Politique de confidentialité

Service Apym apym.io

Dernière mise à jour : 12 juin 2026

Cette politique décrit comment Dream Reality Technologies SASU traite les données personnelles dans le cadre du service Apym (assistant vocal pour les PME et entreprises). Elle complète nos mentions légales et nos conditions générales de vente.

1. Responsable du traitement

Le responsable du traitement est Dream Reality Technologies SASU, éditeur du site et du service Apym.

  • Raison sociale : Dream Reality Technologies SASU
  • Nom commercial : InDream Technologies
  • Siège social : Adresse en cours de finalisation
  • SIRET : En cours d'attribution
  • Contact données personnelles : legal@apym.io

2. Rôles d'Apym (responsable ou sous-traitant)

Apym est responsable du traitementpour les données des entreprises clientes : compte, abonnement, configuration de l'assistant, facturation et support.

Apym agit en sous-traitantau sens de l'article 28 du RGPD lorsque l'entreprise cliente nous confie le traitement des données de ses propres appelants (clients finaux) : numéros de téléphone, contenu des appels, transcriptions et résumés. L'entreprise cliente reste responsable du traitement vis-à-vis de ses appelants. Apym traite ces données uniquement pour exécuter le contrat conclu avec l'entreprise cliente et selon ses instructions (paramètres de l'assistant, conservation des récaps).

Données appelants importées par le client (formule Pro): l'entreprise cliente peut charger des dossiers (numéro de téléphone, référence commande ou ticket, statut, résumé, date prévue). Elle en reste responsable du traitement vis-à-vis de ses propres clients. Apym agit en sous-traitant pour la consultation de ces dossiers pendant l'appel (reconnaissance par numéro, recherche par référence) et la journalisation technique des consultations (audit). Les codes de vérification éventuels sont stockés uniquement sous forme de hash (HMAC) — jamais en clair.

Consultation API temps réel (option Pro): l'entreprise cliente peut configurer une URL HTTPS hébergée par ses soins. À chaque appel, Apym envoie une requête signée (HMAC) à cette URL pour récupérer le dossier correspondant. L'entreprise reste responsable de la sécurité, de la disponibilité et du contenu de son API ; Apym agit en sous-traitant pour la transmission de la requête et l'utilisation de la réponse pendant l'appel.

Pour les visiteurs du site marketing (sans compte), Apym est responsable du traitement des données collectées (formulaires de contact, cookies).

3. Finalités et bases légales

FinalitéBase légale
Création et gestion du compte entreprise client, accès à l'espace clientExécution du contrat (art. 6.1.b RGPD)
Fourniture de l'assistant vocal : appels entrants, transcription, résumés, prise de rendez-vousExécution du contrat
Personnalisation vocale via dossiers appelants importés (commandes, tickets) — consultation pendant l'appel, vérification optionnelle, journaux d'auditExécution du contrat ; sous-traitance au sens de l'art. 28 RGPD pour les données des clients finaux confiées par l'entreprise cliente
Abonnement, facturation, prélèvements Stripe, pay-as-you-go, recharge automatique, alertes de consommation et options (lignes +1 et +33, configuration assistée)Exécution du contrat ; obligation légale comptable et fiscale (art. 6.1.c)
Vérification du SIRET, lutte contre la fraude et les abus (parrainage, comptes fictifs)Intérêt légitime — sécurité du service et prévention de la fraude (art. 6.1.f)
Envoi d'emails transactionnels (récap d'appel, alertes compte, facturation)Exécution du contrat
Support client et réponse aux demandes d'exercice des droits RGPDExécution du contrat ; obligation légale le cas échéant
Sécurité du service : détection d'intrusion, journalisation technique, traceur de sécurité mémorisant l'adresse IP (apym_device_ip)Intérêt légitime — sécurité et intégrité du service
Conservation des pièces comptables et réponse aux réquisitions des autoritésObligation légale (art. 6.1.c)
Cookies de mesure d'audience (Vercel Analytics, Speed Insights) et de confort (thème d'affichage)Consentement (art. 6.1.a) via le bandeau cookies
Connexion Google Agenda (optionnelle) pour proposer des créneaux aux appelantsExécution du contrat — fonctionnalité activée par l'entreprise cliente
Intégrations optionnelles (récaps Slack ; sync CRM HubSpot en beta)Exécution du contrat — fonctionnalités autorisées par l'entreprise cliente

Nous ne fondons pas le traitement sur une finalité vague d'« amélioration du service » sans lien concret avec l'une des finalités ci-dessus.

