Politique de confidentialité

Dernière mise à jour : 27/02/2026

1. Présentation du service

Elya Chantier est une application de gestion de chantiers accessible à l'adresse https://chantier.elya.fr. Elle est éditée et exploitée par Elyazalée (ci-après « nous »).

La présente politique décrit quelles données nous collectons, pourquoi, comment nous les utilisons et quels sont vos droits.

2. Données personnelles collectées

Nous collectons uniquement les données nécessaires au fonctionnement du service :

Catégorie Données Finalité
Compte utilisateur Nom, adresse e-mail, mot de passe (haché bcrypt) Authentification et accès au service
Données chantiers Informations de chantier, notes, photos, documents, notes vocales Suivi et gestion des projets de construction
Agenda / Événements Titre, date, lieu, participants, description des événements Planification des interventions sur chantier
Google Calendar Jeton d'accès OAuth, jeton de rafraîchissement, identifiant de calendrier Synchronisation des événements vers votre Google Calendar
CalDAV URL du serveur, identifiant, mot de passe (chiffré AES-256) Synchronisation des événements vers votre calendrier CalDAV
Facturation Identifiants Stripe (customer_id, subscription_id) — aucune carte bancaire stockée Gestion des abonnements
Logs de session Cookie de session (httpOnly, SameSite=Lax) Maintien de la connexion, sécurité

3. Intégration Google Calendar

Lorsque vous choisissez de connecter votre Google Calendar, notre application demande l'autorisation d'accès via le protocole OAuth 2.0. Nous accédons uniquement aux données nécessaires à la synchronisation des événements de chantier.

  • Portée demandée : https://www.googleapis.com/auth/calendar.events — création, modification et suppression d'événements dans le calendrier sélectionné.
  • Ce que nous faisons : nous créons/mettons à jour/supprimons uniquement les événements générés par Elya Chantier. Nous ne lisons pas vos événements existants.
  • Ce que nous ne faisons pas : nous ne partageons jamais vos jetons Google avec des tiers, nous ne lisons pas vos contacts, e-mails ni autres données Google.
  • Révocation : vous pouvez déconnecter votre Google Calendar à tout moment depuis la page Agendas de l'application, ou directement depuis myaccount.google.com/permissions.

L'utilisation des API Google est soumise aux Règles de confidentialité de Google et aux Règles d'utilisation des services d'API Google. Elya Chantier limite son utilisation des données Google aux pratiques autorisées par ces règles.

4. Base légale du traitement (RGPD)

  • Exécution du contrat : données de compte, chantiers, facturation — nécessaires à la fourniture du service.
  • Consentement : connexion Google Calendar et CalDAV — vous pouvez retirer votre consentement à tout moment.
  • Intérêt légitime : sécurité des sessions, journaux techniques.

5. Stockage et sécurité

  • Base de données hébergée sur serveur dédié (Infomaniak, Suisse).
  • Fichiers (photos, documents, notes vocales) stockés sur objet-store S3 Infomaniak (Suisse).
  • Les mots de passe sont hachés avec bcrypt ; ils ne sont jamais stockés en clair.
  • Les mots de passe CalDAV sont chiffrés avec AES-256-CBC ; la clé n'est jamais exposée.
  • Les communications sont chiffrées via HTTPS/TLS.
  • Aucune donnée n'est transférée hors de l'Union Européenne, sauf lors des appels aux API Google (dont les serveurs sont aux États-Unis, couverts par les clauses contractuelles types UE).

6. Durée de conservation

  • Données de compte et chantiers : conservées pendant toute la durée de l'abonnement actif, puis supprimées dans un délai de 30 jours après résiliation.
  • Jetons Google Calendar / CalDAV : supprimés dès que vous déconnectez le calendrier.
  • Sessions : expiration après 8 heures d'inactivité.

7. Partage des données avec des tiers

Nous ne vendons ni ne louons vos données personnelles. Nous faisons appel à des sous-traitants techniques :

  • Infomaniak (Suisse) — hébergement serveur et stockage objet S3.
  • Stripe (États-Unis, filiale irlandaise) — traitement des paiements.
  • Google LLC (États-Unis) — API Google Calendar (uniquement si vous connectez votre agenda).
  • Google Gemini API — transcription automatique des notes vocales (si utilisée) : les données audio sont envoyées à l'API Gemini et immédiatement supprimées après transcription.

8. Vos droits (RGPD)

Conformément au Règlement Général sur la Protection des Données (RGPD), vous disposez des droits suivants :

  • Droit d'accès : obtenir une copie de vos données personnelles.
  • Droit de rectification : corriger des données inexactes.
  • Droit à l'effacement : demander la suppression de vos données (« droit à l'oubli »).
  • Droit à la portabilité : recevoir vos données dans un format structuré.
  • Droit d'opposition : vous opposer à certains traitements.
  • Droit de retrait du consentement : à tout moment, pour les traitements fondés sur votre consentement (notamment la synchronisation calendrier).

Pour exercer ces droits, contactez-nous par e-mail à : contact@elya.fr. Vous pouvez également introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés).

9. Cookies

Nous utilisons un unique cookie de session technique (PHPSESSID) strictement nécessaire au fonctionnement de l'application. Aucun cookie publicitaire, analytique ou tiers n'est déposé sur votre navigateur.

10. Modifications de la politique

Nous pouvons mettre à jour cette politique à tout moment. En cas de modification substantielle, nous vous en informerons par e-mail ou via une notification dans l'application. La date de dernière mise à jour figurant en haut de cette page fait foi.

11. Contact

Responsable du traitement : Loïc PIQUARD

E-mail : contact@elyazalee.com

Site : https://chantier.elya.fr