← Retour

Politique de confidentialité

Chez Rappli, vos données et celles de vos clients sont traitées avec soin, conformément au Règlement général sur la protection des données (RGPD) et à la loi Informatique et Libertés. Elles ne sont jamais revendues.

Rappli intervient à deux titres : (i) en qualité de responsable de traitement pour les données des professionnels qui souscrivent au service ; (ii) en qualité de sous-traitant, pour le compte de chaque professionnel, s'agissant des données de ses clients finaux (les appelants) : le professionnel en est alors le responsable de traitement (voir notre accord de sous-traitance).

Responsable de traitement

SASU Rappli, 47 rue Vivienne, 75002 Paris, RCS Paris B 105 911 648. Contact pour toute question relative aux données : contact@rappli.fr.

Données des professionnels (Rappli responsable)

Catégories : e-mail, numéros de mobile, nom et SIRET de l'entreprise, métiers, panier moyen, données d'abonnement et de facturation. Les données de carte bancaire sont traitées exclusivement par Stripe ; Rappli ne les stocke jamais.

Finalités et bases légales :

Données des appelants (Rappli sous-traitant)

Catégories collectées via le formulaire, pour le compte du professionnel : coordonnées de rappel, catégorie de demande, informations de planification, niveau de priorité, adresse ou commune, description courte du besoin, photographies éventuelles et coordonnées d'entreprise le cas échéant. Pour les activités de santé, le formulaire est limité à l'organisation administrative du rappel (catégorie de demande, date ou créneau souhaité, statut de patient, mode de prise en charge et commune utile) et exclut les symptômes, diagnostics, traitements, ordonnances et documents médicaux. Pour les incidents cyber, Rappli demande un canal de contact sûr et interdit la transmission de mots de passe, codes, clés, jetons d'accès ou informations bancaires. Le responsable de traitement est le professionnel ; Rappli agit sur ses instructions, afin qu'il puisse rappeler son client. Pour exercer vos droits sur ces données, adressez-vous au professionnel concerné ; Rappli l'assiste et peut relayer la demande. Les conditions de cette sous-traitance figurent dans l'accord de sous-traitance.

Destinataires et sous-traitants

Les données sont traitées par Rappli et ses sous-traitants techniques : Supabase (base de données, authentification, stockage des fichiers), Twilio (SMS et téléphonie), Stripe (paiement), Resend (e-mails) et Railway (hébergement de l'application). Les services publics recherche-entreprises.api.gouv.fr et api-adresse.data.gouv.fr sont interrogés pour l'autocomplétion. Aucune donnée n'est cédée ni revendue.

Transferts hors Union européenne

Certains sous-traitants (notamment l'hébergeur applicatif et les services de SMS, de paiement et de polices de caractères) sont établis aux États-Unis. Ces transferts sont encadrés par une décision d'adéquation de la Commission européenne (EU-US Data Privacy Framework du 10 juillet 2023), lorsque le prestataire y est certifié, et/ou par des clauses contractuelles types au sens de l'article 46 du RGPD, complétées de mesures de protection appropriées. Une copie des garanties applicables peut être obtenue à contact@rappli.fr.

Durées de conservation

Vos droits

Vous disposez des droits d'accès, de rectification, d'effacement, d'opposition, de limitation et de portabilité, du droit de retirer votre consentement et de définir des directives sur le sort de vos données après votre décès. Pour les exercer : contact@rappli.fr. Nous répondons dans un délai d'un mois. Vous pouvez introduire une réclamation auprès de la CNIL (cnil.fr). Aucune décision produisant des effets juridiques n'est prise sur le seul fondement d'un traitement automatisé.

Cookies

Rappli n'utilise aucun outil de mesure d'audience, aucun cookie publicitaire et aucun traqueur tiers. Votre navigation n'est ni analysée, ni enregistrée. Aucune donnée n'est revendue. Les polices et les images sont hébergées par Rappli.

Deux exceptions, limitées et nécessaires au service : les pages de connexion chargent la bibliothèque d'authentification Supabase depuis un CDN (cdn.jsdelivr.net), et les champs d'adresse et d'entreprise interrogent les API publiques de l'État pour vous proposer des suggestions. Dans ces cas, votre adresse IP est transmise au prestataire concerné.

Le service dépose des cookies strictement nécessaires à votre connexion, protégés (HttpOnly, Secure) et jamais transmis à un tiers : « rappli_session » (une heure) et « rappli_perso », posé à la connexion pour vous éviter d'avoir à vous reconnecter toutes les heures (30 jours). Les deux sont supprimés à la déconnexion ; exemptés de consentement, ils sont indispensables au fonctionnement du service.

Sécurité

Les échanges sont chiffrés (HTTPS/TLS), le cookie de session est protégé (HttpOnly, Secure), les accès aux données sont restreints et journalisés. En cas de violation de données susceptible d'engendrer un risque pour vos droits, les personnes et autorités concernées sont informées conformément au RGPD.

Mise à jour

La présente politique peut être mise à jour ; la date ci-dessous indique la version en vigueur.

Dernière mise à jour : 14 juin 2026.