DREXO

1. Who we are

Drexo (the “Company,” “we,” “us”) operates the IoT monitoring platform available at https://drexo.com (the “Service”).

For any question concerning the protection of your personal data, including the exercise of your rights under the GDPR, you can contact our Data Protection Officer at admin@drexo.com.

2. Scope

This policy describes how we collect, use, store, and disclose personal data when you use the Service. It applies to operators and authorized users of customer organizations (tenants) who access the platform with credentials provisioned by their organization administrator.

3. Data we process

We process the following categories of personal data:

• Account data : email address, hashed password, authentication identifiers from external providers (Microsoft, Google), session cookies, last sign-in timestamp.
• Profile and tenant data : display name (where provided), tenant memberships, role, custom labels for devices and locations.
• Operational telemetry : IoT data received from authorized upstream sources (e.g. water-meter readings), associated with the tenant rather than with an individual. This data is generally not personal data but may become so when correlated with a specific household or premises.
• Usage data : anonymized page-view and performance metrics gathered by Vercel Analytics and Vercel Speed Insights for site reliability and performance.
• Support and communication data : email content you send to us, including via the in-product AI assistant when you submit a question that includes device or location identifiers.

4. Purposes and legal bases

5. Hosting, processors, and data location

Personal data and operational telemetry are hosted on infrastructure located in the European Union. We rely on the following sub-processors to operate the Service:

• Supabase (Frankfurt, Germany) : primary database, authentication, file storage.
• Vercel (EU edge regions) : application hosting, analytics, speed insights.
• SendGrid (Twilio Ireland Limited) : transactional email delivery (sign-in links, invitations, password resets).
• Microsoft (EU data residency) : Azure Active Directory for optional Single Sign-On.
• Google : Google Identity for optional Single Sign-On. When you sign in with Google, the OAuth handshake involves Google servers (United States); only the OAuth identifiers and claims you authorize are transmitted.
• OpenAI (via Vercel AI Gateway) : large-language- model inference used by the optional in-product AI assistant. Conversation content you submit to the assistant is sent to OpenAI strictly to generate a response and is not used to train their models.

All sub-processors are bound by data-processing agreements that align with Article 28 GDPR. Transfers outside the EEA, when they occur (Google Identity, OpenAI), rely on the European Commission’s Standard Contractual Clauses.

6. Cookies and local storage

We use a small number of strictly-necessary cookies and localStorage entries to keep you signed in, remember your language and theme preferences, and persist UI choices such as the left-rail width and the size of the AI chat panel. We do not use advertising or third-party tracking cookies.

7. Retention

We retain personal data for the duration of your account at the relevant tenant. When your account is deleted, we erase or anonymize personal identifiers within thirty (30) days, except where a longer retention is required to comply with a legal obligation or to defend a legal claim.

Operational telemetry is retained for the period agreed with the tenant (typically the lifetime of the monitoring contract) and is rendered append-only by database-level safeguards: it cannot be silently overwritten or deleted.

8. Your rights

Subject to the conditions set out by applicable law, you have the right to:

• access the personal data we hold about you;
• rectify inaccurate or incomplete data;
• request erasure of your personal data;
• restrict or object to certain processing activities;
• receive your personal data in a portable format;
• lodge a complaint with the French data-protection authority (CNIL, cnil.fr) if you believe your rights have not been respected.

To exercise these rights, email admin@drexo.com. We will respond within thirty (30) days.

9. Security

We implement technical and organizational measures appropriate to the risk, including encryption in transit (TLS), encryption at rest at the database level, role-based access control with row-level security policies, audit logging of administrative actions, and the principle of least privilege for all sub-processors.

10. Children

The Service is intended for use by professional operators of monitored installations and is not directed at individuals under sixteen (16) years of age. We do not knowingly collect personal data from children.

11. Changes to this policy

We may update this policy from time to time. When we make material changes, we will notify active users by email at least fourteen (14) days before the changes take effect. The “Last updated” date at the top of this page reflects the most recent revision.

12. Contact

Data Protection Officer: admin@drexo.com

1. Qui sommes-nous

Drexo (la « Société », « nous ») exploite la plateforme de monitoring IoT accessible à l’adresse https://drexo.com (le « Service »).

Pour toute question relative à la protection de vos données personnelles, y compris l’exercice de vos droits au titre du RGPD, vous pouvez contacter notre Délégué à la protection des données à l’adresse admin@drexo.com.

2. Champ d'application

La présente politique décrit la manière dont nous collectons, utilisons, conservons et divulguons les données personnelles lorsque vous utilisez le Service. Elle s’applique aux opérateurs et utilisateurs autorisés des organisations clientes (locataires) qui accèdent à la plateforme avec des identifiants fournis par leur administrateur.

