xoli
Accueil/Confidentialité

Politique de Confidentialité

X
Équipe Xoli
Mis à jour le 25 Mars, 2026
12 min de lecture

1. Introduction

La présente Politique de Confidentialité décrit la manière dont Xoli (ci-après « nous », « notre » ou « la Société ») collecte, utilise, stocke et protège les informations personnelles des utilisateurs de la plateforme accessible à l'adresse xoli.chat (le « Service »).

Xoli est une plateforme SaaS (Software as a Service) qui permet aux entreprises d'automatiser leur service client via l'API WhatsApp Business de Meta Platforms, Inc. En utilisant notre Service, vous reconnaissez avoir lu et compris la présente politique dans son intégralité.

Notre engagement

Nous ne vendons jamais vos données à des tiers. Les données de conversation WhatsApp traitées via notre Service sont utilisées exclusivement pour fournir les fonctionnalités du Service et ne servent en aucun cas à des fins publicitaires ou de profilage commercial.

2. Définitions

  • Client / Abonné : toute personne morale ou physique ayant souscrit un abonnement Xoli et configuré le Service pour son compte professionnel.
  • Utilisateur final : tout tiers (client du Client) qui envoie un message à un numéro WhatsApp Business configuré via Xoli.
  • Données à caractère personnel : toute information permettant d'identifier directement ou indirectement une personne physique.
  • Traitement : toute opération appliquée à des données personnelles (collecte, enregistrement, stockage, utilisation, transmission, suppression, etc.).
  • Responsable de traitement : l'entité qui détermine les finalités et les moyens du traitement. Pour les données de ses propres utilisateurs, le Client est responsable de traitement ; Xoli est sous-traitant.
  • Sous-traitant : l'entité qui traite des données pour le compte du responsable de traitement. Xoli agit en qualité de sous-traitant pour les données des Utilisateurs finaux du Client.
  • API WhatsApp Business : interface de programmation fournie par Meta Platforms, Inc. permettant aux entreprises d'envoyer et de recevoir des messages WhatsApp de manière programmatique.

3. Données Collectées

Nous collectons les catégories de données suivantes :

3.1 Données fournies directement par les Clients (Abonnés)

  • Informations d'identification et de compte : nom, adresse e-mail professionnelle, nom de l'entreprise, pays.
  • Informations de connexion : identifiants, hash de mot de passe (jamais en clair), historique d'authentification.
  • Informations de paiement et de facturation : traitées exclusivement par notre prestataire de paiement (Stripe) — Xoli ne stocke pas les numéros de carte bancaire.
  • Configuration WhatsApp Business : numéro de téléphone WABA, identifiant WABA (WABA ID), jeton d'accès API, nom d'affichage, paramètres du compte.
  • Base de connaissances : documents téléversés par le Client (PDF, DOCX, XLSX, TXT, Markdown, CSV, HTML, PowerPoint) contenant des informations métier.
  • Configurations de l'agent IA : persona, ton, instructions personnalisées, réponses types.
  • Membres de l'équipe invités : adresses e-mail et rôles attribués.

3.2 Données des conversations WhatsApp (Utilisateurs finaux)

Via l'API WhatsApp Business de Meta, nous recevons et stockons les éléments suivants pour le compte du Client :

  • Numéro de téléphone de l'Utilisateur final (pour assurer le routage des messages).
  • Contenu des messages entrants et sortants (texte) nécessaires au fonctionnement de l'agent IA et à l'affichage dans le tableau de bord.
  • Statuts de livraison des messages (envoyé, reçu, lu).
  • Horodatages des échanges.
  • Identifiants de message Meta (WAMID) pour la gestion des threads.

Important : Les données de conversation des Utilisateurs finaux appartiennent au Client. Xoli traite ces données en qualité de sous-traitant. Le Client demeure responsable du traitement et est tenu d'informer ses propres utilisateurs finaux de ce traitement.

3.3 Données collectées automatiquement

  • Adresse IP et informations sur l'appareil ou le navigateur utilisé pour accéder au tableau de bord.
  • Données de navigation et d'utilisation du tableau de bord (pages visitées, actions effectuées, temps passé).
  • Journaux d'erreurs et de débogage techniques.
  • Cookies fonctionnels et analytiques (voir section 11).

4. Utilisation de l'API WhatsApp Business (Meta)

Xoli utilise l'API WhatsApp Business fournie par Meta Platforms, Inc. pour permettre aux Clients d'envoyer et de recevoir des messages WhatsApp de manière programmatique. À ce titre, Xoli est un prestataire technologique utilisant les API de Meta.

