Politique de confidentialité

1. Données collectées

Oranis accède à votre compte Google avec votre autorisation explicite via OAuth 2.0. Les données traitées sont :

• Adresse email de votre compte Google (identifiant de connexion)
• Contenu des emails reçus — le corps complet de l'email peut être lu temporairement pour traiter le message, mais il n'est pas stocké de manière permanente. Oranis conserve seulement un aperçu court (100 caractères) pour l'affichage dans le dashboard.
• Labels Gmail — créés et appliqués pour organiser votre boîte (ex : "Agenda", "Urgent", "Répondre")
• Événements Google Calendar — lus pour calculer vos disponibilités, créés ou modifiés selon vos demandes
• Tokens OAuth (accès + refresh) — stockés en base de données (chiffrement au repos assuré par l'hébergeur)
• Métadonnées de traitement — identifiant de message, catégorie attribuée, date — pour éviter les retraitements
• Paramètres de compte — langue, horaires de travail, préférences de rédaction

2. Accès aux API Google — Utilisation limitée

L'utilisation et le transfert vers des tiers des informations reçues des API Google respectent la Politique des services API Google pour les données utilisateur (Google API Services User Data Policy), y compris les exigences d'utilisation limitée (Limited Use requirements).

En particulier, Oranis :

• N'utilise pas les données Gmail ou Calendar à des fins publicitaires
• Ne permet pas à des humains de lire le contenu de vos emails, sauf sur votre demande explicite (support) ou pour obligation légale
• Ne transfère pas vos données Google à des tiers sauf dans les cas décrits ci-dessous (sous-traitants nécessaires au service)
• N'utilise pas les données obtenues via les API Google pour entraîner des modèles d'IA généraux

3. Utilisation des données

Vos données sont utilisées exclusivement pour fournir le service :

• Classifier vos emails entrants par catégorie (agenda, urgent, information, réponse requise)
• Générer des brouillons de réponses — jamais envoyés sans votre validation explicite
• Détecter les demandes de rendez-vous et créer des événements tentatives dans Google Calendar
• Organiser votre boîte via des labels Gmail dédiés
• Calculer vos créneaux disponibles à partir de votre agenda

Nous ne vendons pas vos données et ne les utilisons pas à des fins autres que le fonctionnement du service.

Ce qu'Oranis ne fait jamais

• Aucun email envoyé sans votre validation — Oranis prépare des brouillons, vous seul les envoyez. Aucune action automatique sur votre boîte d'envoi.
• Modifier ou supprimer vos emails existants
• Accéder à vos pièces jointes, vos contacts ou votre historique Gmail complet
• Partager vos données avec des tiers à des fins publicitaires ou commerciales
• Utiliser vos données pour entraîner des modèles d'IA

4. Ce qui est stocké dans notre base de données

Pour chaque email traité, Oranis stocke en base de données :

• L'identifiant du message Gmail (pas le contenu)
• L'expéditeur, le sujet et un aperçu de 100 caractères du corps (pour l'affichage dans le dashboard)
• La catégorie attribuée et la date de traitement
• Le brouillon de réponse généré, le cas échéant (jusqu'à son envoi ou sa suppression)

Le corps complet de vos emails n'est pas stocké de manière permanente — il est lu, transmis à l'IA pour traitement, puis écarté.

5. Sous-traitants et transmission à l'IA

Pour fonctionner, Oranis fait appel aux sous-traitants suivants :

• OpenAI (API) — Le contenu nécessaire à la classification et à la génération de brouillons est transmis à l'API OpenAI. Concrètement : le sujet de l'email et jusqu'à 2 000 caractères du corps peuvent être envoyés selon l'opération (classification, rédaction de réponse, gestion de relance). La détection de dates pour l'agenda est effectuée localement, sans transmission à OpenAI. Oranis limite cet usage au fonctionnement du produit et ne vend pas vos données. OpenAI n'utilise pas les données soumises via l'API pour entraîner ses modèles (voir politique OpenAI).
• Stripe — Traitement des paiements. Stripe est certifié PCI-DSS. Oranis ne stocke aucune donnée bancaire. Voir politique Stripe.
• Railway Corp. — Hébergement de l'application et de la base de données (voir section suivante).