4. Données collectées (obligatoires et facultatives)

Données d'identification du compte (obligatoires) : adresse email, mot de passe (stocké sous forme hashée, jamais en clair), nom et prénom.

Données d'entreprise (facultatives à l'inscription): raison sociale ou nom commercial, secteur d'activité (ex. services, commerce, support client), numéro de téléphone professionnel ou de rappel. Le SIRET peut être demandé uniquement dans le cadre de la vérification réglementaire pour une ligne française (+33).

Données de configuration (obligatoires selon l'offre): paramètres de l'assistant vocal, mode de ligne téléphonique (numéro propre ou ligne Apym), consignes métier. Pour une ligne Apym française (+33), données de vérification réglementaire au niveau du compte (extrait Kbis ou équivalent, pièce d'identité du représentant, justificatif de domicile) exigées par l'opérateur télécom (Telnyx) avant attribution du numéro.

Données d'appels (générées par l'usage): numéro de l'appelant, durée, enregistrement audio, transcription, résumé, issue de l'appel (rendez-vous, rappel, etc.), métadonnées techniques.

Données de facturation (obligatoires pour un abonnement payant) : identifiant client Stripe, plan souscrit, consommation de minutes, historique de paiements et factures. Les numéros de carte bancaire ne transitent pas par nos serveurs : ils sont saisis directement chez Stripe.

Données facultatives: connexion Google Agenda ; connexion workspace Slack (récaps d'appels) ; connexion HubSpot CRM (beta, formule Business — contacts, notes et deals après appels) ; numéros de téléphone supplémentaires ; préférence de thème (cookie) ; code parrainage (cookie 30 jours) ; message libre dans le formulaire de contact entreprise.

Données appelants importées (option Pro): numéro de l'appelant, prénom ou libellé de contact, référence externe, statut, résumé, date prévue, hash de code de vérification (jamais le code en clair). Journaux d'audit des consultations (horodatage, méthode, correspondance trouvée ou non, vérification réussie ou non).

Données techniques: logs serveur (dont l'adresse IP source de chaque requête, voir section 18) ; traceur apym_device_ipmémorisant l'IP détectée à la première visite pour la sécurité (voir section 16) ; identifiant de session d'authentification.

5. Conséquences d'un refus (données facultatives et cookies)

Sans les données obligatoires, vous ne pouvez pas créer de compte ni utiliser l'assistant vocal.

Si vous refusez les cookies non essentiels via le bandeau (« Refuser » ou personnalisation sans activer les catégories optionnelles) : le site reste utilisable, mais Vercel Analytics et Speed Insights ne sont pas chargés, et votre préférence de thème ne sera pas mémorisée. Les cookies strictement nécessaires (session, sécurité) restent actifs.

Si vous désactivez la conservation des récaps (voir section 9), les résumés et transcriptions ne s'affichent plus dans votre espace client ni dans l'administration Apym dédiée au suivi. L'assistant vocal et la facturation continuent de fonctionner.

Sans connexion Google Agenda, la prise de rendez-vous automatique sur votre calendrier n'est pas disponible ; vous pouvez toujours recevoir les demandes par récap.

6. Durées de conservation

Type de donnéesDurée
Compte actif (profil, entreprise, configuration)Durée du contrat, puis voir suppression de compte
Historique des modifications d'email et de nom (profile_change_history)Pendant le contrat ; jusqu'à 3 ans après suppression du compte pour litiges, fraude et sécurité (voir section 7)
Récaps d'appels (transcription, résumé) — conservation activéeDurée du contrat ; accessibles tant que le compte est actif
Dossiers appelants importés et journaux d'audit des consultations (tenant_caller_records, tenant_caller_lookup_audit)Durée du contrat ; supprimés avec le compte ou sur demande du client. Les journaux d'audit sont conservés au plus 24 mois à des fins de sécurité et de preuve.
Métadonnées d'appels (durée, numéro, coût) — conservation récaps désactivée24 mois maximum pour facturation et support, sauf obligation légale contraire
Factures et pièces comptables Apym10 ans (obligation légale comptable française)
Données de paiement chez StripeSelon les obligations légales et la politique Stripe
Logs techniques (accès, erreurs, sécurité)12 mois maximum
Traceur apym_device_ip (identifiant IP mémorisé, voir section 16)12 mois
Cookies thème et consentement12 mois
Données conservées après suppression de compte (soft delete)Voir section 15 — 10 ans maximum uniquement pour les cas listés (obligation légale, fraude avérée, réquisition)