Engagements spécifiques liés à WhatsApp / Meta

  • Les données des messages WhatsApp (contenu et métadonnées) sont utilisées exclusivement pour fournir le Service au Client et ne sont jamais utilisées à des fins de publicité ciblée, de profilage commercial ou de revente.
  • Xoli respecte les Conditions de service de la Plateforme Meta, les Politiques d'utilisation de WhatsApp Business et les Règles commerciales de WhatsApp Business.
  • Les jetons d'accès API fournis par les Clients sont stockés de manière chiffrée et ne sont accessibles qu'aux services techniques strictement nécessaires.
  • Xoli ne partage pas les données WhatsApp avec des tiers non autorisés par Meta ou non mentionnés dans la présente politique.
  • Toute violation de données impliquant des données WhatsApp sera signalée à Meta et aux autorités compétentes conformément aux délais légaux en vigueur.
  • Les modèles de messages (HSM templates) soumis via Xoli sont transmis directement à Meta pour approbation sans modification du contenu.

En utilisant Xoli, le Client reconnaît qu'il est soumis à la Politique d'utilisation de WhatsApp Business et aux Conditions de la Plateforme Meta. Meta Platforms, Inc. peut également traiter certaines données conformément à sa propre Politique de Confidentialité.

5. Utilisation des Données

Nous utilisons les données collectées aux fins suivantes :

FinalitéDonnées concernéesBase légale
Fourniture du Service (agent IA, dashboard, flows)Toutes les données de compte et de configurationExécution du contrat
Traitement des conversations WhatsAppContenu des messages, numéros de téléphone, WAMIDExécution du contrat + instructions du responsable de traitement
Facturation et gestion des abonnementsE-mail, informations de paiement (Stripe)Exécution du contrat
Support client et communication opérationnelleE-mail, historique des interactions avec le supportIntérêt légitime
Amélioration du Service et analyses agrégéesDonnées d'utilisation anonymisées ou pseudonymiséesIntérêt légitime
Sécurité, prévention de la fraude et intégritéJournaux de connexion, adresses IPIntérêt légitime
Conformité légale et réglementaireToutes les données nécessairesObligation légale
Communications marketing (avec consentement)E-mail, préférences de communicationConsentement — désabonnement possible à tout moment

Nous n'utilisons jamais les données de vos Utilisateurs finaux WhatsApp à des fins qui dépassent celles expressément listées ci-dessus ni à des fins publicitaires.

6. Partage des Données avec des Tiers

Nous ne vendons, ne louons et ne cédons pas vos données personnelles. Nous partageons des données uniquement avec les catégories de tiers suivantes, dans le cadre strict de la fourniture du Service :

Prestataire / Sous-traitantRôleDonnées partagéesLocalisation
Meta Platforms, Inc.Fournisseur API WhatsApp BusinessMessages, numéros WABA, modèles HSMÉtats-Unis (SCCs)
Convex, Inc.Base de données et backend serverlessToutes les données applicativesUE (eu-west-1)
Google Cloud (Vertex AI)Moteur RAG pour la base de connaissancesDocuments de la KB, requêtes de rechercheUE / États-Unis (SCCs)
Google LLC (OAuth)Connexion sociale (optionnelle)Identité de connexion (si option Google utilisée)UE / États-Unis (SCCs)
Vercel, Inc.Hébergement de l'application Next.jsRequêtes HTTP, adresses IP côté CDNUE (edge network)
Stripe, Inc.Traitement des paiementsDonnées de facturation, e-mailÉtats-Unis / UE (SCCs)
Resend, Inc.Envoi d'e-mails transactionnelsAdresse e-mail, contenu de l'e-mailÉtats-Unis (SCCs)

Chacun de ces prestataires est lié par un contrat de sous-traitance (DPA — Data Processing Agreement) garantissant un niveau élevé de protection des données. En cas de demande légale d'une autorité compétente, nous ne divulguerons les données que dans la stricte mesure requise par la loi et informerons les parties concernées dans la limite du droit applicable.

7. Transferts Internationaux de Données

Certains de nos sous-traitants peuvent être situés à l'étranger. Leurs activités sont encadrées par des contrats stricts (clauses contractuelles types ou DPA) afin de garantir la sécurité et la confidentialité des données traitées.

8. Conservation des Données

Catégorie de donnéesDurée de conservationJustification
Données de compte (Client actif)Durée de l'abonnement + 30 joursFourniture du Service
Données de compte (après résiliation)12 mois après résiliation, puis suppression définitiveObligation légale / litiges potentiels
Conversations WhatsApp6 mois glissants (configurable par le Client)Fonctionnalité de l'historique du tableau de bord
Documents de la base de connaissancesJusqu'à suppression par le Client ou résiliationFourniture du Service RAG
Journaux de sécurité et d'accès90 joursDétection de fraude et sécurité
Données de facturation10 ansObligation fiscale et comptable

Passé le délai de conservation applicable, les données sont supprimées de manière sécurisée ou irréversiblement anonymisées. Il est possible de demander la suppression anticipée de vos données (voir section 9).

