Politique de confidentialité

Ounsia est un concierge WhatsApp autonome pour les hôtes de l'hôtellerie. Cette politique couvre les données personnelles traitées lorsque (a) un hôte utilise le tableau de bord, et (b) un client interagit avec le bot d'un hôte via WhatsApp. Le responsable du traitement, dans les deux cas, est TO BE PROVIDED: registered company name.

Pour les données clients traitées dans le cadre du service rendu aux clients d'un hôte donné, l'hôte et Ounsia peuvent agir en tant que responsables conjoints ou indépendants selon l'activité ; l'hôte est responsable de la base légale pour utiliser le bot avec ses clients et pour partager les coordonnées des prestataires (voir l'Accord hôte).

Auprès des hôtes

• Données de compte : nom complet, adresse e-mail, numéro WhatsApp/téléphone, mot de passe haché, langue d'interface, statut de vérification.
• Données de bien : adresses, identifiants Wi-Fi et accès, règlement intérieur, FAQ, et médias téléversés (stockés via notre prestataire média).
• Données de service : les prestataires tiers que vous ajoutez, y compris leurs noms et coordonnées (comme le téléphone ou le WhatsApp d'un prestataire) que vous choisissez de saisir.
• Données de facturation : profil de facturation (raison sociale, identifiant fiscal, adresse), demandes de recharge, preuve de virement soumise, solde de crédits et factures.
• Données d'usage : activité du tableau de bord, paramètres, journaux d'audit des actions sensibles.

Auprès des clients (via WhatsApp)

• Le numéro WhatsApp/téléphone du client et le nom de profil fournis par WhatsApp.
• Le contenu des messages : textes, notes vocales (transcrites en texte) et photos (analysées par IA de vision), ainsi que toute localisation, point de prise en charge ou détail de demande fourni par le client.
• La langue détectée du client et l'état de la session de conversation.

Collectées automatiquement

• Des données techniques telles qu'adresse IP, informations d'appareil/navigateur et horodatages, utilisées pour la sécurité, la limitation de débit et la détection d'abus.
• Des événements d'analyse produit (voir l'Avis sur les cookies et le suivi).

Nous traitons les données personnelles pour fournir et sécuriser le service : exploiter les comptes hôtes, permettre au bot de répondre aux clients à partir des données de l'hôte, transmettre et traduire des demandes vers des services locaux, facturer les hôtes, prévenir l'abus et la fraude, et respecter la loi.

• Exécution d'un contrat — fournir le tableau de bord et le bot aux hôtes, et transmettre les demandes clients qu'ils initient.
• Intérêts légitimes — sécuriser le service, prévenir l'abus, déboguer et améliorer la fiabilité, en équilibre avec vos droits.
• Consentement — lorsque requis, par exemple certaines analyses et le choix du client de poursuivre avec le bot ou d'être mis en relation avec un tiers.
• Obligation légale — facturation, fiscalité, et réponse aux demandes légales.

Les messages clients sont traités par IA pour comprendre l'intention, transcrire les notes vocales, analyser les photos, traduire entre langues, classer les demandes et détecter l'abus. Nous recourons à des fournisseurs d'IA tiers comme sous-traitants à cette fin (voir ci-dessous). Une couche de routage intelligent choisit un modèle d'IA par tâche.

Le bot répond à partir des données vérifiées de l'hôte ; le traitement par IA peut néanmoins produire des erreurs et ne doit pas servir de base à des décisions exigeant un jugement professionnel, juridique, médical ou d'urgence. Nous n'utilisons pas le contenu des messages clients pour entraîner des modèles de fondation tiers, et nous demandons à nos sous-traitants IA de ne pas s'en servir pour l'entraînement lorsque leurs conditions le permettent. TO BE PROVIDED: confirm AI sub-processor training/retention terms

Lorsqu'un client demande à être mis en relation avec un service local, Ounsia transmet et traduit la demande au prestataire tiers concerné pour le compte de l'hôte. Cela partage nécessairement la substance de la demande (et, au besoin, un point de prise en charge ou un détail de commande) avec ce prestataire. Ounsia agit comme intermédiaire ; le prestataire est indépendant et l'hôte est responsable des prestataires qu'il a ajoutés.

Nous ne vendons pas de données personnelles. Nous ne les partageons qu'avec les sous-traitants listés ci-dessous, avec un prestataire tiers mis en relation comme décrit, avec l'hôte dont le client est servi, et lorsque la loi l'exige ou pour protéger des droits et la sécurité.

