La présente Politique de confidentialité décrit la manière dont Meolya SAS (ci-après "Meolya") collecte, utilise, conserve, transmet et protège les données personnelles des utilisateurs de son site vitrine (meolya.com) et de son application web professionnelle (ci-après "l'Application"), proposée en version bêta. Elle s'applique à tout traitement effectué par Meolya, conformément au Règlement (UE) 2016/679 dit RGPD, à la loi Informatique et Libertés et aux autres textes applicables en droit français.
Meolya SAS, contact@meolya.com, 07.82.70.36.12. Meolya agit comme responsable de traitement pour les données de ses Utilisateurs (création de compte, facturation, sécurité, support).
Meolya agit comme sous-traitant, au sens de l'article 28 du RGPD, pour les données personnelles importées ou traitées par le Client via l'Application (par exemple: fiches clients, destinataires d'emails, signataires de documents, contacts invités en chat externe). Dans ce cadre, la présente Politique vaut accord de traitement à défaut d'avenant spécifique signé entre les parties.
Contact: contact@meolya.com.
Meolya collecte et traite uniquement les données nécessaires à la fourniture, à l'amélioration, à la sécurisation et à la facturation de ses services. Les catégories suivantes peuvent être traitées:
Nom, prénom, adresse email, téléphone, photo de profil, mot de passe haché, identifiant fédéré Google (sub) pour les connexions OAuth, préférences d'affichage, identifiant interne de compte.
Sessions, jetons de réinitialisation de mot de passe, jetons de double authentification (2FA) par email, codes d'invitation, codes bêta, codes d'activation, journaux d'événements de sécurité, informations de réputation de domaine et de lutte contre le spam.
Appartenance des Membres à un Espace de travail, rôles et niveaux de droits par domaine (chat, documents, tableau, stockage, etc.).
Raison sociale, dénomination, adresse de facturation, email, téléphone, SIRET/SIREN, numéro de TVA intracommunautaire, interlocuteurs, notes, historiques.
Devis, factures, avoirs, documents signés électroniquement, signatures et leurs identifiants, bons, pièces jointes, numérotation séquentielle et compteurs de séries. Les factures peuvent être générées avec un export Factur-X (Facture Mixte PDF/A-3 + XML conforme au profil BASIC) pour les besoins de la facturation électronique.
Catalogues produits, tarifs, logos d'entreprise, signatures et logos de certification, paramètres documentaires.
En-têtes, corps (texte et HTML), pièces jointes, brouillons, dossiers, libellés, conversations, statuts d'envoi et de réception, métadonnées de threads, quotas de stockage (par défaut 2 Go par utilisateur), identifiants et informations de connexion IMAP/SMTP configurés par le Client.
Messages, conversations, invitations de chat externe, tâches partagées, horodatages, statuts de lecture, pièces jointes.
Identifiants de salon, métadonnées techniques d'appel (horodatages, participants, événements de connexion), messages de discussion de salle, fichiers partagés pendant un appel, identifiants éphémères utilisés par le serveur TURN/STUN. Les flux audio et vidéo transitent chiffrés (DTLS/SRTP) et ne font l'objet d'AUCUN enregistrement par Meolya. Seuls les fichiers explicitement partagés dans la salle d'appel et les messages de discussion de salle sont persistés.
Lorsqu'un Client invite un contact externe (ne disposant pas d'un compte Meolya complet) dans un chat externe ou un partage de document, sont traités: l'identifiant de conversation, le nom ou identifiant affiché, le statut et l'horodatage de l'invitation, les messages échangés et leurs pièces jointes. L'invité est informé, lors de sa première participation, de l'existence du traitement, de l'identité du Client qui l'invite (responsable de traitement pour ces échanges) et de l'adresse de contact pour exercer ses droits.
Lorsqu'un Espace de travail est rattaché à une instance gestionnaire (par exemple un cabinet comptable ou une entité multi-sociétés), celle-ci peut disposer de droits d'accès étendus aux données de l'Espace géré, dans les limites définies par le Client et par les rôles attribués. Ces accès sont tracés dans les journaux de sécurité.
Documents, images, médias et pièces jointes stockés dans le système de fichiers virtuel par Espace de travail, incluant leurs métadonnées (nom, taille, type, dates, auteur, taille consommée).
Tickets de support (numéro, objet, description, échanges), pièces jointes de support, coordonnées de contact.
Notifications applicatives, inscription à la lettre d'information (sous réserve de consentement).
Informations de facturation, identifiant client chez le prestataire de paiement (Stripe), historique des transactions. Meolya ne stocke pas les numéros de carte bancaire, qui sont traités directement par le prestataire de paiement.
