Service Apym — apym.io
Dernière mise à jour : 12 juin 2026
Cette politique décrit comment Dream Reality Technologies SASU traite les données personnelles dans le cadre du service Apym (assistant vocal pour les PME et entreprises). Elle complète nos mentions légales et nos conditions générales de vente.
Le responsable du traitement est Dream Reality Technologies SASU, éditeur du site et du service Apym.
Apym est responsable du traitementpour les données des entreprises clientes : compte, abonnement, configuration de l'assistant, facturation et support.
Apym agit en sous-traitantau sens de l'article 28 du RGPD lorsque l'entreprise cliente nous confie le traitement des données de ses propres appelants (clients finaux) : numéros de téléphone, contenu des appels, transcriptions et résumés. L'entreprise cliente reste responsable du traitement vis-à-vis de ses appelants. Apym traite ces données uniquement pour exécuter le contrat conclu avec l'entreprise cliente et selon ses instructions (paramètres de l'assistant, conservation des récaps).
Données appelants importées par le client (formule Pro): l'entreprise cliente peut charger des dossiers (numéro de téléphone, référence commande ou ticket, statut, résumé, date prévue). Elle en reste responsable du traitement vis-à-vis de ses propres clients. Apym agit en sous-traitant pour la consultation de ces dossiers pendant l'appel (reconnaissance par numéro, recherche par référence) et la journalisation technique des consultations (audit). Les codes de vérification éventuels sont stockés uniquement sous forme de hash (HMAC) — jamais en clair.
Consultation API temps réel (option Pro): l'entreprise cliente peut configurer une URL HTTPS hébergée par ses soins. À chaque appel, Apym envoie une requête signée (HMAC) à cette URL pour récupérer le dossier correspondant. L'entreprise reste responsable de la sécurité, de la disponibilité et du contenu de son API ; Apym agit en sous-traitant pour la transmission de la requête et l'utilisation de la réponse pendant l'appel.
Pour les visiteurs du site marketing (sans compte), Apym est responsable du traitement des données collectées (formulaires de contact, cookies).
| Finalité | Base légale |
|---|---|
| Création et gestion du compte entreprise client, accès à l'espace client | Exécution du contrat (art. 6.1.b RGPD) |
| Fourniture de l'assistant vocal : appels entrants, transcription, résumés, prise de rendez-vous | Exécution du contrat |
| Personnalisation vocale via dossiers appelants importés (commandes, tickets) — consultation pendant l'appel, vérification optionnelle, journaux d'audit | Exécution du contrat ; sous-traitance au sens de l'art. 28 RGPD pour les données des clients finaux confiées par l'entreprise cliente |
| Abonnement, facturation, prélèvements Stripe, pay-as-you-go, recharge automatique, alertes de consommation et options (lignes +1 et +33, configuration assistée) | Exécution du contrat ; obligation légale comptable et fiscale (art. 6.1.c) |
| Vérification du SIRET, lutte contre la fraude et les abus (parrainage, comptes fictifs) | Intérêt légitime — sécurité du service et prévention de la fraude (art. 6.1.f) |
| Envoi d'emails transactionnels (récap d'appel, alertes compte, facturation) | Exécution du contrat |
| Support client et réponse aux demandes d'exercice des droits RGPD | Exécution du contrat ; obligation légale le cas échéant |
Sécurité du service : détection d'intrusion, journalisation technique, traceur de sécurité mémorisant l'adresse IP (apym_device_ip) | Intérêt légitime — sécurité et intégrité du service |
| Conservation des pièces comptables et réponse aux réquisitions des autorités | Obligation légale (art. 6.1.c) |
| Cookies de mesure d'audience (Vercel Analytics, Speed Insights) et de confort (thème d'affichage) | Consentement (art. 6.1.a) via le bandeau cookies |
| Connexion Google Agenda (optionnelle) pour proposer des créneaux aux appelants | Exécution du contrat — fonctionnalité activée par l'entreprise cliente |
| Intégrations optionnelles (récaps Slack ; sync CRM HubSpot en beta) | Exécution du contrat — fonctionnalités autorisées par l'entreprise cliente |
Nous ne fondons pas le traitement sur une finalité vague d'« amélioration du service » sans lien concret avec l'une des finalités ci-dessus.
