Embray

Politique de Confidentialité

Protection des données personnelles conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés.

Dernière mise à jour : 17 avril 2026

1. Introduction

La société Embray (ci-après « Embray » ou « nous »), en sa qualité de responsable du traitement, s'engage à protéger la vie privée des utilisateurs de son logiciel SaaS de gestion pour garages et carrosseries, accessible à l'adresse https://app.embray.fr.

La présente politique de confidentialité décrit les données personnelles que nous collectons, les finalités de leur traitement, les mesures de protection mises en œuvre, ainsi que les droits dont vous disposez conformément au Règlement (UE) 2016/679 (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée (loi Informatique et Libertés).

2. Responsable du traitement

Le responsable du traitement des données personnelles est :

  • Dénomination sociale : Embray
  • Forme juridique : SAS (Société par Actions Simplifiée)
  • Siège social : 21 Bd du Monument, 13011 Marseille
  • SIRET : [NUMÉRO SIRET]
  • E-mail de contact : contact@embray.fr

3. Données collectées

Dans le cadre de la fourniture du Service, nous collectons et traitons les catégories de données suivantes :

3.1 — Données d'identification et de compte

  • Nom et prénom
  • Adresse e-mail
  • Mot de passe (stocké sous forme hachée)
  • Identifiant unique de compte

3.2 — Données d'entreprise (garage / carrosserie)

  • Raison sociale, nom commercial
  • Adresse, code postal, ville
  • Téléphone, e-mail professionnel
  • SIRET, SIREN, code APE, numéro de TVA intracommunautaire
  • IBAN, BIC, nom de la banque (pour l'impression sur factures)
  • Logo de l'entreprise

3.3 — Données clients de l'Utilisateur

L'Utilisateur saisit dans le Service les données relatives à ses propres clients :

  • Nom, prénom ou raison sociale
  • Adresse, e-mail, téléphone
  • SIRET et numéro de TVA (clients professionnels)

Note : L'Utilisateur est responsable de la licéité de la collecte et du traitement des données de ses propres clients qu'il saisit dans le Service. Embray agit en qualité de sous-traitant au sens du RGPD pour ces données.

3.4 — Données véhicules

  • Immatriculation, marque, modèle, couleur
  • Numéro VIN
  • Type de carburant, kilométrage, date de première mise en circulation

3.5 — Données de dossiers sinistres

  • Nom et e-mail de l'assureur
  • Numéro et date de sinistre
  • Nom, société et e-mail de l'expert

3.6 — Données financières et documentaires

  • Devis, factures, avoirs, ordres de réparation
  • Lignes de documents (références, quantités, prix, TVA)
  • Statut de paiement et méthode de paiement

Les données de paiement de l'abonnement Embray (numéro de carte bancaire) ne sont jamais stockées sur nos serveurs ; elles sont traitées exclusivement par notre prestataire de paiement Stripe.

3.7 — Documents scannés (Embray Drive)

  • Images de cartes grises et rapports d'expertise soumis à la fonctionnalité OCR
  • Données extraites automatiquement (identité du titulaire, immatriculation, caractéristiques du véhicule)

3.8 — Données de communication

  • Historique des e-mails envoyés via le Service (destinataire, objet, statut)
  • Historique des SMS envoyés (destinataire, contenu, statut)
  • Modèles d'e-mails et de SMS personnalisés

3.9 — Données techniques

  • Adresse IP, type de navigateur, système d'exploitation
  • Données de connexion et d'usage (journaux techniques)
  • Cookies de session et d'authentification

4. Finalités et bases légales

FinalitéBase légale
Création et gestion du compte utilisateurExécution du contrat (art. 6.1.b RGPD)
Fourniture des fonctionnalités du Service (gestion clients, véhicules, devis, factures, dossiers)Exécution du contrat (art. 6.1.b RGPD)
Traitement OCR des documents (Embray Drive)Exécution du contrat (art. 6.1.b RGPD)
Envoi d'e-mails et SMS pour le compte de l'UtilisateurExécution du contrat (art. 6.1.b RGPD)
Gestion de l'abonnement et facturationExécution du contrat (art. 6.1.b RGPD)
Conservation des factures et documents comptablesObligation légale (art. 6.1.c RGPD — Code de commerce, Code général des impôts)
Envoi d'e-mails transactionnels (confirmation, OTP, réinitialisation)Exécution du contrat (art. 6.1.b RGPD)
Amélioration et sécurité du Service (journaux techniques)Intérêt légitime (art. 6.1.f RGPD)
Envoi de communications commerciales relatives au ServiceIntérêt légitime (art. 6.1.f RGPD) — avec droit d'opposition

5. Sous-traitants et transferts de données

Pour la fourniture du Service, nous faisons appel aux sous-traitants suivants, avec lesquels des accords de traitement de données (DPA) sont en place :

