Politique de Confidentialité
Version : v1.0 — Dernière mise à jour : 1er mai 2026
La présente Politique de Confidentialité (la « Politique ») décrit la manière dont DECALAB, société à responsabilité limitée à associé unique (EURL) au capital de 180 000 €, dont le siège social est situé 149 avenue du Maine, 75014 Paris, immatriculée au RCS de Paris sous le numéro 993 486 315 (« DECALAB », « Decalab » ou « nous »), collecte, utilise, partage et protège les données à caractère personnel dans le cadre du Service Elron (le « Service »), exploité sur le domaine elron.ai.
Elle est rédigée en application du Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD »), de la loi n° 78-17 du 6 janvier 1978 modifiée (« Loi Informatique et Libertés ») et de la directive 2002/58/CE (« ePrivacy »).
Toute notion utilisée avec une majuscule et non définie ici renvoie aux définitions des Conditions Générales d’Utilisation.
1. Statut de Decalab vis-à-vis des données
Decalab intervient à un double titre, selon la nature des données concernées :
1.1 Decalab agit en tant que responsable de traitement pour :
- Les données de compte des Utilisateurs du Service (nom, email, identifiants OAuth, langue, image de profil) ;
- Les données de facturation (Client, montants, identifiants techniques de paiement) ;
- Les données techniques et de télémétrie liées à l’usage du Service (événements analytiques, journaux de sécurité, traces d’erreur) ;
- Les communications de support adressées à Decalab ;
- Les communications commerciales adressées par Decalab.
1.2 Decalab agit en tant que sous-traitant au sens de l’article 28 du RGPD pour :
- Les données traitées dans le cadre des fonctionnalités du Service à la demande du Client (notamment les emails entrants et sortants, les données des locataires, propriétaires, prestataires, les tickets, les plans d’action, les pièces jointes, les contenus indexés à des fins de recherche sémantique).
Pour ces traitements, le Client est responsable de traitement. Les modalités de la sous-traitance sont précisées dans le DPA.
2. Coordonnées du responsable / sous-traitant
| Raison sociale | DECALAB EURL |
| Adresse postale | 149 avenue du Maine, 75014 Paris, France |
| Email contact général | contact@elron.ai |
| Email demandes RGPD | privacy@elron.ai |
| Délégué à la Protection des Données (DPO) | À ce stade, Decalab n'est pas tenue de désigner un DPO au sens de l'article 37 du RGPD. Toute demande peut être adressée à privacy@elron.ai. |
| Autorité de contrôle | Commission Nationale de l'Informatique et des Libertés (CNIL), 3 place de Fontenoy, 75007 Paris — https://www.cnil.fr |
3. Données collectées et finalités
3.1 Données de compte
| Catégorie de données | Finalité | Base légale | Durée |
|---|---|---|---|
| Email, nom, image de profil, langue | Création et administration du compte ; authentification | Exécution du contrat (CGU) | Durée du contrat + 3 ans |
| Hash du mot de passe | Authentification | Exécution du contrat | Durée du contrat |
| Identifiants OAuth Google / Microsoft | Authentification ; connexion aux comptes mail | Exécution du contrat ; consentement OAuth | Durée du contrat ou révocation |
Acceptation horodatée des CGU/CGV (terms_accepted_at, terms_version) | Preuve de consentement / acceptation contractuelle | Obligation légale ; intérêt légitime | Durée du contrat + 5 ans |
3.2 Données de facturation
| Catégorie | Finalité | Base légale | Durée |
|---|---|---|---|
| Identité du Client, adresse de facturation, n° SIRET, n° TVA | Facturation, comptabilité | Exécution du contrat ; obligation légale | 10 ans (obligation comptable) |
| Identifiants techniques associés au prestataire de paiement | Gestion des abonnements et paiements | Exécution du contrat | 10 ans |
| Historique de paiement, factures | Suivi commercial, comptabilité | Exécution du contrat ; obligation légale | 10 ans |
Decalab ne stocke pas les détails complets de carte bancaire. Ces données sont traitées exclusivement par le prestataire de paiement (voir Sous-traitants).