Données d'identification du compte (obligatoires) : adresse email, mot de passe (stocké sous forme hashée, jamais en clair), nom et prénom.
Données d'entreprise (facultatives à l'inscription): raison sociale ou nom commercial, secteur d'activité (ex. services, commerce, support client), numéro de téléphone professionnel ou de rappel. Le SIRET peut être demandé uniquement dans le cadre de la vérification réglementaire pour une ligne française (+33).
Données de configuration (obligatoires selon l'offre): paramètres de l'assistant vocal, mode de ligne téléphonique (numéro propre ou ligne Apym), consignes métier. Pour une ligne Apym française (+33), données de vérification réglementaire au niveau du compte (extrait Kbis ou équivalent, pièce d'identité du représentant, justificatif de domicile) exigées par l'opérateur télécom (Telnyx) avant attribution du numéro.
Données d'appels (générées par l'usage): numéro de l'appelant, durée, enregistrement audio, transcription, résumé, issue de l'appel (rendez-vous, rappel, etc.), métadonnées techniques.
Données de facturation (obligatoires pour un abonnement payant) : identifiant client Stripe, plan souscrit, consommation de minutes, historique de paiements et factures. Les numéros de carte bancaire ne transitent pas par nos serveurs : ils sont saisis directement chez Stripe.
Données facultatives: connexion Google Agenda ; connexion workspace Slack (récaps d'appels) ; connexion HubSpot CRM (beta, formule Business — contacts, notes et deals après appels) ; numéros de téléphone supplémentaires ; préférence de thème (cookie) ; code parrainage (cookie 30 jours) ; message libre dans le formulaire de contact entreprise.
Données appelants importées (option Pro): numéro de l'appelant, prénom ou libellé de contact, référence externe, statut, résumé, date prévue, hash de code de vérification (jamais le code en clair). Journaux d'audit des consultations (horodatage, méthode, correspondance trouvée ou non, vérification réussie ou non).
Données techniques: logs serveur (dont l'adresse IP source de chaque requête, voir section 18) ; traceur apym_device_ipmémorisant l'IP détectée à la première visite pour la sécurité (voir section 16) ; identifiant de session d'authentification.
Sans les données obligatoires, vous ne pouvez pas créer de compte ni utiliser l'assistant vocal.
Si vous refusez les cookies non essentiels via le bandeau (« Refuser » ou personnalisation sans activer les catégories optionnelles) : le site reste utilisable, mais Vercel Analytics et Speed Insights ne sont pas chargés, et votre préférence de thème ne sera pas mémorisée. Les cookies strictement nécessaires (session, sécurité) restent actifs.
Si vous désactivez la conservation des récaps (voir section 9), les résumés et transcriptions ne s'affichent plus dans votre espace client ni dans l'administration Apym dédiée au suivi. L'assistant vocal et la facturation continuent de fonctionner.
Sans connexion Google Agenda, la prise de rendez-vous automatique sur votre calendrier n'est pas disponible ; vous pouvez toujours recevoir les demandes par récap.
| Type de données | Durée |
|---|---|
| Compte actif (profil, entreprise, configuration) | Durée du contrat, puis voir suppression de compte |
Historique des modifications d'email et de nom (profile_change_history) | Pendant le contrat ; jusqu'à 3 ans après suppression du compte pour litiges, fraude et sécurité (voir section 7) |
| Récaps d'appels (transcription, résumé) — conservation activée | Durée du contrat ; accessibles tant que le compte est actif |
Dossiers appelants importés et journaux d'audit des consultations (tenant_caller_records, tenant_caller_lookup_audit) | Durée du contrat ; supprimés avec le compte ou sur demande du client. Les journaux d'audit sont conservés au plus 24 mois à des fins de sécurité et de preuve. |
| Métadonnées d'appels (durée, numéro, coût) — conservation récaps désactivée | 24 mois maximum pour facturation et support, sauf obligation légale contraire |
| Factures et pièces comptables Apym | 10 ans (obligation légale comptable française) |
| Données de paiement chez Stripe | Selon les obligations légales et la politique Stripe |
| Logs techniques (accès, erreurs, sécurité) | 12 mois maximum |
Traceur apym_device_ip (identifiant IP mémorisé, voir section 16) | 12 mois |
| Cookies thème et consentement | 12 mois |
| Données conservées après suppression de compte (soft delete) | Voir section 15 — 10 ans maximum uniquement pour les cas listés (obligation légale, fraude avérée, réquisition) |
La durée de 10 ans après suppressionne s'applique pas à l'ensemble des données. Elle vise uniquement : pièces comptables et facturation ; éléments nécessaires à une enquête de fraude, un contentieux ou une réquisition d'une autorité compétente ; preuves liées à un impayé ou à une violation des CGV. Les transcriptions et résumés d'appels ne sont pas conservés pendant 10 ans par défaut lorsque la conservation des récaps est désactivée.
