Politique de confidentialité

1. Responsable du traitement

Le responsable du traitement des données personnelles collectées via le service adProprio (adproprio.com) est Faramond Sp. z o.o., dont les coordonnées complètes figurent dans les Mentions légales.

Aucun délégué à la protection des données (DPO) n'a été désigné, la société ne remplissant pas les critères de désignation obligatoire prévus à l'article 37 du RGPD.

Pour toute question relative à la présente politique ou à l'exercice de vos droits, contactez-nous à l'adresse suivante : [email protected].

2. Données collectées

Dans le cadre de la fourniture du service, nous sommes amenés à traiter les catégories de données suivantes :

Données de compte : adresse e-mail, nom et prénom, collectés lors de la création du compte. L'authentification est gérée via Supabase Auth (mécanisme e-mail / mot de passe).
Données de gestion locative : informations relatives aux biens immobiliers, aux locataires (nom, prénom, adresse, e-mail, numéro de téléphone), aux baux, aux paiements de loyer et aux ordres de travaux. Ces données sont saisies librement par l'utilisateur (voir section 4 — rôle de l'utilisateur en tant que responsable de traitement).
Documents générés : contenus HTML des baux, quittances et autres documents générés via l'application, stockés en base de données.
Données de contact : nom, adresse e-mail et contenu du message transmis via le formulaire de contact du site.
Données techniques : adresse IP, type de navigateur et de système d'exploitation, pages consultées, durée des sessions. Ces données ne sont collectées à des fins analytiques qu'avec votre consentement préalable via le bandeau de cookies. Les journaux serveurs essentiels (adresse IP, requêtes) peuvent être conservés à des fins de sécurité sans consentement, sur la base de l'intérêt légitime.
Données de l'assistant IA : historique des conversations échangées avec l'assistant IA immobilier intégré à l'application. Ces échanges sont transmis à Anthropic, PBC pour la génération des réponses et ne sont pas conservés par Anthropic au-delà du traitement de la requête.

Nous ne collectons aucune donnée dite « sensible » au sens de l'article 9 du RGPD (origine ethnique, opinions politiques, données de santé, etc.).

3. Finalités et bases légales

Le tableau ci-dessous détaille les finalités de traitement et leur base légale au sens de l'article 6 du RGPD :

Fourniture du service de gestion locative — Base légale : exécution du contrat (art. 6.1.b). Comprend la création et la gestion du compte, l'accès aux fonctionnalités de gestion des biens, locataires, baux et paiements.
Génération et stockage de documents — Base légale : exécution du contrat (art. 6.1.b). Les documents générés (baux, quittances) sont stockés pour permettre leur consultation ultérieure et leur envoi.
Gestion de l'abonnement et facturation — Base légale : exécution du contrat (art. 6.1.b) et obligation légale pour la conservation des pièces comptables (art. 6.1.c).
Traitement des demandes de contact — Base légale : intérêt légitime (art. 6.1.f), à savoir répondre aux sollicitations des utilisateurs et prospects.
Cookies analytiques et mesure d'audience — Base légale : consentement (art. 6.1.a). Ces traitements ne sont activés qu'après votre acceptation explicite.
Sécurité et prévention des fraudes — Base légale : intérêt légitime (art. 6.1.f), à savoir assurer l'intégrité et la sécurité du service.
Amélioration du service — Base légale : intérêt légitime (art. 6.1.f), dans la mesure où l'amélioration bénéficie directement aux utilisateurs et n'empiète pas sur leurs droits fondamentaux.
Conservation des données comptables — Base légale : obligation légale (art. 6.1.c), notamment les obligations de conservation prévues par la réglementation fiscale et comptable applicable (10 ans).

4. Rôle de l'utilisateur en tant que responsable de traitement

Lorsqu'un bailleur (utilisateur d'adProprio) saisit des données personnelles relatives à ses locataires (nom, prénom, adresse, e-mail, téléphone, etc.) dans l'application, il agit en qualité de responsable du traitement au sens de l'article 4 du RGPD pour ces données. Faramond Sp. z o.o. agit alors en qualité de sous-traitant au sens de l'article 28 du RGPD, en traitant ces données pour le compte et sur instruction de l'utilisateur.

En conséquence, il appartient à l'utilisateur de :

Informer ses locataires du traitement de leurs données personnelles, conformément aux articles 13 et 14 du RGPD ;
S'assurer de disposer d'une base légale valide pour le traitement des données de ses locataires (exécution du contrat de bail, obligation légale, etc.) ;
Répondre aux demandes d'exercice de droits formulées par ses locataires (accès, rectification, effacement, etc.) ;
Ne pas saisir dans l'application des données inutiles ou disproportionnées au regard de la gestion locative.

adProprio n'utilise pas les données des locataires à d'autres fins que la fourniture du service à l'utilisateur.

