Zelly logoZelly
S'inscrire

Politique de Confidentialité

Version 3 — 12 juin 2026, en vigueur dès cette date (abonnés existants : trente jours après notification)

1. Introduction et Responsable du Traitement

Zelly Sàrl, dont le siège social est situé à Lausanne (Suisse), propose un service d'assistant personnel basé sur l'intelligence artificielle, délivré via des plateformes de messagerie. La présente politique décrit les données personnelles que nous traitons, pourquoi, avec quels prestataires et quels sont vos droits.

Responsable du traitement

Zelly Sàrl est responsable du traitement de vos données. Coordonnées complètes : voir les mentions légales. Contact : social@zellyapp.me.

Représentant dans l'Union européenne

Pour les utilisateurs résidant dans l'UE/EEE, notre représentant au sens de l'art. 27 RGPD est : [REPRÉSENTANT UE — à désigner avant le lancement commercial dans l'UE].

Statut technique (Privacy by Design)

Conformément au principe de protection des données dès la conception, chaque assistant s'exécute dans un environnement isolé doté d'un volume persistant propre au Client, dont le contenu n'est pas consulté, extrait ni exploité par la Société. Les traitements décrits ci-dessous (sauvegardes, mémoire de longue durée, notifications) sont opérés de manière automatisée, sans consultation humaine des contenus.

2. Données Traitées

Nous limitons la collecte aux données nécessaires au Service :

  • Données de compte : adresse e-mail et identifiants techniques (via notre prestataire d'authentification Supabase), préférences de langue et de notification.
  • Données de facturation : informations de paiement et historique des transactions gérés par Stripe. Zelly Sàrl ne stocke aucune coordonnée bancaire.
  • Données Telegram : l'identifiant numérique Telegram du Client (afin de réserver l'assistant à son seul propriétaire), l'identifiant et le nom d'utilisateur du bot Telegram associé et, lorsque le Client utilise notre mini-application Telegram, les données d'initialisation transmises par Telegram (identifiant utilisateur, langue) ainsi que des jetons de liaison temporaires à usage unique.
  • Données d'infrastructure : journaux système liés au déploiement, état de l'environnement (healthcheck) et métadonnées de consommation de ressources (volumes d'utilisation, sans contenu).
  • Données d'intégrations (Compétences) : lorsque vous activez une Compétence (par exemple Gmail), nous conservons l'identifiant opaque de la connexion fourni par notre orchestrateur d'intégrations, l'état de la connexion (en attente, active, expirée, révoquée) et les horodatages associés, ainsi qu'un journal d'audit de chaque action déclenchée par votre assistant : nom de la Compétence, nom de l'action, statut, latence et horodatage. Le contenu des actions (texte des e-mails, événements de calendrier, etc.) n'est jamais enregistré. Lorsqu'une Compétence requiert une clé d'accès personnelle (clé API), celle-ci est transmise directement à l'orchestrateur et n'est pas stockée par Zelly Sàrl.
  • Notifications d'applications connectées (veille) : si vous activez les notifications pour une application connectée (par exemple être prévenu d'un nouvel e-mail ou d'un commentaire), nous conservons votre choix d'activation et, à des fins de déduplication, les identifiants techniques des événements déjà notifiés (sans contenu). Le contenu de la notification transite vers Telegram sans être stocké par Zelly Sàrl.
  • Mémoire de longue durée : lorsqu'elle est activée, des informations durables extraites de vos conversations (préférences, contexte, habitudes) sont conservées dans une base de mémoire dédiée à votre assistant, isolée par compte, chiffrée au repos et hébergée sur notre infrastructure (Fly.io). Voir section 3.
  • Sauvegardes de mémoire : des sauvegardes chiffrées au repos de l'espace de travail de votre assistant (fichiers de mémoire et de configuration) sont réalisées périodiquement et conservées au maximum quatre-vingt-dix (90) jours, à des fins de restauration.

Note sur les contenus de conversation :vos conversations et fichiers résident dans l'environnement dédié de votre assistant. Zelly Sàrl ne les consulte pas, ne les extrait pas et ne les exploite pas à des fins propres ; ils ne sont jamais utilisés pour entraîner des modèles d'intelligence artificielle. Pour générer les réponses, les messages transitent par les interfaces des fournisseurs de modèles d'IA (section 5) ; afin de réduire les coûts et la latence, une partie du contexte de conversation peut être temporairement mise en cache par le fournisseur du modèle (Google) pour une durée de l'ordre de dix (10) minutes, puis supprimée automatiquement.

