Politique de confidentialité

Baily (baily.app) est un service en ligne permettant aux propriétaires bailleurs de créer, gérer et envoyer des quittances de loyer à leurs locataires.

La présente politique de confidentialité décrit les données personnelles que nous collectons, pourquoi nous les collectons, et comment nous les utilisons.

Le responsable du traitement est Marius Moskovic, éditeur du service Baily, joignable à l'adresse contact@baily.app.

Données de compte

• Adresse email (pour l'authentification)
• Nom complet et adresse postale (optionnels, renseignés par l'utilisateur)

Données de gestion locative

• Informations sur les biens (libellé, adresse, type)
• Informations sur les locataires (nom, email, téléphone)
• Informations sur les baux (montants, dates, échéances)
• Quittances générées (montants, statut, dates d'envoi)

Signature manuscrite

Si vous dessinez une signature dans l'application, celle-ci est stockée sous forme d'image encodée dans votre profil.

Connexion Gmail

Si vous connectez votre compte Gmail, nous stockons un jeton d'actualisation (refresh token) permettant d'envoyer des emails en votre nom. Nous n'accédons qu'au scope gmail.send — nous ne lisons jamais vos emails.

• Authentification et gestion de votre compte
• Génération et envoi de quittances de loyer (PDF + email)
• Affichage de votre signature sur les quittances
• Envoi d'emails de connexion (codes OTP, liens magiques)

Le traitement de vos données repose sur l'exécution du contrat (fourniture du service) et, pour la connexion Gmail, sur votre consentement explicite (que vous pouvez révoquer à tout moment dans les paramètres).

Nous ne vendons, ne louons et ne partageons jamais les données utilisateur Google (Gmail user data) avec des tiers à des fins publicitaires, commerciales ou analytiques.

Les données utilisateur Google (y compris votre adresse email Google, le jeton OAuth d'actualisation et le contenu des quittances envoyées via votre Gmail) ne sont partagées qu'avec les sous-traitants techniques strictement nécessaires au fonctionnement du service :

Ces sous-traitants sont liés contractuellement au respect de la confidentialité et à des obligations de sécurité. Les transferts hors UE (Vercel, Resend, Google) sont encadrés par les Clauses Contractuelles Types de la Commission européenne.

Nous pouvons également divulguer certaines données si la loi l'exige (réquisition judiciaire, obligation légale). Aucune autre forme de partage n'est effectuée.

Restriction d'usage spécifique aux données Google

L'utilisation par Baily des données reçues via les API Google est conforme à la Google API Services User Data Policy, y compris les exigences d'usage limité (Limited Use). Les données utilisateur Google ne sont pas utilisées pour du profilage, de la publicité, de la vente, de l'analyse de contenu, de l'entraînement de modèles d'IA ou tout autre usage non nécessaire à la fonctionnalité d'envoi de quittances.

Nous mettons en œuvre des mesures techniques et organisationnelles pour protéger vos données, y compris les données sensibles telles que le jeton OAuth Gmail :

• Chiffrement en transit — toutes les communications sont chiffrées via HTTPS/TLS 1.2+.
• Chiffrement au repos — la base de données Supabase (PostgreSQL) est chiffrée au repos (AES-256) par notre hébergeur.
• Row Level Security (RLS)— chaque table de notre base de données applique des politiques RLS strictes garantissant qu'un utilisateur ne peut accéder qu'à ses propres données.
• Protection des jetons OAuth— les jetons d'actualisation Gmail sont chiffrés au repos (AES-256) dans notre base de données, stockés dans une colonne protégée par Row Level Security, jamais transmis en clair, et uniquement accessibles par le back-end via une clé de service privée. Ils ne sont jamais exposés au client, ni écrits dans nos logs.
• Authentification forte— l'accès au compte utilisateur se fait par code à usage unique (OTP) ou lien magique envoyé par email, sans mot de passe réutilisable.
• Accès minimal aux scopes — nous ne demandons que le scope gmail.send, jamais l'accès en lecture à votre boîte mail, à vos contacts, ou à vos autres données Google.
• Secrets et clés API— les secrets (Google Client Secret, clé de service Supabase, clés SMTP) sont stockés dans les variables d'environnement chiffrées de notre plateforme d'hébergement, et ne sont jamais exposés au client.
• Journalisation limitée— aucun contenu d'email ni jeton n'est écrit dans nos logs.

Vos données sont conservées tant que votre compte est actif.

• Révocation de l'accès Gmail— vous pouvez déconnecter votre compte Gmail à tout moment depuis la page « Paramètres » de Baily. Le jeton OAuth est immédiatement supprimé de notre base de données. Vous pouvez également révoquer l'accès depuis votre compte Google.
• Suppression du compte— vous pouvez demander la suppression complète de votre compte et de l'ensemble de vos données en écrivant à contact@baily.app. Toutes les données sont supprimées définitivement sous 30 jours à compter de la demande.

Conformément au RGPD, vous disposez des droits suivants :

• Accès — consulter les données que nous détenons sur vous
• Rectification — corriger vos informations
• Suppression — demander la suppression de votre compte et de vos données
• Portabilité — récupérer vos données dans un format structuré
• Opposition — vous opposer à certains traitements

Pour exercer ces droits, contactez-nous à contact@baily.app.

Baily utilise uniquement des cookies strictement nécessaires au fonctionnement du service (session d'authentification). Aucun cookie de tracking, d'analytics ou publicitaire n'est utilisé.

Nous pouvons mettre à jour cette politique. En cas de modification substantielle, un bandeau vous en informera lors de votre prochaine connexion.