Lorsque vous modifiez votre email ou votre nom dans les paramètres, ou à l'inscription, nous enregistrons l'ancienne et la nouvelle valeur dans un historique interne (profile_change_history).
Finalités : sécurité du compte (détection de prise de contrôle), support client, prévention de la fraude (parrainage, multi-comptes), et preuve en cas de litige contractuel.
Durée :pendant la durée du contrat ; après suppression du compte, conservation limitée jusqu'à 3 ans, sauf obligation légale ou procédure en cours nécessitant une durée plus longue (dans ce cas, 10 ans maximum).
Cet historique n'est pas accessible depuis votre espace client. Seuls les administrateurs habilités d'Apym y accèdent.
L'assistant vocal Apym repose sur de l'IA de synthèse et de compréhension du langage (prestataire Retell). Il accueille l'appelant, pose des questions adaptées à votre activité et peut proposer un créneau de rappel ou de rendez-vous selon la configuration de l'entreprise cliente.
Aucune décision produisant des effets juridiquesou affectant significativement une personne de manière similaire n'est prise de façon entièrement automatisée. Les résultats des appels (qualification, résumé) sont consultables par l'entreprise cliente, qui reste seule décisionnaire vis-à-vis de ses clients.
Apym n'établit pas de profil marketing des appelants. Le traitement est limité à la gestion de l'appel et à la transmission du récap à l'entreprise cliente.
Pour toute question sur le traitement automatisé, contactez legal@apym.io. Une intervention humaine d'Apym ou de l'entreprise cliente est possible sur demande raisonnable.
Les récaps comprennent le résumé et, le cas échéant, la transcription de l'appel. Ils sont visibles par vous dans votre espace client et, lorsque la conservation est activée, par l'équipe Apym habilitée pour le support client et la résolution d'incidents.
Dans Paramètres → Conservation des récaps d'appels, vous pouvez désactiver l'affichage et la conservation des récaps dans votre tableau de bord et dans l'administration Apym. Les métadonnées minimales (durée, facturation) peuvent être conservées conformément à la section 6.
Base légale : exécution du contrat pour la conservation consentie via le paramètre ; intérêt légitime ou obligation légale pour les données strictement nécessaires à la facturation, la sécurité ou une réquisition.
Nous privilégions le traitement des données au sein de l'Union européenne lorsque c'est possible. Les données de base (comptes, appels, transcriptions) sont hébergées chez un hébergeur situé dans l'Union européenne, sous réserve de la configuration effective de votre compte et de nos prestataires.
Prestataires dont l'infrastructure utilisée pour Apym est située dans l'Union européenne :
Prestataires établis aux États-Unis — transferts possibles : Stripe, Retell et Telnyx sont des sociétés américaines. Si vous connectez des intégrations optionnelles, Slack et HubSpot(beta) le sont également. Même lorsque vous accédez au service depuis l'UE, certaines données (paiement, numéros de téléphone, audio d'appel, transcriptions, métadonnées d'appel, et — si activé — récaps ou fiches CRM) peuvent être traitées aux États-Unis ou dans d'autres pays, selon leurs infrastructures et politiques. Lorsqu'un transfert hors UE est nécessaire, il est encadré par des clauses contractuelles types (CCT) approuvées par la Commission européenne et, le cas échéant, par des mesures complémentaires prévues par le prestataire concerné.
