Notre approche
Nimbo est conçu selon les principes de privacy by design et de privacy by default. Concrètement :
- Aucune donnée n'est utilisée pour entraîner un modèle d'intelligence artificielle.
- Les données applicatives sont hébergées en Union européenne (Hetzner DE).
- Les jetons OAuth Google et WhatsApp sont chiffrés au repos (libsodium
crypto_secretbox). - Une seule personne (l'opérateur) a accès au serveur de production, par clé SSH unique.
- Aucun cookie de mesure d'audience ni de publicité.
- Nous minimisons la collecte : seul ce qui est strictement nécessaire au service est traité.
Vos droits
Droit d'accès
Vous pouvez à tout moment obtenir une copie complète des données que nous détenons à votre sujet, dans un format structuré (JSON).
Droit de rectification
Si certaines données sont inexactes (par exemple votre numéro WhatsApp ou votre prénom), envoyez la correction à tmedrado99@gmail.com.
Droit à l'effacement (« droit à l'oubli »)
Vous pouvez demander la suppression de l'intégralité de vos données. L'effacement est effectif sous 7 jours. Cela inclut vos messages WhatsApp, vos jetons OAuth (qui deviennent invalides), et le journal d'audit associé.
Droit à la portabilité
Vous pouvez récupérer vos données dans un format ouvert (JSON) afin de les conserver ou de les transférer.
Droit d'opposition et de limitation
Vous pouvez vous opposer à certains traitements ou demander leur limitation, le temps qu'un désaccord soit tranché.
Révocation des accès Google et WhatsApp
Vous pouvez à tout moment révoquer les autorisations accordées à Nimbo :
- Google · myaccount.google.com/permissions → sélectionnez Nimbo → Supprimer l'accès.
- WhatsApp · vous pouvez à tout moment bloquer le numéro Nimbo dans votre application WhatsApp, ce qui interrompt définitivement les échanges.
Comment exercer vos droits
Adressez votre demande à tmedrado99@gmail.com en précisant :
- Le droit que vous souhaitez exercer.
- L'adresse Google associée à votre compte Nimbo.
- Tout justificatif d'identité si la demande émane d'un tiers (mandataire, héritier).
Réponse sous un mois maximum (article 12 du RGPD), prolongeable de deux mois pour les demandes complexes, avec notification.
Réclamation auprès de la CNIL
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés · 3 place de Fontenoy, 75007 Paris · cnil.fr.
Sous-traitants et transferts
La liste à jour des sous-traitants (Hetzner, OpenAI, Meta, Google) et le détail des transferts hors UE figurent dans notre Politique de confidentialité § 5 et § 6.
Incidents de sécurité
En cas de violation de données susceptible d'engendrer un risque pour vos droits, nous vous en informerons par WhatsApp et par email sans délai, et au plus tard sous 72 heures conformément à l'article 33 du RGPD.