Adresses IP, agent utilisateur, données de session, journaux techniques, événements d'authentification, statistiques d'usage agrégées (sans profilage publicitaire).
Exécution du contrat (art. 6.1.b RGPD).
Exécution du contrat.
Exécution du contrat et obligation légale (art. 6.1.b et 6.1.c).
Exécution du contrat et obligation légale.
Exécution du contrat.
Exécution du contrat et intérêt légitime (art. 6.1.f).
Intérêt légitime et obligation légale.
Intérêt légitime (sans profilage publicitaire).
Exécution du contrat et intérêt légitime, via des API publiques (voir section sous-traitants).
Exécution du contrat, sur déclenchement explicite par l'Utilisateur.
Consentement (art. 6.1.a), révocable à tout moment.
Consentement. À ce jour, seuls des cookies techniques sont utilisés.
Conservation tant que le compte est utilisé.
Suppression ou anonymisation après une période d'inactivité prolongée, précédée d'une information préalable.
Conservation permanente et sous forme figée (non modifiable), tant que l'Espace de travail existe et aussi longtemps que les obligations légales l'imposent. Les documents signés ne peuvent être supprimés par le Client via l'Application, afin de préserver leur valeur probante et leur traçabilité.
Conservation pendant au moins 10 ans à compter de la clôture de l'exercice comptable, conformément à l'article L.123-22 du Code de commerce. Les factures émises sont figées (snapshot immuable) et conservées même après suppression de l'Espace de travail par le Client, pour la durée légale restante, dans un périmètre d'archivage restreint aux finalités légales.
La séquence de numérotation des factures et les compteurs associés sont conservés de manière continue et non réinitialisable, conformément aux exigences de numérotation chronologique continue (articles 242 nonies A de l'annexe II au Code général des impôts).
Jusqu'à suppression par le Client, sauf obligation légale de conservation applicable.
Conservation tant que le Client ne les supprime pas et dans la limite des quotas. Les éléments placés dans la corbeille sont supprimés définitivement après 15 jours (purge automatique). La taille maximale d'un email est limitée contractuellement (par défaut 20 Mo).
Conservés tant que le Client ne les supprime pas ou jusqu'à la clôture de l'Espace de travail. Les flux audio et vidéo ne sont jamais enregistrés.
Conservés tant que le Client ne les supprime pas et dans la limite des quotas de stockage.
Codes d'invitation, codes bêta et codes d'activation conservés le temps de leur utilisation et à des fins d'audit.
Jetons 2FA et jetons de réinitialisation de mot de passe supprimés automatiquement après leur durée de validité (quelques minutes).
Jusqu'à 3 ans à compter de la clôture, à des fins probatoires et d'amélioration du service.
Jusqu'à 12 mois, prolongés au besoin en cas d'incident de sécurité ou d'obligation légale (notamment 1 an pour les données de connexion au titre de l'article L.34-1 du Code des postes et des communications électroniques lorsque applicable).
10 ans conformément aux obligations comptables. Les pièces de facturation générées par le prestataire de paiement sont par ailleurs conservées selon ses propres durées.
Coordonnées des abonnés conservées jusqu'au désabonnement, et jusqu'à 3 ans à compter du dernier contact pour les besoins de preuve du consentement.
Rotation selon une politique de rétention limitée dans le temps (typiquement quelques semaines), pour garantir la restauration en cas d'incident. Les suppressions logiques sont propagées aux sauvegardes dans le cadre du cycle de rotation.
Principe général: certaines données, en raison de leur valeur probante ou des obligations légales (documents signés, factures, avoirs, écritures comptables, numérotation séquentielle), sont conservées de manière figée et ne peuvent être supprimées, y compris à la demande du Client ou après résiliation, jusqu'à l'expiration de la durée légale applicable.
Les données peuvent être transmises aux destinataires suivants, strictement dans la mesure nécessaire aux finalités poursuivies:
Accès restreint selon le principe du moindre privilège, pour l'exploitation, le support et la sécurité.
Accès aux Contenus selon les droits définis par le Client.
Destinataires désignés par le Client pour les envois d'emails, les signatures électroniques, les partages de documents ou les invitations de chat externe.
Stripe Payments Europe Limited (1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irlande), pour la gestion des abonnements, des factures et des paiements. Le traitement des données de paiement relève de sa propre politique.
Google LLC, pour l'authentification OAuth 2.0 lorsque l'Utilisateur choisit ce mode de connexion.
