Politique de confidentialité
OMB Cloud AES (« OMB Cloud », « nous », « notre ») est une plateforme SaaS multi-tenant qui permet à des clients d'entreprise de gérer la vente, le marketing, la publication de contenu et les opérations client depuis un tableau de bord unifié. Cette Politique de confidentialité explique comment nous collectons, utilisons, partageons, conservons et protégeons les données personnelles, y compris celles obtenues via les API de Meta Platforms (Facebook et Instagram) et de Google (Gmail, Calendar, Drive) lorsque nos clients connectent leurs propres comptes professionnels.
1. Qui nous sommes (Responsable du traitement)
Le responsable du traitement des données personnelles traitées via omb.cloud et la plateforme OMB Cloud AES est l'entité opératrice du réseau OMB® (Online Media Builders®) correspondant à votre juridiction. Les données personnelles de chaque utilisateur sont contrôlées par l'entité OMB qui signe la relation commerciale dans ce marché :
- France et Espace Économique Européen : l'entité française du réseau OMB. La raison sociale exacte, le SIRET et le numéro de TVA intracommunautaire sont fournis à la signature du contrat et à toute demande des personnes concernées au titre du RGPD.
- Espagne : l'entité espagnole du réseau OMB. Raison sociale et CIF fournis au contrat et aux demandes au titre du RGPD.
- Amérique latine (Mexique, etc.) : l'entité mexicaine du réseau OMB. Raison sociale et RFC fournis au contrat et aux demandes au titre de la LFPDPPP.
- États-Unis et Canada : l'entité nord-américaine du réseau OMB. Raison sociale et EIN fournis au contrat et aux demandes des personnes concernées.
Nous consolidons actuellement les enregistrements d'entités transfrontaliers. Tant que cette consolidation n'est pas achevée, vous pouvez adresser toute demande de protection des données, exercice de droits ou requête légale à privacy@omb.cloud ; nous nous engageons à identifier l'entité juridique responsable pour votre juridiction et à répondre sous cinq (5) jours ouvrés. Les demandes de suppression de données Meta Platforms, les demandes de données utilisateur Google et autres demandes des autorités sont traitées par le même canal et le même délai.
- Confidentialité / demandes de données : privacy@omb.cloud
- Service juridique : legal@omb.cloud
- Contact général : hello@omb.cloud
- Adresse postale : disponible sur demande à
legal@omb.cloud.
Pour les utilisateurs en France, vous pouvez exercer vos droits via le canal ci-dessus. L'autorité de contrôle compétente est la CNIL (Commission Nationale de l'Informatique et des Libertés).
2. Portée
Cette Politique couvre les données personnelles traitées lorsque vous :
- Visitez notre site marketing à
omb.cloud(et ses versions localisées). - Vous inscrivez ou utilisez le produit OMB Cloud AES en tant que titulaire de compte, administrateur ou utilisateur final (un « Utilisateur »).
- Communiquez avec nous par email, chat ou formulaire web.
- Connectez des services tiers à OMB Cloud — y compris Meta Platforms (Facebook et Instagram), les services Google et d'autres intégrations que vous activez.
Les clients d'OMB Cloud (chacun un « Tenant ») agissent comme responsables du traitement des données personnelles qu'ils chargent ou collectent via la plateforme. Dans ce cas, OMB Cloud agit comme sous-traitant (data processor) pour le compte du Tenant et ne traite les données que selon ses instructions.
3. Informations que nous collectons
3.1 Informations que vous fournissez directement
- Compte et identité : nom, email professionnel, téléphone, mot de passe (hashé), photo de profil, rôle dans votre organisation.
- Données du Tenant et de l'entreprise : nom de l'entreprise, identifiants fiscaux (ex. SIRET, RFC, EIN, NIF/CIF), adresse fiscale, devise, pays.
- Contenu que vous créez : contacts, leads, opportunités, devis, factures, fichiers, copy marketing, brouillons sociaux et tout autre contenu stocké dans la plateforme.
- Données de paiement : traitées par notre prestataire de paiement ; nous ne conservons que les quatre derniers chiffres et les métadonnées de facturation.