Nous nous appuyons sur les prestataires suivants pour exploiter Ounsia. Ils traitent des données personnelles pour notre compte, dans le cadre d'accords de traitement, uniquement dans la mesure nécessaire à leur fonction :

• Neon — hébergement de la base de données PostgreSQL gérée (données de compte, de bien, de conversation et de facturation).
• Vercel — hébergement de l'application et diffusion de contenu.
• Meta Platforms (WhatsApp Cloud API) — acheminement des messages WhatsApp depuis et vers les clients.
• Anthropic — traitement IA (compréhension, traduction, classification).
• OpenAI — traitement IA, transcription vocale et embeddings de texte.
• Cloudinary — stockage et diffusion des médias (photos de bien, fichiers téléversés).
• Resend — e-mails transactionnels (vérification, réinitialisation de mot de passe, notifications).
• Upstash — cache, limitation de débit et files de messages.
• Inngest — traitement des tâches en arrière-plan (notifications, tâches planifiées).
• PostHog — analyse produit et suivi des erreurs.
• Twilio — codes SMS à usage unique, utilisés seulement en repli lorsque l'envoi WhatsApp échoue. TO BE PROVIDED: confirm whether Twilio SMS fallback is enabled

La liste actuelle et définitive des sous-traitants et de leurs localisations est tenue à jour à TO BE PROVIDED: sub-processor list URL or contact.

Certains sous-traitants sont situés hors du Maroc et hors de l'Espace économique européen. Lorsque des données personnelles sont transférées à l'international, nous nous appuyons sur des garanties appropriées (telles que des clauses contractuelles types ou une décision d'adéquation) et sur les engagements de conformité des sous-traitants. TO BE PROVIDED: transfer mechanism details

Nous conservons les données personnelles uniquement le temps nécessaire aux finalités ci-dessus ou exigé par la loi, puis nous les supprimons ou les anonymisons. Durées indicatives (à confirmer par le conseil) :

• Comptes hôtes et pièces de facturation : TO BE PROVIDED: host account / billing retention period.
• Messages clients, transcriptions et médias : TO BE PROVIDED: guest message / media retention period.
• Sessions de conversation et statut du bot : TO BE PROVIDED: conversation session retention period.
• Journaux de sécurité et d'audit : TO BE PROVIDED: security/audit log retention period.

Sous réserve de la loi applicable, vous avez le droit d'accéder à vos données, de rectifier des données inexactes, de demander l'effacement, de limiter ou de vous opposer à certains traitements, à la portabilité des données, et de retirer votre consentement lorsque le traitement repose sur celui-ci. Le retrait du consentement n'affecte pas le traitement licite antérieur.

Les hôtes peuvent gérer une grande partie de leurs données directement dans le tableau de bord. Les clients, et les hôtes pour d'autres demandes, peuvent nous écrire à TO BE PROVIDED: operator contact email (legal/privacy). Nous vérifierons l'identité avant d'agir et répondrons dans le délai requis par la loi applicable.

Lorsque la loi marocaine n° 09-08 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel s'applique, Ounsia traite les données personnelles conformément à cette loi et aux exigences de la Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP), y compris toute obligation de déclaration ou d'autorisation.

Notre référence de déclaration/autorisation CNDP est TO BE PROVIDED: Morocco Law 09-08 / CNDP declaration or authorisation number. Les personnes concernées au Maroc peuvent exercer leurs droits comme décrit ci-dessus et peuvent aussi contacter la CNDP.

Lorsque le Règlement général sur la protection des données de l'UE s'applique (par exemple, un client situé dans l'UE), les droits et bases légales décrits dans cette politique s'appliquent en tant que droits RGPD, et vous pouvez déposer une réclamation auprès de votre autorité de contrôle locale. Les bases légales retenues sont celles exposées à la section 3.

Si un représentant dans l'UE au sens de l'article 27 du RGPD est désigné, ses coordonnées sont : TO BE PROVIDED: EU representative under GDPR Art. 27, if appointed.

Nous utilisons des mesures techniques et organisationnelles adaptées au risque, dont le chiffrement en transit, le hachage des identifiants, le chiffrement de certains champs sensibles, des contrôles d'accès, la limitation de débit et la détection d'abus. Aucun système n'est parfaitement sûr ; nous ne pouvons garantir une sécurité absolue, mais nous nous efforçons de protéger vos données et de vous notifier les incidents lorsque la loi l'exige.

Le tableau de bord hôte n'est pas destiné aux personnes de moins de 18 ans. Le bot sert les clients de l'hébergement d'un hôte et ne s'adresse pas aux enfants. Si vous pensez que les données d'un enfant nous ont été transmises de façon inappropriée, contactez-nous pour que nous puissions y remédier.

Nous pouvons mettre à jour cette politique. Les changements importants seront communiqués via le tableau de bord ou par e-mail. La date d'entrée en vigueur de la version actuelle est TO BE PROVIDED: effective date.

Pour toute question de confidentialité ou pour exercer vos droits, écrivez à TO BE PROVIDED: operator contact email (legal/privacy). Notre Délégué à la protection des données (lorsqu'il est désigné) est joignable à TO BE PROVIDED: Data Protection Officer (DPO) contact. Le responsable du traitement est TO BE PROVIDED: registered company name, TO BE PROVIDED: registered address.