3.3 Données traitées dans le cadre des fonctionnalités du Service (sous-traitance)
| Catégorie | Finalité | Base légale (côté Client RT) | Durée |
|---|---|---|---|
| Tokens OAuth des comptes connectés (chiffrés) | Accès aux services tiers connectés par l'Utilisateur | Exécution du contrat client (vis-à-vis de ses utilisateurs) | Durée du contrat ou révocation |
| Métadonnées et contenus des communications, pièces jointes | Classification, ticketing, génération assistée de réponses | Voir DPA et instructions du Client | Durée du contrat + suppression sous 30 jours après résiliation |
| Données contacts (locataires, propriétaires, prestataires) : nom, email, téléphone, contexte | Suivi de la relation, attribution des tickets | Voir DPA | Durée du contrat + 30 jours |
| Tickets, plans d'action, chat IA, journaux d'exécution agent | Suivi opérationnel | Voir DPA | Durée du contrat + 30 jours |
| Représentations dérivées du contenu pour la recherche sémantique | Fonctionnalités d'assistance et de recherche | Voir DPA | Durée du contrat + 30 jours |
3.4 Données techniques et de télémétrie
| Catégorie | Finalité | Base légale | Durée |
|---|---|---|---|
| Adresse IP, user-agent, identifiant de session | Sécurité, prévention de la fraude, audit | Intérêt légitime ; obligation légale | 12 mois |
| Événements analytiques anonymisés / pseudonymisés | Amélioration du Service | Consentement (cookies non essentiels) | 12 mois |
| Traces d'erreur applicative | Diagnostic et correction d'incidents | Intérêt légitime | 90 jours |
| Traces des agents IA, avec caviardage des données personnelles | Observabilité et amélioration des fonctionnalités IA | Intérêt légitime | 90 jours |
| Logs structurés serveur | Sécurité, diagnostic | Intérêt légitime ; obligation légale | 12 mois |
3.5 Communications avec Decalab
| Catégorie | Finalité | Base légale | Durée |
|---|---|---|---|
| Messages de support (email, chat in-app) | Réponse aux demandes | Exécution du contrat ; intérêt légitime | 3 ans après dernière interaction |
4. Cookies et technologies similaires
Le Service utilise les catégories de cookies et traceurs suivantes :
4.1 Cookies essentiels (sans consentement)
Indispensables au fonctionnement du Service : session d’authentification, jeton CSRF, préférences d’affichage strictement techniques.
4.2 Cookies de mesure d’audience et d’amélioration produit (avec consentement)
Outil d’analyse du Service permettant à Decalab d’identifier les points de friction et d’améliorer les fonctionnalités. Les détails du fournisseur figurent dans le document Sous-traitants.
4.3 Cookies de support (avec consentement)
Chat de support in-app et identification de l’utilisateur connecté. Les détails du fournisseur figurent dans le document Sous-traitants.
4.4 Gestion du consentement
Lors de la première visite, un bandeau permet à l’Utilisateur d’accepter, refuser ou paramétrer finement le dépôt des cookies non essentiels. Le consentement (ou refus) est conservé 6 mois et peut être modifié à tout moment via le lien « Gérer mes cookies » disponible en pied de page.
Aucun cookie publicitaire ou de tracking publicitaire n’est déposé par le Service.
5. Destinataires des données
Les données sont accessibles, dans la stricte mesure de leurs besoins :
- Aux personnels habilités de Decalab (équipe produit, support, ingénierie) tenus à une obligation de confidentialité ;
- Aux sous-traitants ultérieurs listés au document
Sous-traitants, dans le cadre de prestations strictement nécessaires à la fourniture du Service ; - Aux autorités judiciaires ou administratives compétentes, sur réquisition régulière ;
- À tout cessionnaire de tout ou partie de l’activité de Decalab, en cas de fusion, acquisition ou cession d’actifs, sous réserve des protections équivalentes à celles de la présente Politique.
Decalab ne vend, ne loue, ni ne met à disposition à titre commercial aucune donnée personnelle.
