Politique de confidentialité
Conforme au Règlement (UE) 2016/679 (RGPD) et à la Loi Informatique et Libertés modifiée.
1. Qui sommes-nous ?
Washioo, dont le siège est situé en France, est responsable du traitement des données personnelles collectées via washioo.com.
- Contact général : contact@washioo.com
- Vie privée : privacy@washioo.com
- Responsable de la publication : Damien Salvy
2. Quelles données collectons-nous et pourquoi ?
2.1 Données des Exploitants (professionnels)
| Donnée | Source | Finalité | Base légale |
|---|---|---|---|
| Nom, prénom, email, téléphone | Création compte | Gestion compte, support | Exécution contrat |
| Mot de passe (hashé bcrypt) | Création compte | Authentification | Exécution contrat |
| Données de facturation (raison sociale, SIRET, adresse) | Souscription | Facturation, obligations comptables | Obligation légale + contrat |
| Moyen de paiement — via Stripe | Souscription | Prélèvement abonnement | Exécution contrat |
| Logs de connexion (IP, user-agent, horodatage) | Connexion | Sécurité, détection fraude | Intérêt légitime |
| Code 2FA (chiffré) | Activation 2FA | Sécurité renforcée | Intérêt légitime |
| Tokens OAuth Meta (Facebook + Instagram) | Connexion Social Agent | Publication automatique sur vos pages | Exécution contrat (consentement explicite) |
2.2 Données des clients finaux des laveries
| Donnée | Source | Finalité | Base légale |
|---|---|---|---|
| Numéro de téléphone | Appel via Twilio | Identification client récurrent | Intérêt légitime de l'Exploitant |
| Transcriptions d'appels | Agent vocal Washy | Historique conversationnel | Intérêt légitime + information préalable |
| Enregistrements audio | Agent vocal Washy | Qualité de service, litiges | Intérêt légitime + information préalable |
| Messages chat | Widget site laverie | Réponse à la demande | Exécution pré-contractuelle |
| Email (si fourni) | Chat / formulaire | Suivi ticket | Consentement |
2.3 Données techniques
Cookies strictement nécessaires (session, préférences) et cookies de mesure d'audience anonymisée le cas échéant après consentement. Voir Politique de cookies.
3. Qui a accès à vos données ?
3.1 En interne
Les données sont accessibles uniquement au personnel habilité de Washioo, soumis à une obligation de confidentialité. Seuls les administrateurs techniques disposent d'un accès base de données.
3.2 Sous-traitants
| Sous-traitant | Rôle | Localisation | Garantie de transfert |
|---|---|---|---|
| OVH SAS | Hébergement | France (UE) | — |
| Stripe Payments Europe | Paiement | Irlande (UE) | — |
| Anthropic PBC | IA conversationnelle | USA | Clauses Contractuelles Types |
| Twilio Inc. | Téléphonie / SMS | USA | CCT + DPF |
| Resend, Inc. | Email transactionnel | USA | CCT |
| Google LLC | Avis Business Profile | USA | CCT + DPF |
| Meta Platforms, Inc. | Publication Facebook + Instagram | USA / Irlande | CCT + DPF |
3.3 Transferts hors UE
Certains sous-traitants sont situés aux États-Unis. Washioo a signé avec chacun les Clauses Contractuelles Types de la Commission européenne (décision 2021/914) et vérifie l'adhésion au Data Privacy Framework quand c'est possible.
4. Durée de conservation
| Type de donnée | Durée | Base légale |
|---|---|---|
| Compte Exploitant actif | Durée du contrat + 3 ans | Art. 6.1.b RGPD |
| Données de facturation | 10 ans (obligation comptable) | Art. 6.1.c RGPD |
| Logs de connexion + audit logs (sécurité) | 1 an | Intérêt légitime Art. 6.1.f |
| Transcriptions et audio d'appels | 12 mois | Intérêt légitime Art. 6.1.f |
| Conversations chat | 12 mois | Intérêt légitime Art. 6.1.f |
| Tokens OAuth Meta | Jusqu'à révocation | Consentement Art. 6.1.a |
| Leads essai gratuit B2B (actifs) | 24 mois depuis le dernier contact | Intérêt légitime Art. 6.1.f |
| Leads essai gratuit B2B (opt-out) | 3 ans depuis désinscription, puis suppression | CPCE L.34-5 |
| Tokens de réinitialisation / vérification email | 7 jours après expiration ou usage | Intérêt légitime |
| Cookies consentement (preuve) | 5 ans (délai prescription) | Obligation légale |
| Après suppression de compte | Anonymisation sous 30 jours | Art. 17 RGPD |
5. Vos droits
Conformément aux articles 15 à 22 RGPD, vous disposez des droits suivants :
- Accès — copie de vos données (exportable depuis Espace Pro > Compte > Mes données).