- Communications : messages que vous nous envoyez par email, chat ou tickets de support.
3.2 Informations des plateformes connectées (intégrations tierces)
Lorsque vous autorisez une connexion entre OMB Cloud et un service tiers, nous recevons des données de ce service via ses API officielles. Les informations dépendent de l'intégration et des scopes (autorisations) que vous accordez :
- Meta Platforms (Facebook et Instagram) : voir Section 5 ci-dessous pour la divulgation complète.
- Services Google (Gmail, Calendar, Drive) : uniquement les scopes que vous autorisez. Nous nous conformons à la Politique d'utilisation des données utilisateur des services API Google, y compris les exigences de Limited Use.
- Autres intégrations que vous activez dans le produit, avec les scopes que vous accordez.
3.3 Informations collectées automatiquement
- Données d'utilisation et appareil : adresse IP, user agent, langue, type d'appareil, pages vues, actions réalisées, horodatages.
- Cookies et technologies similaires : cookies de session (obligatoires pour l'authentification), cookies de préférences et analytics propriétaire. Voir notre Politique relative aux cookies.
- Journaux : journaux de sécurité et d'audit (ex. connexions, modifications de configuration, événements de publication).
4. Comment nous utilisons les données personnelles
Nous utilisons les données personnelles aux fins suivantes :
- Pour exploiter, sécuriser et améliorer la plateforme OMB Cloud AES.
- Pour authentifier les Utilisateurs et protéger la plateforme contre la fraude et l'abus.
- Pour exécuter les actions que vous demandez depuis le produit, y compris la publication de contenu sur les plateformes que vous avez connectées.
- Pour fournir un support client et répondre à vos demandes.
- Pour envoyer des notifications liées au service (alertes de sécurité, facturation, mises à jour).
- Pour respecter nos obligations légales, y compris les règles fiscales et de lutte contre le blanchiment lorsqu'applicables.
- Pour envoyer des communications marketing sur OMB Cloud lorsque la loi le permet et que vous ne vous y êtes pas opposé.
Bases légales (RGPD) : exécution d'un contrat, intérêts légitimes (sécurité, amélioration du service, marketing B2B), respect d'obligations légales et votre consentement (ex. pour les cookies non essentiels et certains envois marketing).
5. Données Meta Platforms — Facebook et Instagram
OMB Cloud s'intègre avec Meta Platforms (Facebook et Instagram) via la Graph API officielle de Meta. Nous n'accédons aux Données de Plateforme Meta qu'avec votre autorisation explicite et uniquement pour effectuer les actions que vous initiez depuis OMB Cloud. Cette section est fournie pour satisfaire aux Platform Terms et Developer Policies de Meta.
5.1 Autorisations que nous demandons et pourquoi
| Autorisation | Pourquoi nous en avons besoin |
|---|---|
pages_show_list | Pour afficher la liste des Pages Facebook que vous administrez et que vous puissiez choisir laquelle connecter à OMB Cloud. |
pages_manage_posts | Pour créer, programmer, éditer et supprimer des publications sur les Pages Facebook que vous avez connectées, uniquement lorsque vous lancez cette action depuis OMB Cloud. |
instagram_basic | Pour lire le profil public et les médias récents du compte Instagram Business lié à votre Page connectée (nom, photo de profil, posts) et vous permettre de prévisualiser et gérer le contenu depuis notre tableau de bord. |
instagram_content_publish | Pour publier images, vidéos, carrousels et Reels que vous composez dans OMB Cloud sur le compte Instagram Business connecté, uniquement lorsque vous lancez la publication. |
5.2 Ce que nous recevons de Meta
- La liste des Pages Facebook que vous administrez (nom, ID, catégorie, page access token).
- Informations de base du compte Instagram Business associé à chaque Page (nom d'utilisateur, ID, photo de profil, nombre d'abonnés quand disponible).
- Le contenu que vous créez ou publiez via OMB Cloud, ainsi que les métriques d'engagement (likes, commentaires, portée) de ce contenu.
- Les tokens OAuth émis à OMB Cloud pour l'Utilisateur et les Pages que vous autorisez.