Les emails transactionnels sont envoyés via Resend (infrastructure en Irlande). Le site et les API sont exécutés sur Vercel (région Paris). Les appels vocaux, les numéros de téléphone et les paiements impliquent Stripe, Retell et Telnyx, avec les transferts décrits ci-dessus. Les connexions Slack et HubSpot optionnelles entraînent les transferts supplémentaires listés lorsque vous les activez.
Lorsque vous acceptez les cookies de mesure d'audience, Vercel Analytics et Speed Insights peuvent également impliquer un traitement par Vercel Inc. (société américaine), y compris hors UE selon leur configuration.
Sur demande via legal@apym.io, nous pouvons vous communiquer les informations disponibles sur les garanties contractuelles applicables (dont les CCT) dans la limite des documents dont nous disposons.
Nous faisons appel aux sous-traitants suivants, dans la limite de leurs missions et de la configuration en vigueur à la date de la présente politique :
Chaque sous-traitant est sélectionné pour sa mission et encadré contractuellement (accords de sous-traitance et, lorsque requis, clauses de transfert). La liste peut évoluer ; la présente politique sera mise à jour en conséquence. Les sous-traitants américains ne traitent que les données strictement nécessaires à leur mission.
Stripe agit comme prestataire de paiement indépendant. Apym ne collecte ni ne stocke les numéros de carte bancaire sur ses propres serveurs.
Données transmises à ou gérées par Stripe :
La politique de confidentialité de Stripe s'applique en complément : stripe.com/fr/privacy.
Nous mettons en œuvre des mesures adaptées au risque, notamment :
Aucune mesure n'offre une sécurité absolue. En cas de violation de données susceptible d'engendrer un risque pour vos droits, nous vous en informerons conformément au RGPD.
Vous disposez des droits suivants : accès, rectification, effacement, limitation du traitement, opposition, portabilité, et retrait du consentement (pour les traitements fondés sur le consentement, sans effet rétroactif).
Comment exercer vos droits : envoyez une demande à legal@apym.ioen précisant l'objet de votre demande et un moyen de vérifier votre identité.Nous répondons dans un délai d'un mois à compter de la réception (prolongeable de deux mois si la demande est complexe, avec information préalable).
Réclamation : vous pouvez introduire une réclamation auprès de la CNIL — cnil.fr.
Les appelants de vos clients exercent leurs droits auprès de vous en tant qu'entreprise responsable du traitement ; Apym vous assiste dans la limite de son rôle de sous-traitant sur demande via legal@apym.io.
Vous pouvez demander la suppression depuis Paramètres → Supprimer mon compte. Les impayés et minutes hors forfait en attente doivent être régularisés au préalable (voir CGV).
Effet immédiat :coupure de l'accès, désactivation de l'assistant vocal, résiliation de l'abonnement Stripe, déconnexion de Google Agenda.
Données conservées (soft delete) : seules les catégories listées ci-dessous peuvent être conservées après suppression, et uniquement pour la durée strictement nécessaire à chaque finalité :
Au-delà de ces cas, les données sont purgées ou anonymisées dès que possible. Une purge définitive (suppression technique) peut être effectuée par Apym lorsque la loi le permet. Apym ne conserve pas l'ensemble de vos données personnelles pendant 10 ans par défaut.
L'adresse IPest une donnée à caractère personnel lorsqu'elle peut permettre d'identifier un terminal ou, indirectement, une personne. Apym la traite de deux manières distinctes, qui ne doivent pas être confondues :
apym_device_ip: cookie httpOnly déposé lors de la première requête sur le site, qui mémorise l'adresse IP détectée à ce moment. Il sert à corréler des sessions et à limiter les abus (tentatives de connexion, fraude). Ce traceur n'est pasun cookie de session d'authentification : il ne contient pas votre mot de passe ni votre identifiant de compte.Finalité du traceur : sécurité du service, prévention de la fraude et limitation des accès abusifs.
Durée : 12 mois, renouvelable tant que vous utilisez le service.
Base légale : intérêt légitime — sécurité et intégrité du service (art. 6.1.f RGPD). Ce traceur est considéré comme strictement nécessaireau sens de la réglementation sur les cookies et traceurs : il est déposé sans consentement préalable, distinctement des cookies de mesure d'audience ou de confort.