3. Données traitées

Nous traitons les catégories de données suivantes :

• Données de compte: adresse e-mail, mot de passe haché, identifiants d’authentification émis par des fournisseurs externes (Microsoft, Google), cookies de session, horodatage de la dernière connexion.
• Données de profil et d’organisation: nom d’affichage (le cas échéant), appartenances aux organisations, rôle, étiquettes personnalisées d’ appareils et de lieux.
• Télémétrie opérationnelle: données IoT reçues de sources amont autorisées (par exemple relevés de compteurs d’eau), associées à l’organisation et non à un individu. Ces données ne sont généralement pas personnelles, mais peuvent le devenir lorsqu’elles sont corrélées à un foyer ou un site précis.
• Données d’usage : métriques anonymisées de pages vues et de performance collectées par Vercel Analytics et Vercel Speed Insights pour la fiabilité et la performance du site.
• Données de support et de communication: contenu des e-mails que vous nous envoyez, y compris via l’assistant IA intégré lorsque vous soumettez une question contenant des identifiants d’appareils ou de lieux.

4. Finalités et bases légales

5. Hébergement, sous-traitants et localisation des données

Les données personnelles et la télémétrie opérationnelle sont hébergées sur une infrastructure située dans l’Union européenne. Nous nous appuyons sur les sous-traitants suivants :

• Supabase (Francfort, Allemagne) : base de données principale, authentification, stockage de fichiers.
• Vercel (régions edge UE) : hébergement de l’application, analytics, speed insights.
• SendGrid (Twilio Ireland Limited) : livraison des e-mails transactionnels (liens de connexion, invitations, réinitialisations de mot de passe).
• Microsoft (résidence des données UE) : Azure Active Directory pour l’authentification unique facultative.
• Google: Google Identity pour l’authentification unique facultative. Lorsque vous vous connectez avec Google, la négociation OAuth implique les serveurs de Google (États-Unis) ; seuls les identifiants et claims OAuth que vous autorisez sont transmis.
• OpenAI (via Vercel AI Gateway) : inférence par modèle de langage utilisée par l’assistant IA facultatif. Le contenu des conversations que vous soumettez à l’assistant est transmis à OpenAI strictement pour générer une réponse et n’est pas utilisé pour entraîner leurs modèles.

Tous les sous-traitants sont liés par des accords de sous-traitance conformes à l’article 28 du RGPD. Les transferts hors EEE, lorsqu’ils ont lieu (Google Identity, OpenAI), reposent sur les Clauses contractuelles types de la Commission européenne.

6. Cookies et stockage local

Nous utilisons un petit nombre de cookies strictement nécessaires et d’entrées de localStorage pour vous maintenir connecté, mémoriser vos préférences de langue et de thème, et persister des choix d’interface comme la largeur du rail de gauche et la taille du panneau de chat IA. Nous n’utilisons pas de cookies publicitaires ni de pisteurs tiers.

7. Conservation

Nous conservons les données personnelles pendant la durée de votre compte dans l’organisation concernée. Lorsque votre compte est supprimé, nous effaçons ou anonymisons les identifiants personnels dans un délai de trente (30) jours, sauf lorsqu’une conservation plus longue est requise pour respecter une obligation légale ou défendre un droit en justice.

La télémétrie opérationnelle est conservée pendant la durée convenue avec l’organisation (typiquement la durée du contrat de monitoring) et est rendue append-only par des garde-fous au niveau de la base de données : elle ne peut être silencieusement écrasée ou supprimée.

8. Vos droits

Sous réserve des conditions prévues par la loi applicable, vous disposez du droit :

• d’accéder aux données personnelles vous concernant ;
• de rectifier les données inexactes ou incomplètes ;
• de demander l’effacement de vos données personnelles ;
• de limiter ou de vous opposer à certains traitements ;
• de recevoir vos données personnelles dans un format portable ;
• d’introduire une réclamation auprès de la CNIL (cnil.fr) si vous estimez que vos droits n’ont pas été respectés.

Pour exercer ces droits, écrivez à admin@drexo.com. Nous répondrons dans un délai de trente (30) jours.

9. Sécurité

Nous mettons en œuvre les mesures techniques et organisationnelles appropriées au risque, notamment le chiffrement en transit (TLS), le chiffrement au repos au niveau de la base de données, le contrôle d’accès basé sur les rôles avec des politiques de sécurité au niveau des lignes (Row-Level Security), la journalisation des actions administratives, et le principe du moindre privilège pour l’ensemble des sous-traitants.

10. Mineurs

Le Service est destiné à un usage professionnel par les opérateurs des installations supervisées et ne cible pas les personnes de moins de seize (16) ans. Nous ne collectons pas sciemment de données personnelles auprès d’enfants.

11. Modifications de la présente politique

Nous pouvons mettre à jour la présente politique. En cas de modification substantielle, nous en informerons les utilisateurs actifs par e-mail au moins quatorze (14) jours avant l’entrée en vigueur. La date de « dernière mise à jour » au sommet de cette page reflète la révision la plus récente.

12. Contact

Délégué à la protection des données : admin@drexo.com