5.3 Ce que nous faisons avec les Données Meta
- Afficher les Pages et comptes Instagram Business connectés dans votre tableau de bord OMB Cloud.
- Publier, programmer, éditer ou supprimer du contenu uniquement lorsque vous (ou un autre Utilisateur autorisé du même Tenant) nous l'indiquez.
- Vous montrer les métriques d'engagement de base du contenu publié via OMB Cloud.
- Conserver des journaux d'audit des actions de publication à des fins de sécurité et de redevabilité.
5.4 Ce que nous NE faisons PAS avec les Données Meta
- Nous ne vendons, ne louons ni n'échangeons les Données Meta Platforms.
- Nous n'utilisons pas les Données Meta pour le ciblage publicitaire, les réseaux publicitaires, l'intermédiation de données ou la construction de profils publicitaires.
- Nous n'utilisons pas les Données Meta pour développer, entraîner ou affiner des modèles de machine learning fonctionnant indépendamment de l'Utilisateur ayant fourni les données.
- Nous n'accédons pas à des Pages, comptes ou contenus que vous n'avez pas explicitement connectés à OMB Cloud.
5.5 Stockage, conservation et suppression des Données Meta
- Nous n'utiliserons les Données Meta Platforms qu'aux fins limitées décrites dans cette Politique, ne les conserverons pas plus longtemps que nécessaire et les supprimerons quand elles ne seront plus nécessaires (ou plus tôt si vous révoquez notre accès ou clôturez votre compte).
- Les tokens OAuth sont stockés chiffrés au repos et utilisés uniquement pour appeler les API Meta en votre nom.
- Le contenu publié via OMB Cloud et ses métadonnées associées sont conservés tant que votre compte est actif et jusqu'à 90 jours après déconnexion ou clôture, sauf si la loi exige une conservation plus longue.
- Vous pouvez révoquer l'accès d'OMB Cloud à tout moment depuis les paramètres « Intégrations professionnelles » de votre compte Facebook, ou depuis OMB Cloud (Paramètres → Comptes connectés → Déconnecter). Révoquer l'accès stoppe tout accès ultérieur à vos Données Meta.
- Pour demander la suppression de vos Données Meta, écrivez à privacy@omb.cloud avec l'objet « Suppression données Meta » en identifiant la Page ou le compte Instagram. Nous confirmerons la suppression sous 30 jours.
6. Données des API Google — Gmail, Drive, Calendar, Search Console, Analytics, Ads et Business Profile
OMB Cloud s'intègre aux services Google via leurs API officielles dans plusieurs modules du produit : les flux d'inbox et documents du CRM (Gmail, Drive, Calendar) et les modules marketing (Search Console pour le SEO, Google Analytics pour les insights de trafic, Google Ads pour la gestion média et la recherche de mots-clés, et Google Business Profile pour la présence locale). Nous n'accédons aux Données Google qu'avec votre autorisation explicite via OAuth, et uniquement pour effectuer les actions que vous initiez dans OMB Cloud. Cette section est incluse pour respecter la Google API Services User Data Policy, y compris les exigences de Limited Use.