La durée de 10 ans après suppressionne s'applique pas à l'ensemble des données. Elle vise uniquement : pièces comptables et facturation ; éléments nécessaires à une enquête de fraude, un contentieux ou une réquisition d'une autorité compétente ; preuves liées à un impayé ou à une violation des CGV. Les transcriptions et résumés d'appels ne sont pas conservés pendant 10 ans par défaut lorsque la conservation des récaps est désactivée.

7. Historique des modifications d'email et de nom

Lorsque vous modifiez votre email ou votre nom dans les paramètres, ou à l'inscription, nous enregistrons l'ancienne et la nouvelle valeur dans un historique interne (profile_change_history).

Finalités : sécurité du compte (détection de prise de contrôle), support client, prévention de la fraude (parrainage, multi-comptes), et preuve en cas de litige contractuel.

Durée :pendant la durée du contrat ; après suppression du compte, conservation limitée jusqu'à 3 ans, sauf obligation légale ou procédure en cours nécessitant une durée plus longue (dans ce cas, 10 ans maximum).

Cet historique n'est pas accessible depuis votre espace client. Seuls les administrateurs habilités d'Apym y accèdent.

8. Intelligence artificielle, profilage et décisions automatisées

L'assistant vocal Apym repose sur de l'IA de synthèse et de compréhension du langage (prestataire Retell). Il accueille l'appelant, pose des questions adaptées à votre activité et peut proposer un créneau de rappel ou de rendez-vous selon la configuration de l'entreprise cliente.

Aucune décision produisant des effets juridiquesou affectant significativement une personne de manière similaire n'est prise de façon entièrement automatisée. Les résultats des appels (qualification, résumé) sont consultables par l'entreprise cliente, qui reste seule décisionnaire vis-à-vis de ses clients.

Apym n'établit pas de profil marketing des appelants. Le traitement est limité à la gestion de l'appel et à la transmission du récap à l'entreprise cliente.

Pour toute question sur le traitement automatisé, contactez legal@apym.io. Une intervention humaine d'Apym ou de l'entreprise cliente est possible sur demande raisonnable.

9. Récaps d'appels et paramètre de conservation

Les récaps comprennent le résumé et, le cas échéant, la transcription de l'appel. Ils sont visibles par vous dans votre espace client et, lorsque la conservation est activée, par l'équipe Apym habilitée pour le support client et la résolution d'incidents.

Dans Paramètres → Conservation des récaps d'appels, vous pouvez désactiver l'affichage et la conservation des récaps dans votre tableau de bord et dans l'administration Apym. Les métadonnées minimales (durée, facturation) peuvent être conservées conformément à la section 6.

Base légale : exécution du contrat pour la conservation consentie via le paramètre ; intérêt légitime ou obligation légale pour les données strictement nécessaires à la facturation, la sécurité ou une réquisition.

10. Localisation des données et transferts hors UE

Nous privilégions le traitement des données au sein de l'Union européenne lorsque c'est possible. Les données de base (comptes, appels, transcriptions) sont hébergées chez un hébergeur situé dans l'Union européenne, sous réserve de la configuration effective de votre compte et de nos prestataires.

