément aux articles 15 à 22 du RGPD, vous disposez à tout moment des droits suivants sur vos données personnelles :
Droit d’accès : obtenir la confirmation que vos données sont traitées et en recevoir une copie.
Droit de rectification : faire corriger toute donnée inexacte ou incomplète.
Droit à l’effacement : demander la suppression de vos données dans les cas prévus par la loi.
Droit à la limitation : demander la suspension du traitement dans certaines situations.
Droit d’opposition : vous opposer à un traitement fondé sur l’intérêt légitime ou à la prospection commerciale.
Droit à la portabilité : récupérer vos données dans un format structuré et les transmettre à un autre responsable.
Droit de retrait du consentement : à tout moment et sans justification, sans remettre en cause la licéité des traitements antérieurs.
Directives post-mortem (article 85 LIL) : définir le sort de vos données après votre décès.
Pour exercer ces droits, écrivez à contact@noltya.fr en précisant en objet « Données personnelles » et en joignant une preuve d’identité si nécessaire. Une réponse vous sera apportée dans le délai d’un mois, prolongeable de deux mois en cas de complexité particulière (article 12 RGPD).
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés : CNIL — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr.
Sécurité des données
L’Éditeur met en œuvre les mesures techniques et organisationnelles appropriées (article 32 RGPD) pour garantir un niveau de sécurité adapté au risque, notamment :
chiffrement des communications par TLS 1.3 sur l’ensemble du Service ;
chiffrement au repos des bases de données et des sauvegardes (AES-256) ;
stockage des mots de passe sous forme de hachages cryptographiques robustes — jamais en clair ;
authentification forte disponible (vérification par e-mail, sessions sécurisées, déconnexion automatique) ;
contrôle d’accès basé sur les rôles (RBAC) et journalisation des actions sensibles ;
isolation des environnements de production, de pré-production et de développement ;
tests de sécurité réguliers et revue des dépendances tierces ;
procédure de gestion des violations de données : en cas d’incident susceptible de présenter un risque pour vos droits et libertés, la CNIL est notifiée dans les 72 heures et les personnes concernées sont informées sans délai (articles 33 et 34 RGPD).
Cookies et traceurs
Le site web Noltya utilise uniquement des cookies strictement nécessaires au fonctionnement du Service (session d’authentification, préférences d’affichage, sécurité). Ces cookies ne nécessitent pas de consentement préalable au titre de l’article 82 de la LIL.
Aucun cookie publicitaire ni traceur tiers à finalité publicitaire n’est déposé. La mesure d’audience éventuellement utilisée est configurée selon les exemptions prévues par la CNIL (anonymisation, absence de croisement, durée de conservation maîtrisée).
L’application mobile Noltya Mobile n’utilise pas de cookies au sens du Web. Elle ne contient aucun SDK publicitaire ni outil de tracking comportemental.
Mineurs
Le Service est exclusivement destiné à un usage professionnel par des personnes majeures. L’Éditeur ne collecte pas sciemment de données concernant des mineurs de moins de 16 ans. Si une telle donnée venait à être identifiée, elle serait supprimée sans délai sur simple signalement à contact@noltya.fr.
Modifications de la politique
La présente politique peut évoluer pour refléter les changements légaux, techniques ou fonctionnels. Toute modification substantielle est notifiée au moins 30 jours avant son entrée en vigueur, par e-mail aux administrateurs de chaque Régie et par une alerte affichée dans le Service.
La date de dernière mise à jour figure en tête du présent document. Les versions antérieures sont archivées et peuvent être communiquées sur demande.
Contact
Pour toute question relative à la présente politique, à l’exercice de vos droits ou à la sécurité de vos données :
Par e-mail : contact@noltya.fr (objet : « Données personnelles »)
Par courrier : We Devops — 164 Rue du Commandant Rolland, 13008 Marseille
Autorité de contrôle : Commission Nationale de l’Informatique et des Libertés (CNIL) — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr
Questions complémentaires ?
L’équipe We Devops reste à votre disposition pour toute clarification sur le traitement de vos données.