6.1 Scopes que nous demandons et pourquoi
| Scope | Pourquoi nous en avons besoin |
|---|---|
userinfo.emailuserinfo.profile | Pour identifier le compte Google en cours de connexion et afficher son email, nom et avatar dans OMB Cloud, afin que vous sachiez quelle boîte est liée. |
gmail.readonly | Pour afficher les messages entrants et existants de votre Gmail dans la vue inbox d'OMB Cloud, et trier ainsi leads, devis et recouvrement sans quitter le CRM. |
gmail.send | Pour envoyer des messages depuis votre adresse Gmail lorsque vous (ou un agent IA que vous avez configuré) composez une réponse, un devis, une facture ou une relance dans OMB Cloud. |
drive.file | Pour créer et lire uniquement les fichiers qu'OMB Cloud génère dans votre Drive (PDF de devis, factures, rapports exportés, pièces jointes de webforms). Ce scope ne donne pas accès à d'autres fichiers de votre Drive. |
calendar (le cas échéant) | Pour créer, mettre à jour et lire des événements de calendrier liés aux relances, rendez-vous et rappels que vous planifiez depuis OMB Cloud. |
webmasters.readonly( webmasters au besoin) | Google Search Console — pour lire l'état d'indexation, les search analytics, les sitemaps et les propriétés vérifiées autorisées, et les afficher dans le module SEO d'OMB Cloud. L'accès en écriture n'est demandé que lorsque vous utilisez explicitement OMB Cloud pour soumettre un sitemap ou demander une réindexation. |
analytics.readonly | Google Analytics 4 — pour lire métadonnées de propriété, dimensions et métriques des propriétés GA4 autorisées, et afficher des rapports dans les dashboards analytics d'OMB Cloud. |
adwords | Google Ads — pour lire la performance des campagnes, gérer campagnes, groupes d'annonces, annonces, budgets et enchères, et interroger Keyword Planner sur les comptes autorisés. Toutes les actions sont déclenchées explicitement depuis OMB Cloud. |
business.manage | Google Business Profile — pour lire et mettre à jour les fiches d'établissement (infos, horaires, photos, posts, services), répondre aux avis et voir les insights des établissements autorisés. |
6.2 Ce que nous recevons de Google
- Informations basiques du profil du compte Google connecté (email, nom, URL d'avatar).
- Métadonnées et contenu des emails Gmail affichés dans la vue inbox d'OMB Cloud (expéditeur, destinataires, objet, corps, pièces jointes), tant que le compte est connecté.
- Le contenu des messages que vous composez et envoyez via OMB Cloud, avec les IDs de message et de fil associés.
- Tokens OAuth d'accès et de rafraîchissement émis par Google pour l'Utilisateur et les scopes autorisés. Tokens chiffrés au repos.
- Fichiers qu'OMB Cloud crée dans votre Drive pour votre compte (ex. PDF de devis) et leurs métadonnées.
- Données Search Console des propriétés vérifiées autorisées : requêtes, clics, impressions, CTR, position moyenne, état d'indexation, sitemaps et erreurs d'exploration.
- Données Google Analytics 4 des propriétés autorisées : dimensions et métriques de trafic, audience, acquisition, comportement et conversions, plus métadonnées de propriété.
- Données Google Ads des comptes autorisés : définitions de campagnes, groupes d'annonces, annonces et mots-clés ; métriques de performance (impressions, clics, conversions, coût) ; configurations d'audience et d'enchères ; et résultats de Keyword Planner lorsque vous lancez de la recherche de mots-clés depuis OMB Cloud.
- Données Google Business Profile des établissements autorisés : champs de fiche, posts, photos, avis, Q&R et insights.
6.3 Ce que nous faisons avec les Données Google
- Afficher votre inbox Gmail, fils et messages dans OMB Cloud pour que vous puissiez trier et répondre dans le même espace de travail que votre CRM, vos leads et vos factures.
- Envoyer des emails depuis votre adresse Gmail autorisée uniquement quand vous (ou un agent IA configuré) déclenchez cette action depuis OMB Cloud.
- Joindre des documents générés automatiquement (PDF de devis, factures, rapports) au dossier Drive créé par OMB Cloud et les lier dans les messages sortants.
- Traiter le contenu des messages entrants avec les fonctions IA que vous avez activées (classification, résumés, brouillons de réponse). Voir Section 6.4.
- Afficher données de performance et d'indexation Search Console pour vos propriétés vérifiées dans le module SEO d'OMB Cloud, et soumettre sitemaps ou demandes de réindexation lorsque vous les déclenchez.
- Afficher rapports de trafic, audience et conversions Google Analytics dans les dashboards analytics d'OMB Cloud, y compris des résumés narratifs générés par IA quand les fonctions IA sont activées.
- Gérer campagnes, groupes d'annonces, annonces, mots-clés, budgets et enchères Google Ads depuis le module de gestion Google Ads, y compris l'exécution de requêtes Keyword Planner, uniquement lorsque vous lancez ces actions.
- Gérer les fiches Google Business Profile (info, horaires, photos, posts, avis) depuis le module de présence locale, uniquement lorsque vous lancez ces actions.