Prestataires dont l'infrastructure utilisée pour Apym est située dans l'Union européenne :

  • Vercel (hébergement du site et des API) — région Paris (France)
  • Resend (envoi d'emails transactionnels) — infrastructure en Irlande

Prestataires établis aux États-Unis — transferts possibles : Stripe, Retell et Telnyx sont des sociétés américaines. Si vous connectez des intégrations optionnelles, Slack et HubSpot(beta) le sont également. Même lorsque vous accédez au service depuis l'UE, certaines données (paiement, numéros de téléphone, audio d'appel, transcriptions, métadonnées d'appel, et — si activé — récaps ou fiches CRM) peuvent être traitées aux États-Unis ou dans d'autres pays, selon leurs infrastructures et politiques. Lorsqu'un transfert hors UE est nécessaire, il est encadré par des clauses contractuelles types (CCT) approuvées par la Commission européenne et, le cas échéant, par des mesures complémentaires prévues par le prestataire concerné.

  • Stripe (paiement) — données de facturation, abonnement et moyens de paiement
  • Retell(IA vocale et traitement des appels) — audio, transcripts et métadonnées d'appel
  • Telnyx (numéros de téléphone US +1 et français +33) — attribution et acheminement des lignes Apym
  • Slack(facultatif) — récaps d'appels dans un canal de votre choix
  • HubSpot (facultatif, beta, Business) — contacts, notes et deals CRM après les appels

Les emails transactionnels sont envoyés via Resend (infrastructure en Irlande). Le site et les API sont exécutés sur Vercel (région Paris). Les appels vocaux, les numéros de téléphone et les paiements impliquent Stripe, Retell et Telnyx, avec les transferts décrits ci-dessus. Les connexions Slack et HubSpot optionnelles entraînent les transferts supplémentaires listés lorsque vous les activez.

Lorsque vous acceptez les cookies de mesure d'audience, Vercel Analytics et Speed Insights peuvent également impliquer un traitement par Vercel Inc. (société américaine), y compris hors UE selon leur configuration.

Sur demande via legal@apym.io, nous pouvons vous communiquer les informations disponibles sur les garanties contractuelles applicables (dont les CCT) dans la limite des documents dont nous disposons.

11. Sous-traitants

Nous faisons appel aux sous-traitants suivants, dans la limite de leurs missions et de la configuration en vigueur à la date de la présente politique :

  • Stripe — traitement des paiements et abonnements (voir section 12) ; transferts possibles vers les États-Unis (CCT)
  • Retell — IA vocale, enregistrement et traitement des appels ; transferts possibles vers les États-Unis (CCT)
  • Slack(facultatif — si vous connectez votre workspace) — envoi des récaps d'appels dans un canal de votre choix ; société américaine ; jetons OAuth stockés par compte
  • HubSpot (facultatif, beta — formule Business, si vous connectez votre portail) — création ou mise à jour de contacts, notes et deals CRM après les appels ; société américaine ; jetons OAuth stockés par compte
  • Telnyx — fourniture et acheminement des numéros US (+1) et français (+33) ; transferts possibles vers les États-Unis (CCT)
  • Resend— envoi d'emails transactionnels depuis notifications@apym.io (récaps, alertes, support) ; infrastructure en Irlande (UE)
  • Vercel— hébergement et exécution de l'application web ; région Paris (France, UE)
  • Hébergeur UE — stockage principal des comptes, appels et données métier

Chaque sous-traitant est sélectionné pour sa mission et encadré contractuellement (accords de sous-traitance et, lorsque requis, clauses de transfert). La liste peut évoluer ; la présente politique sera mise à jour en conséquence. Les sous-traitants américains ne traitent que les données strictement nécessaires à leur mission.

12. Rôle de Stripe et données de paiement

Stripe agit comme prestataire de paiement indépendant. Apym ne collecte ni ne stocke les numéros de carte bancaire sur ses propres serveurs.

Données transmises à ou gérées par Stripe :

  • Identifiant client Stripe lié à votre compte Apym
  • Email de facturation, nom, adresse si vous les saisissez dans le portail Stripe
  • Montants, abonnements, factures et statut des paiements
  • Données de carte — saisies et stockées uniquement chez Stripe (certifié PCI-DSS)

La politique de confidentialité de Stripe s'applique en complément : stripe.com/fr/privacy.