API "Recherche d'entreprises" opérée par la DINUM (recherche-entreprises.api.gouv.fr) et API du Registre National des Entreprises de l'INPI (registre-national-entreprises.inpi.fr), interrogées à partir d'un SIREN/SIRET saisi par le Client, pour récupérer les informations légales d'une entreprise (raison sociale, forme juridique, capital, etc.).
Serveurs IMAP et SMTP configurés ou désignés par le Client, vers lesquels les emails sont émis, reçus et relayés. Meolya peut également opérer ses propres relais d'envoi en fonction de la formule souscrite.
Prestataires tiers de modèles de langage (LLM) utilisés pour les fonctionnalités d'assistance et de génération de documents. Les contenus transmis sont strictement limités à ceux nécessaires à la demande. Meolya sélectionne des prestataires offrant des garanties contractuelles de confidentialité et d'absence de réutilisation des données pour l'entraînement.
Lorsque le Client installe un plugin tiers, celui-ci peut accéder aux Contenus de l'Espace de travail selon son code et ses permissions. L'éditeur tiers agit alors selon ses propres conditions.
Autorités administratives ou judiciaires compétentes, sur demande légale et dans les conditions prévues par la loi.
Les données sont hébergées en France sur les serveurs privés opérés par Meolya. Certains sous-traitants (notamment Stripe et Google) peuvent toutefois traiter des données en dehors de l'Union européenne. Le cas échéant, ces transferts sont encadrés par les mécanismes prévus par le RGPD (décisions d'adéquation, clauses contractuelles types, mesures complémentaires de sécurité).
Meolya met en oeuvre et fera évoluer en permanence un dispositif de sécurité technique et organisationnel aligné sur l'état de l'art:
Cloisonnement des données par Espace de travail, bases de données dédiées par locataire, infrastructure privée non accessible publiquement.
Redondance RAID 5, double sauvegarde, supports de sauvegarde déconnectés, plans de reprise et tests de restauration.
Hachage des mots de passe, identification fédérée OAuth 2.0, 2FA par email, principe du moindre privilège pour les accès internes.
Chiffrement des flux: HTTPS/TLS pour le web, DTLS/SRTP pour les médias WebRTC, TLS pour IMAP/SMTP lorsque le serveur distant le permet.
Journalisation et supervision en continu des événements de sécurité.
Correctifs réguliers, revues de code, tests de sécurité.
En cas de violation de données personnelles susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, Meolya notifie la CNIL dans les 72 heures et informe le Client et, le cas échéant, les personnes concernées conformément aux articles 33 et 34 du RGPD.
Conformément au RGPD et à la loi Informatique et Libertés, toute personne concernée dispose des droits suivants sur ses données:
Droit d'accès, de rectification, d'effacement.
Droit à la limitation et à l'opposition.
Droit à la portabilité.
Droit de retirer son consentement à tout moment lorsque le traitement y est fondé.
Droit de définir des directives relatives au sort de ses données après le décès.
Droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr).
Exercice des droits: les droits s'exercent par email à contact@meolya.com, accompagné si nécessaire d'un justificatif d'identité. En l'absence d'interface en libre-service, Meolya traite les demandes manuellement dans le délai d'un mois (prorogeable de deux mois en cas de demande complexe, conformément à l'article 12.3 du RGPD). Pour les données traitées par Meolya pour le compte d'un Client (en qualité de sous-traitant), la demande est réorientée vers le Client, responsable de traitement, qui dispose seul de la qualité pour y répondre.
Limites: le droit à l'effacement ne peut être exercé sur les données conservées pour répondre à une obligation légale (factures, avoirs, documents signés, écritures comptables, numérotation de séries, journaux de sécurité) pendant la durée légale applicable. Dans ce cas, le traitement est limité aux seules finalités légales de conservation.
Meolya ne met en oeuvre aucun profilage ni aucune prise de décision entièrement automatisée produisant des effets juridiques ou affectant de manière significative les personnes concernées, au sens de l'article 22 du RGPD.
L'Application intègre toutefois des fonctionnalités d'intelligence artificielle générative, à titre d'assistance, pour les finalités suivantes:
Aide contextuelle à l'utilisation de l'Application, suggestions de réponses, guidage dans les fonctionnalités, réponses à des questions fréquentes. Les échanges avec l'assistant peuvent inclure les informations fournies par l'Utilisateur dans sa requête.
Génération, sur demande explicite de l'Utilisateur, de brouillons de documents professionnels simples (courriers, modèles, descriptifs, ébauches de devis ou facturations), à partir des indications fournies par l'Utilisateur. Les documents générés sont des brouillons indicatifs soumis à la relecture, à la correction et à la validation de l'Utilisateur, qui en conserve l'entière responsabilité éditoriale et juridique.