6. Recours à l’intelligence artificielle
Le Service utilise des modèles d’intelligence artificielle pour fournir des fonctionnalités d’analyse, de classification et de rédaction assistée. Decalab a recours à des fournisseurs d’IA tiers, sélectionnés notamment pour la qualité de leurs garanties contractuelles et leur capacité à traiter les données dans l’Union européenne ou sous des garanties équivalentes (Clauses Contractuelles Types). La liste à jour est disponible dans le document Sous-traitants.
Les engagements de Decalab :
- Seul le contexte minimum nécessaire à la tâche demandée est transmis aux fournisseurs d’IA tiers ;
- Les fournisseurs d’IA tiers sont contractuellement engagés à ne pas réutiliser les données du Client pour entraîner leurs modèles ;
- Aucune décision automatisée produisant des effets juridiques ou similaires significatifs au sens de l’article 22 du RGPD n’est prise sans intervention humaine. L’Utilisateur conserve la maîtrise des actions opérationnelles (envoi de courriers, modification de baux, encaissements, etc.).
Usage interne d’agrégats anonymisés : Decalab se réserve le droit d’utiliser, à des fins internes d’amélioration de la qualité, de la sécurité, de la performance et des fonctionnalités du Service, des données agrégées et / ou anonymisées dérivées du Contenu Utilisateur, sous réserve qu’aucune ré-identification raisonnable d’une personne physique ne soit possible (anonymisation au sens du Considérant 26 du RGPD). Cet usage relève de l’intérêt légitime de Decalab à améliorer son Service, et n’inclut jamais le partage de Contenu Utilisateur identifiant avec des tiers ni l’entraînement de modèles d’IA généralistes destinés à des tiers.
6 bis. Intégrations tierces du Client
Le Service permet au Client de connecter Elron à des services tiers qu’il utilise déjà (notamment outils de gestion de la relation client, logiciels de gestion locative ou de syndic, suites collaboratives, calendriers, et toute intégration future activée par l’Utilisateur).
Pour ces intégrations :
- L’activation et la révocation relèvent exclusivement de la décision du Client ;
- Le Client garantit disposer du droit légitime de connecter à Elron les données issues de ces services tiers ;
- Decalab traite ces données exclusivement pour fournir la fonctionnalité demandée par le Client, conformément au DPA ;
- Les services tiers connectés ne sont pas exploités par Decalab ; ils restent régis par leurs propres conditions d’utilisation et politiques de confidentialité ;
- Decalab ne saurait être tenue responsable des défaillances, modifications, suspensions ou pratiques de ces services tiers.
7. Transferts de données hors Union européenne
Certains sous-traitants ultérieurs peuvent traiter ou héberger des données en dehors de l’Union européenne. La liste détaillée et les garanties applicables sont disponibles dans le document Sous-traitants.
Lorsqu’un transfert hors UE est nécessaire, Decalab s’appuie sur :
- Une décision d’adéquation de la Commission européenne lorsque celle-ci est en vigueur ;
- À défaut, sur les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne ;
- Le cas échéant, sur des mesures complémentaires techniques et organisationnelles (chiffrement, pseudonymisation, caviardage des données personnelles).
Une copie des garanties applicables peut être obtenue, sur demande motivée, à privacy@elron.ai.
8. Sécurité
Decalab met en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données contre tout accès, usage, modification ou divulgation non autorisé, notamment :
- Chiffrement en transit : TLS sur toutes les communications réseau ;
- Chiffrement au repos : chiffrement managé par l’hébergeur cloud pour la base de données et le stockage objet ; chiffrement applicatif des tokens OAuth des comptes connectés ;
- Contrôle d’accès : cloisonnement des données par organisation, séparation des rôles, principe du moindre privilège, revue périodique des habilitations ;
- Cloisonnement : environnements de développement, de pré-production et de production strictement séparés ;
- Journalisation et supervision : journaux d’accès, traces de sécurité, alertes sur les anomalies, redaction des données personnelles dans les traces ;
- Sauvegardes : sauvegardes chiffrées avec point-in-time recovery, rétention limitée ;
- Conformité éditeur d’application Google : l’intégration OAuth Gmail d’Elron a passé un contrôle CASA Tier 2 (Cloud Application Security Assessment) conformément aux exigences de Google ;
- Engagement de confidentialité signé par chaque collaborateur et prestataire ayant accès aux données.
