Politique de confidentialité

1. Responsable du traitement

ROSIER Digital — Auto-entreprise
SIRET : 98819604400016
533 CHEMIN DE SAINT AVY, 83220 LE PRADET
Contact données personnelles : contact@batireport.fr

BatiReport n'a pas désigné de délégué à la protection des données (DPO) au sens du RGPD. Pour toute question relative à vos données, utilisez l'adresse ci-dessus.

2. Périmètre

Cette politique s'applique :

• au site web batireport.fr (pages publiques, espace compte, formulaire de contact) ;
• à l'API api.batireport.fr (authentification, abonnement, quotas, synchronisation cloud, médias, proxy IA) ;
• à l'application mobile BatiReport (Expo / React Native, Android et iOS) — compte connecté obligatoire pour utiliser l'application ;

3. Principes généraux

• Données chantier : créées et modifiables dans l'application mobile. Une copie locale SQLite reste sur l'appareil ; si vous êtes connecté, une synchronisation vers les serveurs BatiReport peut être déclenchée (connexion, retour au premier plan, mutation locale, reconnexion réseau, action manuelle « Synchroniser maintenant »).
• Hors synchronisation cloud : paramètres applicatifs (app_settings : modèles d'e-mail, options PDF, préférences d'affichage) et l'horodatage de validation des présences (attendance_reviewed_at sur une réunion), qui restent sur l'appareil. Le catalogue des corps d'état, l'annuaire entreprises et leurs liens lots sont synchronisés lorsque vous êtes connecté.
• Secrets : jeton de rafraîchissement du compte et, en mode développeur uniquement, clé API IA personnelle (BYOK) sont stockés dans le coffre sécurisé de l'appareil (Secure Store), jamais dans SQLite, les exports ZIP/JSON, les PDF, DOCX ou e-mails.
• PDF, Word, e-mails : génération et stockage des rapports sur l'appareil ; envoi d'e-mails via l'application mail native de votre téléphone (BatiReport ne reçoit pas le contenu de vos envois).
• Export local : depuis les paramètres de l'application, vous pouvez exporter une archive ZIP de vos données locales (sans secrets Secure Store).

4. Données traitées

4.1 Compte et organisation

E-mail, prénom, nom, téléphone (optionnel), mot de passe (haché côté serveur), statut de vérification e-mail, appartenance à une organisation, rôle (propriétaire, administrateur, membre), invitations par e-mail à rejoindre une organisation.

4.2 Abonnement et facturation

Forfait, statut d'abonnement, période en cours, quotas (actions IA mensuelles, stockage cloud en Mo selon le plan). Essai gratuit de 14 jours démarré après vérification de l'e-mail du compte. À ce jour, aucun paiement en ligne n'est actif sur le site ou l'application. Un paiement par carte via Stripe est prévu sur le site web. La facturation B2B peut être traitée sur demande par e-mail (contact@batireport.fr).

Factures émises par ROSIER Digital : conservation selon obligations comptables (voir section 8).

4.3 Usage de l'assistance IA

Par défaut, les appels IA passent par api.batireport.fr (compte actif, e-mail vérifié, quota non épuisé). Nous enregistrons des métadonnées : type d'action (reformulation, correction, note vers observation, synthèse de réunion), modèle, jetons entrée/sortie estimés, statut, identifiant de requête, date — sans conserver le texte intégral des observations dans ces journaux d'usage. Le texte à traiter est transmis au fournisseur IA uniquement lorsque vous déclenchez une action IA, avec un contexte limité (ex. lot, entreprise).

Mode développeur BYOK (builds de développement) : la clé API peut rester sur l'appareil et les appels partir directement vers le fournisseur configuré, hors proxy BatiReport.