13. Sécurité

Nous mettons en œuvre des mesures adaptées au risque, notamment :

  • Chiffrement des échanges (HTTPS / TLS) sur l'ensemble du site et de l'API
  • Mots de passe hashés — jamais stockés en clair
  • Accès aux données de production restreint aux personnes habilitées et authentifiées
  • Isolation logique des comptes clients (chaque entreprise cliente n'accède qu'à ses données)
  • Surveillance des accès administrateurs et journalisation des opérations sensibles
  • Hébergement dans des centres de données conformes aux standards du marché
  • Données appelants importées : accès restreint par compte (RLS), codes de vérification hachés (HMAC), webhooks signés et URLs tokenisées, limitation du débit sur les consultations

Aucune mesure n'offre une sécurité absolue. En cas de violation de données susceptible d'engendrer un risque pour vos droits, nous vous en informerons conformément au RGPD.

14. Vos droits (RGPD)

Vous disposez des droits suivants : accès, rectification, effacement, limitation du traitement, opposition, portabilité, et retrait du consentement (pour les traitements fondés sur le consentement, sans effet rétroactif).

Comment exercer vos droits : envoyez une demande à legal@apym.ioen précisant l'objet de votre demande et un moyen de vérifier votre identité.Nous répondons dans un délai d'un mois à compter de la réception (prolongeable de deux mois si la demande est complexe, avec information préalable).

Réclamation : vous pouvez introduire une réclamation auprès de la CNIL — cnil.fr.

Les appelants de vos clients exercent leurs droits auprès de vous en tant qu'entreprise responsable du traitement ; Apym vous assiste dans la limite de son rôle de sous-traitant sur demande via legal@apym.io.

15. Suppression de compte

Vous pouvez demander la suppression depuis Paramètres → Supprimer mon compte. Les impayés et minutes hors forfait en attente doivent être régularisés au préalable (voir CGV).

Effet immédiat :coupure de l'accès, désactivation de l'assistant vocal, résiliation de l'abonnement Stripe, déconnexion de Google Agenda.

Données conservées (soft delete) : seules les catégories listées ci-dessous peuvent être conservées après suppression, et uniquement pour la durée strictement nécessaire à chaque finalité :

  • Factures et éléments comptables — 10 ans (obligation légale)
  • Preuves en cas de fraude, impayé ou violation des CGV — jusqu'à 10 ans si une procédure l'exige
  • Réponse à une réquisition judiciaire ou administrative — durée imposée par l'autorité
  • Historique email/nom — jusqu'à 3 ans (section 7), sauf cas ci-dessus

Au-delà de ces cas, les données sont purgées ou anonymisées dès que possible. Une purge définitive (suppression technique) peut être effectuée par Apym lorsque la loi le permet. Apym ne conserve pas l'ensemble de vos données personnelles pendant 10 ans par défaut.

16. Traceur de sécurité (apym_device_ip) et adresse IP

L'adresse IPest une donnée à caractère personnel lorsqu'elle peut permettre d'identifier un terminal ou, indirectement, une personne. Apym la traite de deux manières distinctes, qui ne doivent pas être confondues :

  • Logs serveur(section 18) : l'adresse IP source est enregistrée dans les journaux techniques de chaque requête, pour le fonctionnement et la sécurité du service.
  • Traceur apym_device_ip: cookie httpOnly déposé lors de la première requête sur le site, qui mémorise l'adresse IP détectée à ce moment. Il sert à corréler des sessions et à limiter les abus (tentatives de connexion, fraude). Ce traceur n'est pasun cookie de session d'authentification : il ne contient pas votre mot de passe ni votre identifiant de compte.

Finalité du traceur : sécurité du service, prévention de la fraude et limitation des accès abusifs.

Durée : 12 mois, renouvelable tant que vous utilisez le service.

Base légale : intérêt légitime — sécurité et intégrité du service (art. 6.1.f RGPD). Ce traceur est considéré comme strictement nécessaireau sens de la réglementation sur les cookies et traceurs : il est déposé sans consentement préalable, distinctement des cookies de mesure d'audience ou de confort.

17. Appelants (clients finaux des entreprises clientes)

Lors de chaque appel traité par Apym, un message d'accueilinforme l'appelant que l'appel est enregistré et traité par un assistant vocal (IA). L'entreprise cliente est responsable du traitement vis-à-vis de ses appelants et doit s'assurer que cette information est conforme à son propre contexte d'activité.