- Conserver des journaux d'audit des actions d'envoi et de modification, à des fins de sécurité, prévention d'abus et redevabilité.
6.4 Traitement par IA des Données Google
OMB Cloud propose des fonctions optionnelles assistées par IA (l'« AI Workforce ») : classification des messages entrants, résumés, rédaction de réponses et exécution de flux que vous configurez explicitement. Lorsque ces fonctions sont activées par l'administrateur de votre Tenant :
- Le contenu des emails de votre compte Gmail connecté peut être envoyé à des fournisseurs entreprise de modèles de langage (LLM) sous contrats écrits qui interdisent l'entraînement sur les données client et imposent une rétention zéro au-delà de l'appel API nécessaire pour produire la sortie demandée.
- OMB Cloud n'utilise pas les Données Google — y compris le contenu Gmail, fichiers Drive ou événements Calendar — pour développer, améliorer ou entraîner des modèles généralisés ou tiers d'intelligence artificielle ou de machine learning.
- Les sorties produites par les agents IA (ex. réponses rédigées, résumés) sont clairement attribuées à l'agent dans le produit et, lorsqu'elles sont envoyées par email, signées au nom et avec le rôle de l'agent en représentation de votre Tenant — elles ne se font jamais passer pour vous en tant qu'utilisateur humain.
- Vous pouvez désactiver les fonctions IA au niveau du Tenant ou par utilisateur à tout moment sans perdre l'accès au reste d'OMB Cloud.
6.5 Ce que nous NE faisons PAS avec les Données Google
- Nous ne vendons, ne louons ni n'échangeons les Données Google.
- Nous n'utilisons pas les Données Google pour la publicité, le ciblage, les réseaux publicitaires, l'intermédiation de données ni la construction de profils publicitaires.
- Nous n'utilisons pas les Données Google pour développer, améliorer ou entraîner des modèles généralisés ou tiers d'IA/ML, y compris des modèles de fondation.
- Nous n'autorisons pas d'humains à lire vos Données Google, sauf (a) avec votre consentement explicite (ex. ticket de support ouvert par vous), (b) pour des investigations de sécurité sur des abus ou fraudes spécifiques, (c) pour respecter la loi applicable ou un processus légal valide, ou (d) sous forme agrégée et anonymisée ne permettant pas raisonnablement l'identification d'un individu.
- Nous n'accédons à aucune boîte, fichier ou événement de calendrier non explicitement autorisé via l'écran de consentement OAuth.
6.6 Stockage, conservation et suppression des Données Google
- Les tokens OAuth d'accès et de rafraîchissement sont stockés chiffrés au repos et utilisés uniquement pour appeler les API Google en votre nom.
- Le contenu des emails est récupéré à la demande et mis en cache temporairement pour afficher l'inbox ; les corps en cache sont purgés sous 30 jours, sauf si vous les archivez explicitement (ex. en les attachant à une fiche CRM).
- Les métadonnées des messages envoyés (destinataires, objet, timestamp, ID de message) sont conservées tant que la fiche CRM associée est active, pour que vous puissiez auditer l'historique des communications.
- Les fichiers Drive créés par OMB Cloud restent dans votre Drive sous votre contrôle ; nous gardons des références à eux dans notre base, pas de copies dupliquées.
- Vous pouvez révoquer l'accès d'OMB Cloud à tout moment depuis la page des autorisations de votre compte Google ou depuis OMB Cloud (Paramètres → Comptes connectés → Déconnecter). Révoquer arrête tout appel ultérieur aux API Google et déclenche la suppression des Données Google stockées sous 30 jours, sauf si la loi exige une conservation plus longue.
- Pour demander la suppression de vos Données Google, écrivez à privacy@omb.cloud avec l'objet « Suppression données Google » en identifiant l'email Google connecté. Nous confirmerons la suppression sous 30 jours.