4.4 Données de chantier synchronisées (cloud)

Lorsque la synchronisation cloud est utilisée (compte connecté), les données suivantes peuvent être stockées sur nos serveurs, rattachées à votre organisation :

• Chantiers / projets : nom, référence, adresse, code postal, ville, client, e-mail et téléphone client, photo de couverture (fichier), maître d'ouvrage, maître d'œuvre, description, statut ;
• Catalogue des corps d'état : code, libellé, catégorie (chantier, MOE, etc.), ordre d'affichage, statut actif — y compris les entrées que vous créez ou modifiez dans l'application ;
• Annuaire entreprises : fiches entreprises sans chantier associé (écran Entreprises) : nom, métier, contact, e-mail, téléphone, adresse, code postal, ville, notes ;
• Liens entreprise ↔ lot catalogue : associations entre une entreprise de l'annuaire et un ou plusieurs corps d'état du catalogue ;
• Entreprises par chantier et lots chantier : entreprises liées à un projet, lots actifs du chantier (numéro, nom, ordre, couleur, entreprise assignée) ;
• Réunions et présences : numéro, titre, dates, statut ; participants (nom, rôle, convocations, e-mails et téléphones saisis, statut de présence) ;
• Observations : texte brut et reformulé, statut, priorité, échéance, lot et entreprise (libellés et rattachements), report depuis une observation antérieure ;
• Photos : fichiers image, légende, liens chantier / réunion / observation ;
• Rapports : métadonnées et fichiers PDF/DOCX uploadés lors de la synchronisation.

Non envoyé au cloud : paramètres applicatifs (modèles d'e-mail, options PDF, logo d'en-tête PDF local) et la date de validation des présences sur une réunion (attendance_reviewed_at), qui restent sur l'appareil uniquement.

En cas de conflit entre appareils, la règle appliquée privilégie la copie locale lorsque son horodatage est égal ou plus récent que le cloud ; les suppressions définitives locales sont propagées au cloud et ne sont jamais « ressuscitées » par une version cloud antérieure.

4.5 Support et contact site

Formulaire sur /contact : nom, e-mail, catégorie, objet, message. Les messages sont enregistrés sur nos serveurs pour traitement par notre équipe ; ils ne déclenchent pas automatiquement un e-mail sortant vers le support. Ne transmettez pas d'observations de chantier confidentielles par ce canal.

4.6 Données techniques

Adresse IP, horodatages, identifiants de session ou de jetons, journaux serveur et de sécurité, user-agent, erreurs applicatives, état de synchronisation et consommation de stockage cloud.

4.7 Données de tiers dans vos chantiers

Les données que vous saisissez peuvent concerner des personnes qui ne sont pas utilisateurs BatiReport (contacts d'entreprises, maîtres d'ouvrage, participants, personnes visibles sur des photos). Vous êtes responsable de disposer d'un fondement légitime pour les traiter dans le cadre de votre activité professionnelle et d'informer ces personnes lorsque la loi l'exige.

5. Finalités et bases légales

Nous n'utilisons pas de traceurs publicitaires ou d'audience marketing sur le site à ce jour. Voir la section Cookies ci-dessous.

6. Destinataires et sous-traitants

• OVHcloud — hébergement du site, de l'API et des fichiers (VPS en France) ; OVHcloud intervient en sous-traitant technique au sens du RGPD ;
• OpenAI — traitement du texte lors des actions IA via le proxy serveur (modèle par défaut configuré côté serveur, ex. gpt-4o-mini) ;
• Prestataire e-mail — envoi des messages transactionnels (vérification d'e-mail, réinitialisation de mot de passe), via la configuration SMTP du serveur (ex. messagerie OVH / Zimbra selon déploiement) ;
• Expo (EAS) — distribution et mises à jour techniques de l'application mobile (canal OTA expo-updates).

Le personnel habilité de ROSIER Digital peut accéder aux données dans la limite de leurs missions (support, exploitation, sécurité).

7. Transferts hors Union européenne

L'hébergement principal des données traitées par BatiReport est situé en France (OVHcloud). Les appels à OpenAI peuvent impliquer un transfert de données (texte saisi pour l'IA) vers des pays tiers, notamment les États-Unis, selon les conditions du fournisseur et les garanties contractuelles applicables (ex. clauses contractuelles types). Nous ne transmettons pas l'intégralité d'un chantier à l'IA pour une simple reformulation.