3. Mémoire de Longue Durée

La mémoire de longue durée permet à votre assistant de se souvenir d'informations durables que vous lui confiez, au-delà de la conversation en cours. Fonctionnement :

  • des éléments factuels durables sont extraits automatiquement de vos conversations et conservés dans une base de mémoire dédiée à votre assistant (isolation par compte, chiffrement au repos, hébergement sur notre infrastructure) ;
  • ces éléments peuvent inclure, selon ce que vous confiez à votre assistant, des informations relevant de catégories sensibles (par exemple des informations de santé ou de convictions). C'est pourquoi, pour les utilisateurs résidant dans l'UE/EEE, l'activation de la mémoire de longue durée repose sur votre consentement explicite, librement révocable à tout moment ;
  • vous pouvez demander à tout moment la désactivation de la mémoire de longue durée et l'effacement des souvenirs de votre assistant (via votre assistant ou par e-mail à notre contact) ;
  • la base de mémoire est définitivement supprimée lors de la suppression du compte.

4. Finalités et Bases Juridiques

Vos données sont traitées pour :

  • L'exécution contractuelle(base : contrat — art. 6 par. 1 lit. b RGPD pour les utilisateurs UE/EEE) : provisionnement et maintien de l'environnement de votre assistant, facturation, authentification, réponses de l'assistant, exécution des Actions sur vos services connectés sur votre instruction, notifications que vous avez activées.
  • La maintenance et la sécurité(base : intérêt légitime — art. 6 par. 1 lit. f RGPD) : surveillance technique (healthcheck), relance automatique d'un environnement sain à partir du volume persistant en cas d'anomalie, sauvegardes, journal d'audit des Compétences, prévention des abus. Zelly Sàrl ne consulte pas activement les contenus ; tout accès technique éventuel de l'hébergeur est régi par sa propre politique de confidentialité.
  • La mémoire de longue durée(base pour les utilisateurs UE/EEE : consentement explicite — art. 6 par. 1 lit. a et art. 9 par. 2 lit. a RGPD) : personnalisation durable de votre assistant, telle que décrite à la section 3.
  • La gestion commerciale(base : contrat et obligations légales) : facturation, comptabilité, support client lié à l'accès au service, communications transactionnelles.

Nous ne vendons pas vos données et ne les utilisons pas à des fins publicitaires. Aucune décision produisant des effets juridiques à votre égard n'est prise de manière exclusivement automatisée.

5. Sous-traitants et Transferts Internationaux

Le Service s'appuie sur les prestataires suivants. Les pays de destination des données sont indiqués pour chacun :

  • Infrastructure & hébergement :Fly.io Inc. (USA — environnements des assistants, mémoire de longue durée ; régions d'exécution principalement en Europe), Supabase Inc. (USA/UE — base de données, authentification, stockage des sauvegardes), Vercel Inc. (USA — application web et proxy technique).
  • Paiement : Stripe, Inc. (USA).
  • Modèles d'intelligence artificielle : Google LLC (USA) et Anthropic PBC (USA) — traitement des messages pour générer les réponses de l'assistant, y compris la mise en cache temporaire décrite à la section 2.
  • E-mails transactionnels : Resend, Inc. (USA).
  • Orchestration des Compétences : Sampark Inc. (Composio, USA) — pont d'authentification entre votre assistant et les services tiers que vous connectez.
  • Canaux de communication :Telegram FZ-LLC (Émirats arabes unis) ; WhatsApp/Meta Platforms Inc. (USA) prévu lors d'une évolution future du Service.

Garanties de transfert

Les États-Unis figurent à l'Annexe 1 de l'Ordonnance suisse sur la protection des données (OPDo) en tant que pays offrant un niveau de protection adéquat lorsque l'entité réceptrice est certifiée au Swiss-U.S. Data Privacy Framework(DPF). Sont actuellement certifiés au Swiss-U.S. DPF (et à son équivalent UE) : Stripe, Google, Vercel et Fly.io. Pour les prestataires américains non certifiés au volet suisse du DPF (Anthropic, Supabase, Resend, Sampark/Composio), ainsi qu'à titre de garantie complémentaire pour l'ensemble des prestataires, les transferts sont encadrés par des Clauses Contractuelles Types(CCT/SCC) reconnues par le Préposé fédéral à la protection des données et à la transparence (PFPDT) et par la Commission européenne, prévues dans les contrats de sous-traitance respectifs. Les transferts vers Telegram FZ-LLC (Émirats arabes unis, pays sans décision d'adéquation) sont nécessaires à l'exécution du contrat : la délivrance de l'assistant via Telegram est l'objet même du Service (art. 17 al. 1 lit. a LPD ; art. 49 par. 1 lit. b RGPD).

Sous-sous-traitants

Chacun de ces prestataires recourt lui-même à des sous-traitants techniques (par exemple des fournisseurs cloud sous-jacents). La liste des sous-traitants ultérieurs de Sampark/Composio est consultable sur leur portail de confiance trust.composio.dev. En activant une Compétence, le Client accepte cette chaîne de sous-traitance.

6. Services Tiers

Le Client interagit directement avec des services tiers (modèles d'IA et messagerie), soumis à leurs propres politiques de confidentialité (Google, Anthropic, Telegram, Meta). Zelly Sàrl n'est pas responsable de leurs pratiques de traitement propres.