- Rectification — correction des données inexactes.
- Effacement — droit à l'oubli.
- Limitation du traitement.
- Opposition au traitement (motif légitime).
- Portabilité — recevoir vos données en format structuré (JSON).
- Retrait du consentement à tout moment.
- Directives post-mortem (article 85 LIL).
Comment exercer vos droits : depuis l'Espace Pro (rubrique Compte > Mes données), ou par email à privacy@washioo.com. Réponse sous 1 mois (article 12 RGPD). Recours possible auprès de la CNIL.
6. Sécurité
- Chiffrement des données en transit (TLS 1.2+) et au repos ;
- Mots de passe hashés bcrypt (12 rounds) ;
- Authentification à deux facteurs (TOTP / SMS / Email) ;
- Accès base de données restreint (loopback uniquement) ;
- Pare-feu applicatif + fail2ban ;
- Journalisation des événements de sécurité ;
- Sauvegardes chiffrées quotidiennes ;
- Politique de mot de passe robuste (12 caractères minimum) ;
- Ségrégation logique des données entre Exploitants.
7. Notification en cas de violation de données
En cas de violation entraînant un risque pour vos droits et libertés, nous vous notifierons dans un délai de 72 heures après en avoir pris connaissance (article 34 RGPD). Toute violation est également notifiée à la CNIL dans le même délai.
8. Mineurs
Le Service n'est pas destiné aux mineurs de moins de 15 ans. Nous ne collectons pas sciemment de données de mineurs.
9. Modification de la politique
Cette politique peut être mise à jour pour refléter des évolutions légales ou techniques. Les modifications substantielles sont notifiées par email.
10. Autorité de contrôle
CNIL — Commission Nationale de l'Informatique et des Libertés
3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
Téléphone : 01 53 73 22 22 — www.cnil.fr
11. Registre des activités de traitement (art. 30 RGPD)
En tant que responsable de traitement, Washioo tient un Registre des Activités de Traitement (RAT) conformément à l'article 30 RGPD. Ce registre recense l'ensemble des traitements de données, leurs finalités, bases légales, durées de conservation et sous-traitants. Il est disponible sur demande auprès de privacy@washioo.com.
11.1 Principaux traitements
| Traitement | Finalité | Base légale | Sous-traitants clés |
|---|---|---|---|
| Gestion comptes Exploitants | Fourniture du service SaaS | Exécution contrat | OVH (hébergement), Stripe (paiement) |
| Agent vocal Washy | Réponse clients finaux laveries | Intérêt légitime Exploitant | Anthropic (IA), Twilio (téléphonie) |
| Agent Loopie (documents) | Gestion documents techniques | Exécution contrat | Anthropic (IA), OVH (stockage) |
| Notifications et emails transactionnels | Service, sécurité, facturation | Exécution contrat | Resend (email) |
| Publication automatique réseaux sociaux | Marketing Exploitant | Consentement explicite | Meta Platforms (Facebook/Instagram), Google (Business Profile) |
| Prospection B2B (leads essai gratuit) | Présentation offre commerciale | CPCE L.34-5 (intérêt légitime B2B) | Resend (email), OVH (stockage) |
| Journalisation sécurité | Détection fraude, intégrité | Intérêt légitime | OVH (hébergement) |
11.2 Contact DPO / délégué à la protection des données
Washioo n'est pas soumis à l'obligation de désigner un DPO (art. 37 RGPD — PME hors données sensibles à grande échelle). Toute demande relative à la protection des données est traitée directement par le responsable de traitement :
- Damien Salvy — Responsable de traitement
- Email : privacy@washioo.com
- Délai de réponse : 1 mois maximum (art. 12 RGPD)
Dernière mise à jour : mai 2026 — Version 2.0