Aucune mesure de sécurité ne pouvant garantir une protection absolue, Decalab s’engage à notifier toute violation de données à caractère personnel conformément aux articles 33 et 34 du RGPD et au DPA.
L’authentification à deux facteurs (2FA) sera proposée prochainement aux Utilisateurs ; en attendant, l’authentification s’appuie sur la robustesse des fournisseurs d’identité (Google, Microsoft) ou sur un mot de passe respectant les bonnes pratiques.
9. Durées de conservation
Les durées de conservation par catégorie de données figurent dans les tableaux de l’article 3 ci-dessus. À l’expiration de ces durées, les données sont supprimées ou anonymisées. Les sauvegardes contenant des données expirées suivent leur cycle naturel de rotation.
Lors de la résiliation du compte ou de l’abonnement, les données traitées en sous-traitance pour le compte du Client sont supprimées dans un délai maximum de 30 jours, sauf obligation légale contraire ou demande expresse du Client de restitution préalable, conformément au DPA.
10. Droits des personnes concernées
Conformément aux articles 15 à 22 du RGPD et à la Loi Informatique et Libertés, toute personne concernée par un traitement dispose des droits suivants :
- Droit d’accès à ses données ;
- Droit de rectification des données inexactes ou incomplètes ;
- Droit à l’effacement (« droit à l’oubli ») dans les conditions prévues par le RGPD ;
- Droit à la limitation du traitement ;
- Droit à la portabilité des données fournies (format structuré, couramment utilisé, lisible par machine) ;
- Droit d’opposition au traitement fondé sur l’intérêt légitime ;
- Droit de retirer son consentement à tout moment, lorsque le traitement est fondé sur le consentement ;
- Droit de définir des directives relatives à la conservation, à l’effacement et à la communication des données après son décès ;
- Droit d’introduire une réclamation auprès de la CNIL.
Modalités d’exercice
Toute demande peut être adressée à privacy@elron.ai ou par courrier postal à l’adresse du siège social. Decalab pourra demander un justificatif d’identité en cas de doute raisonnable. Decalab répondra dans le délai d’un mois à compter de la réception de la demande, prolongeable de deux mois en cas de complexité particulière (avec information préalable).
Cas particulier des données traitées en sous-traitance
Lorsque la demande porte sur des données traitées par Decalab en qualité de sous-traitant pour le compte d’un Client (par exemple, un locataire qui adresse une demande relative à des emails échangés avec son bailleur), Decalab transmettra la demande au Client concerné, qui en assure le traitement en sa qualité de responsable de traitement, conformément au DPA.
11. Transferts d’entreprise
En cas de fusion, acquisition, cession d’actifs ou opération assimilée, Decalab pourra transférer les données concernées au cessionnaire, sous réserve que celui-ci s’engage à respecter les protections au moins équivalentes à celles décrites dans la présente Politique. Les Utilisateurs en seront informés conformément à l’article 14 et pourront, le cas échéant, exercer leurs droits.
12. Mineurs
Le Service est exclusivement destiné à un usage professionnel par des personnes majeures. Decalab ne collecte pas sciemment de données concernant des mineurs. Tout signalement à privacy@elron.ai entraînera la suppression immédiate des données concernées.
13. Modifications de la Politique
Decalab se réserve le droit de mettre à jour la présente Politique à tout moment.
Toute modification matérielle (modifiant les finalités, les destinataires, les durées, les transferts internationaux ou les droits des personnes concernées) sera notifiée aux Utilisateurs concernés au moins 30 jours avant l’entrée en vigueur, par email et / ou bandeau in-app. La date de dernière mise à jour figure en tête de document.
14. Contact
| Type de demande | Adresse |
|---|---|
| Demandes RGPD (accès, rectification, opposition, suppression, portabilité) | privacy@elron.ai |
| Notifications juridiques | legal@elron.ai |
| Support technique | support@elron.ai |
| Questions générales | contact@elron.ai |
DECALAB EURL — 149 avenue du Maine, 75014 Paris, France