Fonctionnement et données transmises: les fonctionnalités d'IA reposent sur des modèles de langage fournis par des prestataires tiers. Les contenus strictement nécessaires à l'exécution de la demande de l'Utilisateur (consigne saisie, extraits de documents sélectionnés, éléments de contexte pertinents) sont transmis au prestataire retenu pour produire la réponse. Meolya sélectionne des prestataires offrant des garanties de sécurité et de protection des données adaptées, et s'engage à ce que les données transmises ne soient pas utilisées par ces prestataires pour entraîner ou améliorer leurs modèles, sauf consentement exprès contraire de l'Utilisateur.
Limites et responsabilité: les contenus générés par l'IA peuvent comporter des inexactitudes, des omissions, des formulations inappropriées ou des informations incorrectes. Ils ne constituent ni un avis juridique, ni un conseil comptable, ni un diagnostic professionnel. L'Utilisateur doit contrôler chaque contenu généré avant toute utilisation, et conserve la responsabilité exclusive de la diffusion, de la publication ou de l'exécution des documents issus de l'IA. Meolya ne saurait être tenue responsable des conséquences d'un usage direct, sans relecture ni adaptation, des résultats produits.
Exclusions: l'Utilisateur s'engage à ne pas soumettre aux fonctionnalités d'IA des catégories particulières de données au sens de l'article 9 du RGPD, des données relatives aux condamnations pénales, des informations soumises à un secret professionnel strict, ni des données dont la transmission à un prestataire tiers ne serait pas autorisée.
Évolution: les fonctionnalités d'IA sont susceptibles d'évoluer. Toute évolution substantielle (nouvelles finalités, changement de prestataire, nouveau traitement de données) fera l'objet d'une information préalable et, le cas échéant, d'un recueil de consentement.
Indispensables au fonctionnement du service, à l'authentification et à la sécurité (session, préférences essentielles). Exempts de consentement au sens de l'article 82 de la loi Informatique et Libertés.
Non utilisés à ce jour. Le cas échéant, leur dépôt sera soumis au consentement préalable de l'Utilisateur.
L'Application est réservée à un usage professionnel et n'est pas destinée aux mineurs. Meolya ne collecte pas sciemment de données personnelles relatives à des mineurs.
Meolya peut modifier la présente Politique de confidentialité pour l'adapter aux évolutions légales, techniques ou organisationnelles. Les Utilisateurs seront informés de toute mise à jour significative par tout moyen approprié.
Lorsque Meolya traite des données personnelles pour le compte du Client en qualité de sous-traitant, notamment les données de ses contacts commerciaux, prospects, clients, destinataires d'emails, signataires de documents, invités de chat externe, salariés et collaborateurs, les stipulations suivantes s'appliquent en tant qu'accord de traitement au sens de l'article 28 du RGPD, à défaut d'avenant spécifique signé entre les parties.
Objet: fourniture des services de l'Application. Durée: durée de l'abonnement et de ses renouvellements, augmentée des durées légales de conservation. Nature: hébergement, stockage, consultation, transmission, chiffrement, sauvegarde, export, suppression des données personnelles importées ou créées par le Client. Finalité: exécution du contrat d'abonnement et des fonctionnalités choisies par le Client.
Utilisateurs désignés par le Client (Membres), contacts clients et prospects, fournisseurs, partenaires, salariés, destinataires d'emails, signataires, invités au chat externe, participants aux appels, et toute personne dont le Client choisirait d'importer les données dans l'Application.
Données d'identification, coordonnées, données professionnelles, données de facturation, contenus d'échanges (emails, messages, documents), données techniques de connexion et métadonnées d'appels, telles que décrites plus haut.
Meolya (i) traite les données sur instruction documentée du Client, (ii) veille à ce que les personnes habilitées à traiter les données s'engagent à la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité, (iii) met en oeuvre les mesures techniques et organisationnelles décrites dans la section "Sécurité des données", (iv) respecte les conditions relatives au recours à un autre sous-traitant (section "Sous-traitants ultérieurs"), (v) apporte une assistance raisonnable au Client pour l'exercice des droits des personnes et pour la conformité aux articles 32 à 36 du RGPD (sécurité, notification de violation, analyses d'impact, consultation préalable), compte tenu de la nature du traitement et des informations à disposition, (vi) à l'issue du contrat, supprime ou retourne les données, selon le choix du Client, sous réserve des durées légales de conservation, et (vii) met à disposition du Client, sur demande écrite motivée et dans des conditions raisonnables, les informations nécessaires pour démontrer le respect des obligations de l'article 28 du RGPD.