Compétences (intégrations tierces)

Lorsque le Client active une Compétence (par exemple Gmail), il autorise expressément, via le mécanisme d'authentification du fournisseur concerné, son assistant à agir sur ce service en son nom. Le contenu accessible à travers cette autorisation (e-mails, événements, fichiers, etc.) demeure hébergé chez le fournisseur tiers ; Zelly Sàrl ne le stocke ni ne le copie. Le Client reconnaît que :

  • il garantit n'activer une Compétence que pour des comptes lui appartenant ou pour lesquels il dispose d'une autorisation valide ;
  • les Actions exécutées par son assistant sur ses services connectés sont réputées accomplies par le Client lui-même et engagent sa propre responsabilité vis-à-vis du fournisseur tiers et des destinataires ;
  • le fournisseur tiers peut à tout moment suspendre, restreindre ou révoquer l'accès ; Zelly Sàrl ne pourra être tenue responsable d'une telle décision.

Le Client peut révoquer une Compétence à tout moment depuis la page Compétences de son compte. La révocation est propagée au fournisseur dans un délai maximum de vingt-quatre (24) heures par notre tâche de vérification quotidienne.

7. Durées de Conservation

  • Compte actif : les données de compte et de facturation sont conservées pendant toute la durée du contrat.
  • Mise en sommeil (30 jours) : en cas de résiliation ou d'impayé, l'environnement de l'assistant (incluant le volume persistant et la mémoire de longue durée) et les données de compte associées sont conservés pendant trente (30) jours, puis supprimés de manière irréversible.
  • Compétences actives : les enregistrements de connexion (identifiant opaque, statut, horodatages) sont conservés tant que la Compétence reste active. La révocation entraîne la suppression de l'enregistrement et la révocation correspondante chez l'orchestrateur d'intégrations.
  • Journal d'audit des Compétences : les métadonnées des actions exécutées (sans contenu) sont conservées pendant douze (12) mois, puis supprimées automatiquement.
  • Notifications (veille) : les identifiants techniques de déduplication des événements notifiés (sans contenu) sont conservés pendant douze (12) mois au maximum, puis supprimés automatiquement.
  • Sauvegardes de mémoire : quatre-vingt-dix (90) jours glissants au maximum.
  • Cache de conversation (fournisseur de modèle) : de l'ordre de dix (10) minutes, suppression automatique.
  • Exception comptable : les données de facturation (nom, adresse, montants) sont soumises aux obligations légales de conservation comptable de dix (10) ans conformément à l'art. 958f du Code des obligations. Cette conservation est limitée aux strictes données comptables et ne porte pas sur les contenus.

8. Sécurité et Violations de Données

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées : isolation des environnements par compte, chiffrement en transit et au repos, contrôle d'accès strict, authentification à deux facteurs pour les accès d'administration, journalisation. En cas de violation de la sécurité des données susceptible d'entraîner un risque pour vos droits, nous notifions le Préposé fédéral (PFPDT) conformément à l'art. 24 LPD et, pour les utilisateurs UE/EEE, l'autorité de contrôle compétente dans les délais de l'art. 33 RGPD (72 heures), ainsi que les personnes concernées lorsque la loi l'exige.

9. Vos Droits

Conformément à la LPD et, pour les utilisateurs résidant dans l'UE/EEE, au RGPD, vous disposez des droits suivants :

  • Droit d'accès et de rectification de vos données.
  • Droit à l'effacement de vos données et de votre assistant (suppression de compte en libre-service depuis les réglages).
  • Droit à la portabilité : droit de recevoir vos données dans un format structuré et lisible par machine (JSON), incluant vos données de compte, les enregistrements de Compétences, le journal d'audit associé et les souvenirs de la mémoire de longue durée.
  • Droit d'opposition et de limitation : droit de vous opposer à certains traitements ou d'en demander la limitation.
  • Droit de retirer votre consentement à tout moment, sans affecter la licéité des traitements antérieurs (notamment pour la mémoire de longue durée).
  • Droit de révocation des Compétences et des notifications : à tout moment, sans motif et sans frais, depuis les pages dédiées de votre compte.
  • Droit de réclamation :pour les utilisateurs UE/EEE, droit d'introduire une réclamation auprès de l'autorité de contrôle de votre État de résidence ; pour la Suisse, auprès du PFPDT.

Exercice des droits : toute demande peut être adressée à social@zellyapp.me. Nous répondons dans un délai maximum de trente (30) jours.

10. Modifications de la Présente Politique

Nous pouvons mettre à jour la présente politique pour refléter l'évolution du Service ou de la réglementation. Toute modification substantielle — notamment l'ajout de nouvelles finalités de traitement — vous est notifiée activement (par e-mail) avant son entrée en vigueur. La version en vigueur est publiée sur cette page avec sa date de mise à jour.

Zelly Sàrl — Lausanne, Suisse · Mentions légales
Politique de Confidentialité Version 3 — 12 juin 2026