8. Durées de conservation

• Compte actif : pendant la durée d'utilisation du service ;
• Suppression de compte : délai de rétractation de 7 jours (annulable depuis le site ou l'application), puis purge des données serveur associées (voir section 12) ;
• Hors ligne prolongé : sans reconnexion réussie au serveur pendant 7 jours, l'application peut exiger une nouvelle authentification ;
• Données chantier cloud : durée du compte / contrat, puis suppression avec le compte ; les sauvegardes techniques serveur font l'objet d'une rotation (objectif d'environ 30 jours) et peuvent conserver temporairement des copies jusqu'à expiration du cycle ;
• Métadonnées d'usage IA : objectif typique de 12 à 24 mois pour les événements détaillés (pas de purge automatique garantie à ce jour) ;
• Support : objectif typique jusqu'à 3 ans après le dernier échange ;
• Factures : 10 ans (obligation comptable) ; une organisation peut être anonymisée mais conservée si des factures y sont rattachées ;
• Logs de sécurité : objectif typique de 6 à 12 mois sauf incident ou contentieux ;
• Données locales sur l'appareil : sous votre contrôle ; suppression via l'application ou désinstallation, indépendamment du compte serveur.

9. Sécurité

Mesures générales (liste non exhaustive) :

• accès API par HTTPS et authentification JWT ;
• fichiers médias (photos, couvertures, PDF/DOCX) : stockés sur le serveur mais non accessibles par URL publique — le téléchargement passe par GET /api/media/download avec jeton d'accès valide et contrôle d'appartenance à votre organisation ;
• cookies de session web HttpOnly, Secure en production, SameSite=Lax (br_access, br_refresh) ;
• mots de passe hachés ; secrets applicatifs hors base SQLite mobile ;
• sauvegarde Android cloud désactivée au niveau application (allowBackup: false) ;
• quotas de stockage cloud et contrôle des uploads médias ;
• sauvegardes techniques serveur avec objectif de chiffrement au repos (volume / outil d'hébergement) et rotation (~30 jours) ;
• purge des données cloud uniquement lors de la suppression définitive de l'organisation (seul propriétaire actif) ; un membre qui quitte l'organisation ne supprime pas les données des autres ;
• purge planifiée des comptes dont la suppression est confirmée.

10. Application mobile — permissions

Selon les fonctions utilisées, l'application peut demander :

• appareil photo et bibliothèque photo (observations) ;
• microphone et reconnaissance vocale (dictée d'observations) ;
• contacts (lecture seule, contact choisi par vous pour préremplir une entreprise — pas d'écriture dans le carnet d'adresses).

Vous pouvez refuser ou révoquer ces autorisations dans les réglages de votre appareil.

12. Suppression de compte

La suppression concerne les données hébergées sur api.batireport.fr : compte, organisation (si vous êtes seul propriétaire actif), abonnement, usage IA, données de chantier synchronisées et fichiers médias associés.

• Demande depuis l'application mobile (Paramètres → Mon compte → Supprimer mon compte) ou le site : espace compte → Suppression / procédure détaillée;
• délai de rétractation de 7 jours avant purge définitive — vous pouvez annuler la demande pendant ce délai depuis le site ou l'application ;
• après purge : anonymisation de l'identifiant utilisateur côté serveur ; les données locales sur votre téléphone ne sont pas effacées automatiquement — supprimez-les dans l'app ou désinstallez l'application.

13. Violations de données

En cas de violation de données personnelles présentant un risque pour vos droits, nous notifierons la CNIL dans les délais légaux et vous informerons lorsque la loi l'impose.

14. Modifications

Cette politique peut être mise à jour (nouvelle version et date en tête de page). Les changements substantiels liés à de nouvelles fonctionnalités (ex. nouveau sous-traitant ou extension du cloud) seront reflétés ici avant ou au moment de leur mise en service.