7. Comment nous partageons les données
Nous ne vendons pas de données personnelles. Nous ne partageons que dans les circonstances suivantes :
- Prestataires : nous utilisons un nombre réduit de prestataires évalués pour l'hébergement cloud, l'email transactionnel, la surveillance d'erreurs et les outils de support. Ils agissent comme sous-traitants sous contrats écrits les obligeant à la confidentialité et à nos standards de sécurité.
- Au sein du même Tenant : les données téléchargées par votre organisation sont partagées avec les Utilisateurs autorisés par votre administrateur.
- Exigences légales : lorsque la loi, une décision de justice ou la protection de nos droits, de ceux de nos Utilisateurs ou du public l'exigent.
- Transferts d'entreprise : dans le cadre d'une fusion, acquisition ou cession d'actifs, avec préavis aux Utilisateurs concernés.
8. Conservation des données
- Comptes actifs : nous conservons les données personnelles tant que votre compte est actif.
- Comptes clôturés : les données personnelles sont supprimées ou anonymisées sous 90 jours après clôture, sauf obligation légale de conservation plus longue (ex. registres de facturation).
- Données Meta : voir Section 5.5.
- Données Google : voir Section 6.6.
- Journaux serveur : habituellement 90 jours.
- Sauvegardes : fenêtre tournante de 35 jours ; les demandes de suppression sont satisfaites lors de la rotation suivante.
9. Vos droits
Sous réserve de la législation applicable, vous avez le droit de :
- Accéder aux données personnelles que nous détenons sur vous.
- Rectifier les données inexactes ou incomplètes.
- Demander la suppression (droit à l'oubli).
- Restreindre ou vous opposer au traitement.
- Recevoir vos données dans un format portable.
- Retirer votre consentement à tout moment, lorsque le traitement repose dessus.
- Déposer une plainte auprès de votre autorité locale de protection des données.
Pour les utilisateurs en France et dans l'UE, vous pouvez déposer une plainte auprès de la CNIL (en France) ou de l'autorité de contrôle compétente dans votre État membre.
Résidents de Californie : sous CCPA/CPRA vous avez également le droit de savoir quelles catégories d'information personnelle nous collectons, le droit à la suppression et le droit de vous opposer à toute « vente » ou « partage » d'information personnelle — nous ne vendons ni n'échangeons d'information personnelle pour de la publicité comportementale cross-context.
10. Transferts internationaux de données
OMB Cloud opère mondialement. Les données personnelles peuvent être transférées et traitées dans des juridictions hors de votre pays de résidence, y compris les États-Unis et l'Union européenne. Lorsque cela est requis, les transferts sont protégés par des garanties appropriées, telles que les Clauses Contractuelles Types de la Commission européenne.
11. Sécurité
- TLS 1.2+ pour toutes les données en transit.
- Chiffrement au repos des tokens OAuth, mots de passe (hash avec KDF modernes) et données fiscales sensibles.
- Contrôle d'accès basé sur les rôles avec principe du moindre privilège, plus audit complet.
- Isolation multi-tenant appliquée au niveau applicatif.
- Revues de sécurité périodiques et scan des dépendances.
Aucun système n'est 100 % sûr. Si nous avons connaissance d'un incident de sécurité affectant vos données personnelles, nous vous le notifierons ainsi qu'aux autorités compétentes conformément à la loi (CNIL en France).
12. Confidentialité des mineurs
OMB Cloud est un produit professionnel et n'est pas destiné aux mineurs de 16 ans. Nous ne collectons pas sciemment de données personnelles de mineurs. Si vous pensez qu'un mineur nous a fourni des données personnelles, contactez privacy@omb.cloud et nous les supprimerons.
13. Modifications de cette politique
Nous pouvons mettre à jour cette Politique de confidentialité de temps à autre. La « Date d'entrée en vigueur » en haut reflète la dernière révision. Les modifications substantielles sont notifiées aux Utilisateurs actifs par email ou avis in-product.
14. Contact
Pour toute question de confidentialité ou de protection des données, y compris les demandes au titre du RGPD, CCPA/CPRA, LFPDPPP ou LGPD, écrivez à privacy@omb.cloud. Pour la suppression spécifique des Données Meta Platforms, utilisez l'objet « Suppression données Meta » et identifiez la Page ou compte Instagram concerné.