9. Vos Droits

Conformément à la réglementation sur la protection des données applicable, vous disposez des droits suivants concernant vos données personnelles :

  • Droit d'accès : Obtenir une copie de toutes les données que nous détenons sur vous.
  • Droit de rectification : Corriger des données inexactes ou incomplètes.
  • Droit à l'effacement : Demander la suppression de vos données (« droit à l'oubli »), sauf obligation légale de conservation.
  • Droit à la limitation du traitement : Demander la suspension temporaire du traitement de vos données.
  • Droit à la portabilité : Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine.
  • Droit d'opposition : S'opposer aux traitements fondés sur l'intérêt légitime, notamment à des fins de marketing direct.
  • Droit de retirer le consentement : Retirer à tout moment votre consentement pour les traitements qui y sont fondés.
  • Droit de réclamation : Introduire une réclamation auprès de l'autorité de contrôle compétente dans votre juridiction.

Pour exercer l'un de ces droits, envoyez votre demande à support@xoli.chat. Nous répondrons dans un délai de 30 jours calendaires à compter de la réception d'une demande complète et de la vérification de votre identité.

Note pour les Utilisateurs finaux des Clients : Si vous êtes un client final d'une entreprise utilisant Xoli et souhaitez exercer vos droits concernant les messages échangés via WhatsApp, adressez-vous en priorité à cette entreprise (responsable de traitement). Xoli traitera les demandes de suppression transmises par les Clients dans les meilleurs délais.

10. Cookies et Traceurs

Nous utilisons des cookies et technologies similaires sur le site web marketing (xoli.chat) et le tableau de bord :

  • Cookies strictement nécessaires : Maintien de la session, authentification, protection CSRF. Aucun consentement requis.
  • Cookies fonctionnels : Mémorisation des préférences (thème, langue). Aucun consentement requis.
  • Cookies analytiques : Mesure de l'audience de manière agrégée et anonymisée. Soumis à votre consentement.

Vous pouvez gérer vos préférences de cookies via la bannière de consentement présente lors de votre première visite ou dans les paramètres de votre navigateur. Le refus des cookies analytiques n'affecte pas l'accès au Service.

11. Sécurité des Données

Nous mettons en œuvre des mesures techniques et organisationnelles adaptées pour protéger vos données contre tout accès non autorisé, divulgation, altération ou destruction :

  • Chiffrement des données en transit via TLS 1.2+ (HTTPS).
  • Chiffrement des données sensibles au repos (jetons d'accès API, données de facturation).
  • Architecture multi-tenant strictement isolée : les données de chaque Client sont logiquement séparées et inaccessibles aux autres Clients.
  • Contrôle d'accès basé sur les rôles (RBAC) au sein du tableau de bord.
  • Authentification des comptes via des mécanismes sécurisés (hachage bcrypt, sessions JWT).
  • Audits de sécurité et tests de pénétration réguliers.
  • Politique de gestion des incidents : notification aux personnes concernées et aux autorités compétentes dans les 72 heures suivant la découverte d'une violation de données.

Aucun système n'est inviolable à 100 %. En cas de suspicion d'accès frauduleux à votre compte, contactez immédiatement support@xoli.chat.

12. Protection des Mineurs

Le Service Xoli est destiné exclusivement aux entreprises et professionnels. Nous ne collectons pas sciemment de données personnelles de personnes de moins de 16 ans. Si vous pensez qu'un mineur nous a transmis des données, veuillez nous contacter à support@xoli.chat afin que nous puissions les supprimer dans les meilleurs délais.

13. Responsabilités et Limitations

Le Client, en tant que responsable de traitement, est seul responsable de la conformité du traitement des données de ses Utilisateurs finaux (notamment de l'information préalable de ces derniers sur l'utilisation d'un assistant IA via WhatsApp, conformément aux Politiques d'utilisation de WhatsApp Business de Meta).

Xoli n'est pas responsable des contenus introduits par les Clients dans la base de connaissances ni des messages envoyés par l'agent IA sur la base d'instructions erronées ou illicites configurées par le Client.

Xoli décline toute responsabilité pour les interruptions, dysfonctionnements ou modifications de l'API WhatsApp Business décidés unilatéralement par Meta Platforms, Inc., ainsi que pour toute suspension de compte WABA décidée par Meta.

La responsabilité cumulée de Xoli au titre de la présente politique est limitée aux montants payés par le Client au cours des 12 mois précédant l'événement donnant lieu à la réclamation, sauf en cas de dol ou de faute lourde.

14. Modifications de la Politique

Nous pouvons mettre à jour la présente Politique de Confidentialité pour refléter des évolutions légales, réglementaires ou liées au Service. En cas de modification substantielle, nous vous en informerons par e-mail au moins 30 jours avant l'entrée en vigueur des nouvelles dispositions. La date de dernière mise à jour est indiquée en haut de cette page. Votre utilisation continue du Service après la date d'entrée en vigueur des modifications vaut acceptation de la politique révisée.

15. Contact et Délégué à la Protection des Données

Pour toute question relative à la présente politique, pour exercer vos droits ou pour signaler un incident de sécurité, contactez-nous :

Responsable de la protection des données
Équipe Xoli

E-mail : support@xoli.chat

Signalement de violation : support@xoli.chat

Site web : xoli.chat

La présente Politique de Confidentialité est régie par le droit applicable dans la juridiction de la Société. En cas de litige, les parties tenteront de résoudre le différend à l'amiable avant tout recours judiciaire.