Engagements d'adProprio en tant que sous-traitant (article 28 du RGPD) : les présentes dispositions constituent l'accord de sous-traitance entre l'utilisateur (responsable de traitement) et adProprio (sous-traitant) pour le traitement des données des locataires. À ce titre, adProprio s'engage à :

Ne traiter les données des locataires que sur instruction documentée de l'utilisateur, dans le cadre strict de la fourniture du Service ;
Garantir que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité ;
Mettre en œuvre les mesures techniques et organisationnelles de sécurité décrites à la section 9 de la présente politique ;
Ne pas faire appel à un autre sous-traitant sans en informer l'utilisateur (la liste des sous-traitants figure à la section 6) ;
Assister l'utilisateur, dans la mesure du possible, dans le traitement des demandes d'exercice de droits formulées par ses locataires ;
Notifier l'utilisateur sans délai indu en cas de violation de données concernant les données de ses locataires ;
Supprimer les données des locataires dans un délai de 30 jours suivant la suppression du compte de l'utilisateur, sauf obligation légale de conservation.

5. Durée de conservation

Les données sont conservées selon les durées suivantes :

Données de compte (e-mail, nom, prénom) : conservées pendant toute la durée de vie du compte, puis supprimées dans un délai de 30 jours après la suppression du compte.
Données de gestion locative (biens, locataires, baux, paiements) : conservées pendant toute la durée de vie du compte. En cas de suppression du compte, ces données sont supprimées dans un délai de 30 jours.
Documents générés : conservés pendant toute la durée de vie du compte et supprimés lors de la suppression du compte (délai de 30 jours).
Données de contact (formulaire) : conservées pendant 12 mois à compter de la réception du message.
Données techniques et analytiques : conservées pour une durée maximale de 13 mois à compter de leur collecte, conformément aux recommandations de la CNIL.
Données comptables et de facturation : conservées pendant 10 ans à compter de leur émission, en application de l'obligation légale de conservation des pièces comptables.
Conversations avec l'assistant IA : stockées en session pour la durée de la conversation. Elles ne sont pas conservées de manière permanente après déconnexion.

6. Sous-traitants et destinataires

Vos données ne sont jamais vendues à des tiers. Dans le cadre strict de la fourniture du service, nous faisons appel aux sous-traitants techniques suivants :

Cloudflare, Inc. (États-Unis) — hébergement CDN du site web, protection DDoS et optimisation des performances. Cloudflare traite les requêtes réseau et peut avoir accès aux adresses IP des visiteurs.
Supabase, Inc. (États-Unis — données hébergées en France, région AWS eu-west-3 Paris) — base de données relationnelle, authentification des utilisateurs, fonctions serveur (Edge Functions). L'ensemble des données utilisateurs est stocké sur des serveurs situés en France.
Resend, Inc. (États-Unis) — envoi des e-mails transactionnels (confirmation de compte, notifications de loyers, envoi de documents). Resend traite les adresses e-mail des destinataires ainsi que le contenu des messages envoyés.
Anthropic, PBC (États-Unis) — traitement des requêtes de l'assistant IA immobilier. Les conversations sont transmises à Anthropic pour la génération des réponses et ne sont pas conservées par Anthropic au-delà du traitement immédiat de la requête.
Stripe, Inc. (États-Unis — certifié EU-US Data Privacy Framework) — traitement des paiements par carte bancaire. Stripe traite les données de paiement (numéro de carte, date d'expiration) directement, sans qu'adProprio n'y ait accès ni ne les stocke. Les données de facturation (montant, date, statut) sont conservées par adProprio.

Cette liste est tenue à jour. Toute modification substantielle sera reflétée dans la présente politique.

7. Transferts hors Espace Économique Européen

Les données utilisateurs sont hébergées en France (région AWS eu-west-3, Paris) via Supabase. Toutefois, plusieurs de nos sous-traitants sont établis aux États-Unis, ce qui implique des transferts de données hors de l'Espace Économique Européen (EEE) pour certaines opérations de traitement.

Ces transferts sont encadrés par les garanties appropriées suivantes :

EU-US Data Privacy Framework (DPF) : pour les sous-traitants certifiés auprès du Department of Commerce américain dans le cadre du DPF, reconnu adéquat par la Commission européenne (décision du 10 juillet 2023).
Clauses contractuelles types (CCT) : adoptées par la Commission européenne, intégrées dans les contrats de sous-traitance pour les transferts vers des pays tiers ne bénéficiant pas d'une décision d'adéquation.

Pour obtenir des informations sur les garanties spécifiques mises en place avec chaque sous-traitant, vous pouvez nous contacter à [email protected].