Les appelants ne créent pas de compte Apym. Leurs données sont traitées pour la durée nécessaire à l'appel, au récap transmis à l'entreprise cliente et aux durées de la section 6.

18. Logs techniques

Nos serveurs et l'hébergeur enregistrent des logs techniques : horodatage, URL demandée, code de réponse, identifiant de requête, adresse IP source, user-agent, erreurs applicatives.

Finalités :fonctionnement du service, diagnostic d'incident, sécurité et prévention des attaques.

Durée : 12 mois maximum, sauf conservation plus longue requise pour une enquête de sécurité ou une obligation légale en cours.

19. Données professionnelles et personnelles (clients B2B)

Apym s'adresse aux PME et entreprises (B2B). Les données que vous renseignez au nom de votre entreprise (SIRET, raison sociale, téléphone pro, consommation du service) relèvent de votre activité professionnelle.

Votre email et nom de contact peuvent être des données personnelles vous concernant en tant que personne physique agissant pour le compte de votre entreprise. Elles sont traitées conjointement pour la gestion du contrat B2B et la relation commerciale.

La facturation et les pièces comptables concernent la relation commerciale Apym ↔ entreprise cliente, distincte de la comptabilité que vous tenez pour vos propres clients.

20. Cookies et traceurs

Lors de votre première visite, un bandeau vous permet d'accepter, de refuser ou de personnaliser les cookies non essentiels. Votre choix est enregistré dans apym_cookie_consent (12 mois). Vous pouvez le modifier à tout moment via « Gérer les cookies » en bas de page ou dans Paramètres → Cookies et traceurs.

Les cookies strictement nécessaires (session d'authentification, sécurité) sont déposés sans consentement préalable pour permettre la connexion à votre espace client et la protection du service.

Catégories

  • Strictement nécessaires— toujours actifs (session d'authentification, traceur de sécurité apym_device_ip).
  • Mesure d'audience — Vercel Analytics et Speed Insights, chargés uniquement si vous acceptez cette catégorie.
  • Confort— préférence d'affichage (apym_theme), uniquement si vous acceptez cette catégorie.
NomFinalitéDuréeBase légale
session authMaintien de votre session connectée à l'espace clientSession ou renouvellement automatiqueStrictement nécessaire — exécution du contrat
apym_device_ipTraceur de sécurité : mémorise l'adresse IP détectée à la première visite pour limiter les abus (voir section 16 — distinct des logs serveur)12 moisStrictement nécessaire — intérêt légitime (sécurité)
apym_cookie_consentMémorisation de vos choix (acceptation, refus ou personnalisation par catégorie)12 moisConsentement
apym_themePréférence d'affichage (clair / sombre)12 moisConsentement — catégorie Confort
Vercel AnalyticsMesure d'audience anonymisée (pages vues, navigation). Chargé uniquement après acceptation de la catégorie « Mesure d'audience ».Variable (selon Vercel, max. 24 mois)Consentement — catégorie Mesure d'audience
Vercel Speed InsightsMesure des performances de chargement (Core Web Vitals). Chargé uniquement après acceptation de la catégorie « Mesure d'audience ».Variable (selon Vercel)Consentement — catégorie Mesure d'audience
apym_referral_codeMémorisation d'un code parrainage avant inscription30 joursIntérêt légitime — exécution du contrat (parrainage)

Vous pouvez retirer votre consentement via « Gérer les cookies » en bas de page ou dans Paramètres. Vous pouvez aussi supprimer les cookies via votre navigateur. La suppression du cookie de session entraîne une déconnexion. Refuser les cookies non essentiels n'empêche pas l'accès au site public (voir section 5).

21. Mise à jour de cette politique

Dernière révision : 12 juin 2026. Nous pouvons modifier cette politique pour refléter l'évolution du service ou de la réglementation. En cas de changement substantiel, nous vous en informerons par email ou via un avis dans l'espace client au moins 30 jours avant l'entrée en vigueur, lorsque la loi l'exige ou que le changement affecte significativement vos droits.

La version en vigueur est toujours disponible sur cette page. En cas de contradiction entre documents, les CGV prévalent pour les aspects contractuels et commerciaux ; la présente politique prévaut pour le traitement des données personnelles.

← Retour