Le Client autorisé Meolya à recourir aux sous-traitants ultérieurs identifiés dans la section "Destinataires et sous-traitants" et à toute évolution de cette liste, qui fait l'objet d'une information préalable par voie électronique ou par mise à jour publiée de la présente Politique, avec un préavis raisonnable permettant au Client de formuler d'éventuelles objections motivées. Meolya impose à ses sous-traitants ultérieurs des obligations de protection des données au moins équivalentes à celles de la présente.
Le Client peut, à ses frais, une fois par an et sur préavis raisonnable, réaliser ou faire réaliser par un tiers indépendant tenu au secret, un audit documentaire portant sur le respect par Meolya des présentes, sous réserve (i) du respect de la sécurité et de la confidentialité des autres clients, (ii) de la signature d'un engagement de confidentialité renforcé, et (iii) de la prise en charge des frais raisonnables exposés par Meolya. Les audits ne peuvent porter sur des mesures intrusives ou tests de sécurité active.
Meolya notifie au Client, sans retard injustifié après en avoir pris connaissance, toute violation de données affectant les données traitées pour son compte, et lui fournit les informations nécessaires à l'accomplissement de ses propres obligations de notification à la CNIL et aux personnes concernées.
À l'issue du contrat, les données traitées pour le compte du Client sont supprimées ou restituées selon les modalités prévues aux CGV et à la Politique de confidentialité, sous réserve des documents soumis à une obligation légale de conservation qui sont archivés dans un périmètre restreint.
Les données d'exploitation de l'Application (bases de données principales, fichiers, sauvegardes) sont hébergées sur des serveurs privés opérés par Meolya et situés en France. Les échanges avec certains sous-traitants, décrits plus haut, peuvent entraîner des traitements à l'étranger, encadrés par les garanties appropriées au titre du RGPD (décision d'adéquation, clauses contractuelles types, mesures supplémentaires le cas échéant).
L'Application n'est pas conçue, certifiée ni destinée au traitement des catégories particulières de données au sens de l'article 9 du RGPD (origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques, données biométriques aux fins d'identification, données concernant la santé, la vie ou l'orientation sexuelle) ni des données relatives aux condamnations pénales et infractions (article 10 du RGPD). Le Client s'engage à ne pas importer ou traiter de telles données dans l'Application, sauf accord écrit préalable de Meolya et mise en oeuvre des garanties complémentaires requises. Meolya ne saurait être tenue responsable des conséquences d'un traitement non autorisé de ces catégories.
L'Application est réservée à un usage strictement professionnel par des personnes majeures. Meolya ne collecte pas sciemment de données personnelles relatives à des mineurs. Si un traitement non autorisé relatif à des mineurs était signalé, Meolya procédera aux vérifications nécessaires et, le cas échéant, à la suppression des données concernées.
À la date des présentes, l'Application et le site vitrine n'utilisent que des cookies strictement techniques, exemptés de consentement au sens de l'article 82 de la loi Informatique et Libertés et des lignes directrices de la CNIL:
Finalité: maintien de la session authentifiée. Attributs: HttpOnly, Secure, domaine .meolya.com. Durée: jusqu'à la déconnexion ou expiration de la session (durée maximale 30 jours).
Finalité: protection contre les attaques CSRF et les usages automatisés, équilibrage de charge. Durée: durée de la session.
Finalité: mémorisation de préférences locales (par exemple thème clair/sombre). Stockage local, non transmis à Meolya.
Aucun cookie de mesure d'audience externe, de publicité, de profilage ou de traçage tiers n'est déposé. En cas d'évolution, une bannière de recueil de consentement préalable sera mise en place.
En cas de violation de données susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, Meolya informe dans les meilleurs délais les Utilisateurs concernés, par email et/ou par message dans l'Application, conformément à l'article 34 du RGPD, et leur communique les mesures envisagées pour limiter les conséquences de la violation.
Meolya tient un registre des activités de traitement conformément à l'article 30 du RGPD, qui peut être communiqué, dans des conditions raisonnables et sous réserve de confidentialité, à l'autorité de contrôle compétente sur demande.
Pour toute question relative à la présente Politique de confidentialité, pour exercer vos droits ou
signaler un incident de sécurité:
contact@meolya.com
07.82.70.36.12
Meolya SAS
Société par actions simplifiée (S.A.S.)
100 €
8 rue du Fust, 26200 Montélimar, France
103 482 857 R.C.S. Romans (n° de gestion 2026B00816)
FR2602.103482857
Thomas Chiron
Thomas Chiron et Mathis Rodrigues
contact@meolya.com
07.82.70.36.12