Sous-traitantFinalitéLocalisationGaranties
SupabaseHébergement base de données, authentification, stockage de fichiersUnion européenneDPA, hébergement EU
StripeTraitement des paiements, gestion des abonnementsUE / États-UnisDPA, certifié EU-US Data Privacy Framework
ResendEnvoi d'e-mails transactionnelsÉtats-UnisDPA, clauses contractuelles types (CCT)
SMSModeEnvoi de SMSFranceDPA, hébergement France
OpenAIExtraction OCR de documents (Embray Drive)États-UnisDPA, clauses contractuelles types (CCT), pas d'utilisation des données pour l'entraînement
VercelHébergement de l'application webRéseau mondial (CDN)DPA, clauses contractuelles types (CCT)
API SIRENE (INSEE)Recherche d'informations légales d'entrepriseFranceDonnées publiques, API gouvernementale

Lorsque des données sont transférées en dehors de l'Union européenne, nous veillons à ce que des garanties appropriées soient en place conformément au chapitre V du RGPD (décision d'adéquation, clauses contractuelles types, ou certification EU-US Data Privacy Framework).

6. Durée de conservation

Catégorie de donnéesDurée de conservation
Données de compte (profil, identifiants)Durée de la relation contractuelle + 3 ans après la suppression du compte
Données d'entreprise (garage)Durée de la relation contractuelle + 30 jours après résiliation
Factures et documents comptables10 ans à compter de la clôture de l'exercice (obligation légale — art. L. 123-22 C. com.)
DevisDurée de la relation contractuelle + 30 jours après résiliation
Données clients de l'UtilisateurDurée de la relation contractuelle + 30 jours après résiliation
Documents scannés (Embray Drive)Durée de la relation contractuelle + 30 jours après résiliation
Historique de communication (e-mail, SMS)12 mois glissants
Journaux techniques (logs)12 mois glissants
Données de paiement (chez Stripe)Selon la politique de conservation de Stripe

À l'expiration de ces durées, les données sont supprimées ou anonymisées de manière irréversible.

7. Sécurité des données

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre tout accès non autorisé, perte, altération ou divulgation, notamment :

  • Chiffrement en transit : toutes les communications sont chiffrées via TLS/HTTPS.
  • Chiffrement au repos : les données stockées dans la base de données sont chiffrées (AES-256).
  • Contrôle d'accès : politique de moindre privilège, avec Row-Level Security (RLS) sur la base de données pour isoler les données par organisation.
  • Authentification sécurisée : vérification par code OTP à usage unique et mots de passe hachés.
  • Architecture multi-tenant : chaque organisation a un espace de données strictement cloisonné.
  • Hébergement : la base de données est hébergée au sein de l'Union européenne.

8. Droits des personnes

Conformément au RGPD, vous disposez des droits suivants concernant vos données personnelles :

  • Droit d'accès (art. 15 RGPD) : obtenir la confirmation que vos données sont traitées et en recevoir une copie.
  • Droit de rectification (art. 16 RGPD) : demander la correction de données inexactes ou incomplètes.
  • Droit à l'effacement (art. 17 RGPD) : demander la suppression de vos données, sous réserve des obligations légales de conservation.
  • Droit à la portabilité (art. 20 RGPD) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine.
  • Droit à la limitation du traitement (art. 18 RGPD) : demander la suspension du traitement dans certains cas.
  • Droit d'opposition (art. 21 RGPD) : vous opposer au traitement fondé sur l'intérêt légitime, y compris à la prospection commerciale.
  • Droit de retirer votre consentement à tout moment, lorsque le traitement est fondé sur le consentement.

Pour exercer vos droits, vous pouvez nous contacter à l'adresse contact@embray.fr. Nous nous engageons à répondre dans un délai d'un mois à compter de la réception de votre demande.

Vous disposez également du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr.

9. Cookies

Le Service utilise un nombre limité de cookies strictement nécessaires à son fonctionnement :

CookieFinalitéDurée
Cookie de session SupabaseAuthentification et maintien de la session utilisateurDurée de la session
Cookie de préférence de thèmeMémoriser le thème d'affichage choisi1 an

Aucun cookie publicitaire, de pistage ou d'analyse comportementale n'est utilisé. Conformément à la réglementation, les cookies strictement nécessaires ne requièrent pas le consentement de l'utilisateur.

10. Modification de la politique

Nous nous réservons le droit de modifier la présente politique de confidentialité à tout moment. En cas de modification substantielle, nous vous en informerons par e-mail ou par notification dans le Service au moins quinze (15) jours avant l'entrée en vigueur des changements.

La date de dernière mise à jour est indiquée en haut de cette page.

11. Contact

Pour toute question relative à la protection de vos données personnelles ou pour exercer vos droits, vous pouvez nous contacter :

  • E-mail : contact@embray.fr
  • Adresse postale : Embray — 21 Bd du Monument, 13011 Marseille

Voir également nos Conditions Générales d'Utilisation et nos Mentions Légales.