1. Responsable de traitement
Le projet Nimbo est exploité, en phase pilote, par Tomaz Medrado, opérateur indépendant. Toute question relative à vos données peut être adressée à tmedrado99@gmail.com. Une structure juridique dédiée sera constituée avant tout déploiement commercial — cette page sera alors mise à jour en conséquence.
2. Données collectées
Données de compte (tenant)
- Prénom (que vous renseignez à l'onboarding)
- Numéro WhatsApp (utilisé pour identifier vos messages entrants)
- Adresse email Google (récupérée via le scope
emailau moment de l'authentification) - Jetons OAuth Google chiffrés au repos (libsodium
crypto_secretbox)
Données accédées via Google API
- Gmail · lecture des messages et fils (scope
gmail.readonly), rédaction de brouillons (gmail.compose), envoi à votre demande (gmail.send). - Calendrier · lecture des événements et créneaux, création/modification/annulation à votre demande (scope
calendar). - Contacts · recherche par nom et création de contacts à votre demande (scope
contacts).
Données conversationnelles
- Vos messages WhatsApp avec Nimbo (entrants et sortants)
- Journal d'audit des actions effectuées (envoi de mail, création d'événement, etc.) — pour traçabilité
Données techniques
- Adresse IP côté webhook (logs serveur, conservation 14 jours)
- Aucun cookie de mesure d'audience ni de publicité
3. Finalités et bases légales
- Exécution du service · répondre à vos messages WhatsApp, lire et rédiger des mails, gérer votre agenda. Base légale : exécution du contrat / consentement (vous initiez chaque action).
- Sécurité · journaliser les actions, détecter les anomalies, maintenir le service en état de fonctionnement. Base légale : intérêt légitime.
- Obligations légales · répondre aux réquisitions judiciaires éventuelles. Base légale : obligation légale.
4. Durée de conservation
- Jetons OAuth · jusqu'à révocation par vous (depuis votre compte Google) ou suppression de votre compte Nimbo.
- Messages WhatsApp et mails traités · pendant toute la durée d'utilisation du service. Suppression sur demande sous 7 jours.
- Journal d'audit · 12 mois, puis suppression automatique.
- Logs serveur (IP, requêtes) · 14 jours.
5. Destinataires et sous-traitants
Vos données ne sont jamais vendues. Elles sont accessibles, dans la stricte mesure nécessaire au fonctionnement du service, à :
- Hetzner Online GmbH (Allemagne) · hébergement du serveur applicatif et de la base de données. Données hébergées en UE.
- OpenAI, L.L.C. (États-Unis) · inférence du modèle GPT-5 pour comprendre et formuler les réponses. Les contenus envoyés transitent par leur API mais ne sont pas utilisés pour entraîner leurs modèles (option opt-out activée par défaut sur l'API).
- Meta Platforms Ireland Ltd. (Irlande) · acheminement des messages WhatsApp via leur Cloud API.
- Google LLC · uniquement pour l'accès à vos propres données Gmail / Calendar / Contacts via les API officielles.
Aucun autre tiers ne reçoit vos données. Le code source de Nimbo est tenu en interne et seul Tomaz Medrado a accès aux serveurs de production.
6. Transferts hors UE
L'inférence IA (OpenAI) implique un transfert vers les États-Unis, encadré par les Clauses Contractuelles Types de la Commission européenne et par les engagements complémentaires d'OpenAI (chiffrement en transit, pas d'entraînement par défaut sur les données API). Hetzner et Meta Cloud (UE-Irlande) restent dans l'EEE.
7. Vos droits
Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits d'accès, de rectification, d'effacement, d'opposition, de limitation, et de portabilité de vos données.
Pour les exercer · écrivez à tmedrado99@gmail.com avec l'adresse Google associée à votre compte Nimbo. Réponse sous un mois maximum. Vous pouvez également déposer une réclamation auprès de la CNIL · cnil.fr.
Révocation Google · vous pouvez révoquer à tout moment les autorisations accordées à Nimbo depuis votre compte Google · myaccount.google.com/permissions. Une fois révoquées, Nimbo ne peut plus accéder à vos données Google.
8. Sécurité
Toutes les données sont chiffrées en transit (TLS 1.3) entre votre
navigateur, WhatsApp, Google et nos serveurs. Les jetons OAuth Google et
WhatsApp sont chiffrés au repos en base de données (libsodium
crypto_secretbox, clé 256 bits hors du code source). L'accès
SSH au serveur est restreint à une clé publique unique. Aucun audit de
sécurité externe n'a encore été effectué — le pilote est en phase
d'évaluation.
9. Cookies
Le site nimbo.fr n'utilise aucun cookie de mesure d'audience, aucun cookie publicitaire, et ne charge aucun script tiers d'analyse. Seuls des cookies strictement techniques (préférences de navigation) peuvent être déposés en cours de session.
10. Conformité Google API Services — Limited Use
L'utilisation et le transfert vers toute autre application, par Nimbo, d'informations reçues des Google APIs adhèrent à la Google API Services User Data Policy, y compris aux exigences Limited Use.
En particulier, Nimbo :
- ne transfère pas vos données Google à des tiers, sauf pour fournir et améliorer le service utilisateur, ou pour des raisons de sécurité, ou pour se conformer à la loi applicable ;
- n'utilise pas vos données Google à des fins publicitaires, y compris la publicité ciblée par centres d'intérêt ;
- ne permet pas à des humains de lire vos données Google, sauf : avec votre consentement explicite, pour des raisons de sécurité (lutte contre les abus), pour se conformer à la loi, ou lorsque les données ont été agrégées et anonymisées ;
- n'utilise pas vos données Google pour développer, améliorer ou entraîner des modèles d'IA généralistes.
Les modèles d'IA utilisés (GPT-5 d'OpenAI) sont appelés par inférence uniquement, pour générer des réponses en temps réel à vos demandes. Aucune donnée Google n'est utilisée pour l'entraînement de ces modèles.
11. Modifications
Cette politique peut évoluer pour refléter des changements du service ou du cadre légal. Toute modification substantielle sera notifiée par WhatsApp aux utilisateurs actifs au moins 14 jours avant son entrée en vigueur.