1. Responsable du traitement

2. Données collectées

2.1 Données de compte

Lors de votre inscription : nom, prénom, adresse email professionnelle, nom de l'entreprise. Ces données sont nécessaires à la création et à la gestion de votre compte.

2.2 Données CRM

Via la connexion OAuth à votre CRM (HubSpot, Salesforce, Pipedrive) : noms de contacts, entreprises, montants de deals, dates, motifs de perte, notes commerciales. Ces données sont importées en lecture seule pour alimenter l'analyse IA.

2.3 Données d'usage

Actions effectuées dans l'application (pages visitées, fonctionnalités utilisées, requêtes Ask Ojja). Collectées via PostHog, hébergé en Europe.

2.4 Données techniques

Adresse IP, type de navigateur, système d'exploitation. Collectées automatiquement pour la sécurité et l'amélioration du service.

3. Finalités du traitement

Fourniture du service Ojja (analyse CRM, scoring, recommandations IA)
Gestion de votre compte et de votre abonnement
Support client
Amélioration du service et du produit
Communication commerciale (avec votre consentement)

4. Base légale

Exécution du contrat (Art. 6.1.b RGPD) : fourniture du service
Intérêt légitime (Art. 6.1.f RGPD) : amélioration du service, sécurité
Consentement (Art. 6.1.a RGPD) : communications marketing

5. Hébergement et sécurité

Toutes les données sont hébergées en Union Européenne :

Base de données : Supabase PostgreSQL — Frankfurt, Allemagne
Application : Vercel Edge Network — compute en Europe
Chiffrement AES-256 au repos, TLS 1.3 en transit
Isolation des données par client (Row Level Security PostgreSQL)

6. Sous-traitants

Sous-traitant	Rôle	Localisation	Garanties
Supabase	Base de données	Frankfurt, Allemagne	RGPD, SOC 2
Vercel	Hébergement application	Europe	RGPD, SOC 2
Clerk	Authentification	États-Unis	SCC, SOC 2
Anthropic	Intelligence artificielle	États-Unis	SCC, zero data retention
Stripe	Paiement	États-Unis	SCC, PCI DSS
Nango	Intégrations CRM	Europe	RGPD
Resend	Emails transactionnels	États-Unis	SCC
PostHog	Analytics	Europe	RGPD
Inngest	Jobs asynchrones	États-Unis	SCC

Les transferts hors UE sont encadrés par les Clauses Contractuelles Types (SCC) de la Commission Européenne.

7. Intelligence artificielle

Vos données ne sont jamais utilisées pour entraîner des modèles IA
Le traitement IA est effectué via l'API Anthropic Claude, qui applique une politique de zero data retention
Aucun croisement de données entre clients, sauf benchmarks anonymisés agrégés (minimum 5 clients par segment)
Les prompts et réponses IA ne sont pas conservés par Anthropic après traitement

8. Durée de conservation

Données de compte : durée de l'abonnement + 30 jours
Données CRM importées : durée de l'abonnement + 30 jours
Données d'usage (analytics) : 24 mois
Logs d'audit : 7 ans (obligation légale)
Après résiliation, les données sont supprimées sous 60 jours

9. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

Droit d'accès à vos données (Art. 15)
Droit de rectification (Art. 16)
Droit à l'effacement (Art. 17) — traité sous 48h sur demande
Droit à la portabilité (Art. 20) — export CSV/JSON depuis votre dashboard
Droit d'opposition (Art. 21)
Droit à la limitation du traitement (Art. 18)

Pour exercer vos droits : security@ojja.ai

10. Cookies

Ojja utilise uniquement des cookies strictement nécessaires au fonctionnement du service (authentification, préférences de langue). Aucun cookie publicitaire ou de tracking tiers.

11. Modifications

Ojja se réserve le droit de modifier la présente politique. En cas de modification substantielle, les utilisateurs sont notifiés par email au moins 30 jours avant l'entrée en vigueur.

12. Contact

Pour toute question relative à la protection de vos données :

Email : security@ojja.ai

Vous pouvez également introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr

Politique de Confidentialité