Lors de chaque appel traité par Apym, un message d'accueilinforme l'appelant que l'appel est enregistré et traité par un assistant vocal (IA). L'entreprise cliente est responsable du traitement vis-à-vis de ses appelants et doit s'assurer que cette information est conforme à son propre contexte d'activité.
Les appelants ne créent pas de compte Apym. Leurs données sont traitées pour la durée nécessaire à l'appel, au récap transmis à l'entreprise cliente et aux durées de la section 6.
Nos serveurs et l'hébergeur enregistrent des logs techniques : horodatage, URL demandée, code de réponse, identifiant de requête, adresse IP source, user-agent, erreurs applicatives.
Finalités :fonctionnement du service, diagnostic d'incident, sécurité et prévention des attaques.
Durée : 12 mois maximum, sauf conservation plus longue requise pour une enquête de sécurité ou une obligation légale en cours.
Apym s'adresse aux PME et entreprises (B2B). Les données que vous renseignez au nom de votre entreprise (SIRET, raison sociale, téléphone pro, consommation du service) relèvent de votre activité professionnelle.
Votre email et nom de contact peuvent être des données personnelles vous concernant en tant que personne physique agissant pour le compte de votre entreprise. Elles sont traitées conjointement pour la gestion du contrat B2B et la relation commerciale.
La facturation et les pièces comptables concernent la relation commerciale Apym ↔ entreprise cliente, distincte de la comptabilité que vous tenez pour vos propres clients.
Lors de votre première visite, un bandeau vous permet d'accepter, de refuser ou de personnaliser les cookies non essentiels. Votre choix est enregistré dans apym_cookie_consent (12 mois). Vous pouvez le modifier à tout moment via « Gérer les cookies » en bas de page ou dans Paramètres → Cookies et traceurs.
Les cookies strictement nécessaires (session d'authentification, sécurité) sont déposés sans consentement préalable pour permettre la connexion à votre espace client et la protection du service.
apym_device_ip).| Nom | Finalité | Durée | Base légale |
|---|---|---|---|
| session auth | Maintien de votre session connectée à l'espace client | Session ou renouvellement automatique | Strictement nécessaire — exécution du contrat |
| apym_device_ip | Traceur de sécurité : mémorise l'adresse IP détectée à la première visite pour limiter les abus (voir section 16 — distinct des logs serveur) | 12 mois | Strictement nécessaire — intérêt légitime (sécurité) |
| apym_cookie_consent | Mémorisation de vos choix (acceptation, refus ou personnalisation par catégorie) | 12 mois | Consentement |
| apym_theme | Préférence d'affichage (clair / sombre) | 12 mois | Consentement — catégorie Confort |
| Vercel Analytics | Mesure d'audience anonymisée (pages vues, navigation). Chargé uniquement après acceptation de la catégorie « Mesure d'audience ». | Variable (selon Vercel, max. 24 mois) | Consentement — catégorie Mesure d'audience |
| Vercel Speed Insights | Mesure des performances de chargement (Core Web Vitals). Chargé uniquement après acceptation de la catégorie « Mesure d'audience ». | Variable (selon Vercel) | Consentement — catégorie Mesure d'audience |
| apym_referral_code | Mémorisation d'un code parrainage avant inscription | 30 jours | Intérêt légitime — exécution du contrat (parrainage) |
Vous pouvez retirer votre consentement via « Gérer les cookies » en bas de page ou dans Paramètres. Vous pouvez aussi supprimer les cookies via votre navigateur. La suppression du cookie de session entraîne une déconnexion. Refuser les cookies non essentiels n'empêche pas l'accès au site public (voir section 5).
Dernière révision : 12 juin 2026. Nous pouvons modifier cette politique pour refléter l'évolution du service ou de la réglementation. En cas de changement substantiel, nous vous en informerons par email ou via un avis dans l'espace client au moins 30 jours avant l'entrée en vigueur, lorsque la loi l'exige ou que le changement affecte significativement vos droits.
La version en vigueur est toujours disponible sur cette page. En cas de contradiction entre documents, les CGV prévalent pour les aspects contractuels et commerciaux ; la présente politique prévaut pour le traitement des données personnelles.