6. Hébergement et localisation des données

Oranis est hébergé par Railway Corp. (548 Market St PMB 72878, San Francisco, CA 94104, États-Unis). Les données, y compris les tokens OAuth, sont stockées sur des serveurs situés aux États-Unis.

Ce transfert hors UE est encadré par les clauses contractuelles types (CCT) de la Commission européenne. Railway Corp. est soumis aux lois américaines applicables à la protection des données.

7. Conservation et suppression

• Tokens OAuth — conservés tant que le compte est actif, supprimés à la clôture du compte
• Métadonnées de traitement (ID message, catégorie, date) — conservées pour éviter les retraitements ; supprimables sur demande
• Paramètres de compte — conservés tant que le compte est actif
• Données de facturation — conservées 10 ans conformément aux obligations comptables légales françaises

Comment supprimer vos données :

• Déconnecter Google d'Oranis — depuis /settings, supprime immédiatement les jetons OAuth stockés. Oranis ne lit plus aucun nouvel email.
• Révoquer l'accès côté Google — depuis myaccount.google.com/permissions. Coupe l'autorisation chez Google, effet immédiat.
• Suppression complète du compte et des données — depuis /settings, bouton « Supprimer mon compte ». Suppression immédiate et irréversible : jetons OAuth, métadonnées emails traités, brouillons stockés, paramètres, réservations agenda. Si vous avez un abonnement actif, annulez-le d'abord depuis /billing. À défaut, vous pouvez écrire à contact@oranis.fr.

8. Vos droits (RGPD)

Conformément au Règlement (UE) 2016/679 (RGPD), vous disposez des droits suivants sur vos données personnelles :

• Droit d'accès — obtenir la liste des données vous concernant
• Droit de rectification — corriger des données inexactes
• Droit à l'effacement — demander la suppression de votre compte et de vos données
• Droit à la portabilité — recevoir vos données dans un format structuré
• Droit d'opposition — vous opposer à un traitement

Pour exercer ces droits : contact@oranis.fr. Réponse sous 30 jours. En cas de litige, vous pouvez saisir la CNIL.

Base légale du traitement : exécution du contrat (art. 6.1.b RGPD) pour les données nécessaires au service ; consentement explicite (art. 6.1.a) pour l'accès aux API Google.

9. Data Protection and Security

This section describes the technical and organizational measures in place to protect user data, in compliance with the Google API Services User Data Policy.

• OAuth consent — Access to Google data (Gmail, Calendar) is granted exclusively through Google's OAuth 2.0 authorization flow. Oranis never accesses Google account data without the user's explicit prior consent.
• Minimal scopes — Oranis requests only the permissions strictly necessary to operate the service: gmail.modify, calendar.events, and userinfo.email. No broader access is requested.
• Encrypted transport — All data exchanged between the user's browser, Oranis servers, and third-party APIs (Google, OpenAI) is transmitted over HTTPS/TLS. Unencrypted HTTP connections are not accepted in production.
• Secure token storage — OAuth access and refresh tokens are stored server-side in a managed PostgreSQL database (Railway). Tokens are never exposed to the browser or transmitted to third parties.
• Limited data access — Google Workspace data is accessed solely to perform actions explicitly requested by the user (email classification, draft generation, calendar management). No background data mining or automated profiling is performed beyond what is necessary for the service.
• No data sales — User data, including data obtained from Google APIs, is never sold, rented, or transferred to third parties for commercial or advertising purposes.
• No AI training on Google Workspace data — Data obtained via Google APIs is not used to train, fine-tune, or improve general-purpose AI models. Email content processed by OpenAI's API is governed by OpenAI's API data usage policy, which prohibits training on API-submitted data.
• User revocation — Users can revoke Oranis's access to their Google account at any time via myaccount.google.com/permissions. Revocation immediately stops all data processing by Oranis.
• Right to deletion — Users may request complete deletion of their account and all associated data by contacting contact@oranis.fr. Requests are processed within 30 days.
• Internal access controls — Access to user data within Oranis's infrastructure is restricted to operations required for maintenance, security monitoring, or technical support. No personnel reads the content of user emails except when explicitly authorized by the user or required by applicable law.

10. Contact

Responsable du traitement : Nolan Vladimir Vercasson
Email : contact@oranis.fr
Adresse : 112 Avenue du Pont Juvénal, 34000 Montpellier, France