8. Cookies

Le site adproprio.com utilise des cookies et technologies similaires. Voici les catégories de cookies employées :

Cookies essentiels (pas de consentement requis) : ces cookies sont strictement nécessaires au fonctionnement du service. Ils comprennent notamment les jetons de session d'authentification Supabase (JWT) et les cookies de préférences d'interface. Ils ne peuvent pas être désactivés sans affecter le fonctionnement du service. Durée : durée de la session ou 7 jours maximum pour les jetons de rafraîchissement.
Cookies analytiques (consentement requis) : si vous y consentez via le bandeau de cookies, des cookies analytiques peuvent être déposés afin de mesurer l'audience et d'améliorer l'expérience utilisateur. Aucun outil d'analyse n'est activé sans votre consentement préalable. Durée : 13 mois maximum, conformément aux recommandations de la CNIL.
Cookies publicitaires ou de pistage : aucun cookie de ce type n'est utilisé sur adproprio.com.

Vous pouvez à tout moment gérer vos préférences en matière de cookies directement depuis les paramètres de votre navigateur (Chrome, Firefox, Safari, Edge…). La désactivation des cookies essentiels peut empêcher l'accès au service.

9. Sécurité

Faramond Sp. z o.o. met en œuvre les mesures techniques et organisationnelles suivantes pour protéger vos données personnelles :

Chiffrement en transit : toutes les communications entre votre navigateur et nos serveurs sont chiffrées via le protocole HTTPS/TLS.
Chiffrement au repos : les données stockées en base de données sont chiffrées au repos.
Row Level Security (RLS) : le moteur de base de données applique des politiques de sécurité par ligne garantissant que chaque utilisateur ne peut accéder qu'à ses propres données, même en cas de requête mal formée.
Authentification sécurisée : l'accès au service repose sur des jetons JWT à durée de vie limitée, gérés par Supabase Auth.
Sauvegardes régulières : des sauvegardes automatiques de la base de données sont effectuées régulièrement afin de garantir la continuité du service en cas d'incident.
Accès restreint aux données de production : l'accès aux environnements de production est limité aux personnes habilitées et soumis à des contrôles d'accès stricts.

Malgré ces mesures, aucun système d'information n'offre une garantie absolue de sécurité. En cas de violation de données à caractère personnel, adProprio s'engage à :

Notifier la CNIL dans un délai de 72 heures après en avoir pris connaissance, conformément à l'article 33 du RGPD, sauf si la violation n'est pas susceptible d'engendrer un risque pour les droits et libertés des personnes concernées ;
Informer les utilisateurs concernés dans les meilleurs délais lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés, conformément à l'article 34 du RGPD ;
Notifier les utilisateurs agissant en qualité de responsable de traitement (bailleurs) sans délai indu lorsque la violation concerne les données de leurs locataires, afin qu'ils puissent remplir leurs propres obligations de notification.

10. Vos droits

Conformément au Règlement (UE) 2016/679 (RGPD), vous disposez des droits suivants concernant vos données personnelles :

Droit d'accès (art. 15) : vous pouvez obtenir confirmation que des données vous concernant sont traitées et en obtenir une copie.
Droit de rectification (art. 16) : vous pouvez demander la correction de données inexactes ou incomplètes.
Droit à l'effacement (art. 17) : vous pouvez demander la suppression de vos données, sous réserve des obligations légales de conservation.
Droit à la limitation du traitement (art. 18) : vous pouvez demander la suspension temporaire du traitement de vos données dans les cas prévus par le RGPD.
Droit à la portabilité (art. 20) : vous pouvez recevoir vos données dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable de traitement.
Droit d'opposition (art. 21) : vous pouvez vous opposer au traitement de vos données fondé sur l'intérêt légitime, pour des raisons tenant à votre situation particulière.
Droit de retirer votre consentement : lorsque le traitement est fondé sur votre consentement (ex. cookies analytiques), vous pouvez le retirer à tout moment, sans que cela ne remette en cause la licéité des traitements effectués avant ce retrait.
Directives relatives au sort des données après le décès : vous pouvez définir des directives concernant la conservation, l'effacement ou la communication de vos données après votre décès, conformément à l'article 85 de la loi Informatique et Libertés.

Pour exercer l'un de ces droits, adressez votre demande par e-mail à [email protected] en précisant votre identité. Nous nous engageons à répondre dans un délai d'un mois à compter de la réception de votre demande. Ce délai peut être prolongé de deux mois en cas de demandes complexes ou nombreuses, auquel cas nous vous en informerons.

11. Droit de réclamation auprès de la CNIL

Si vous estimez que le traitement de vos données personnelles n'est pas conforme au RGPD, vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente :

Commission Nationale de l'Informatique et des Libertés (CNIL)
3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
Site web : www.cnil.fr

En tant que responsable du traitement établi en Pologne, l'autorité de contrôle chef de file au sens de l'article 56 du RGPD est l'Urząd Ochrony Danych Osobowych (UODO) (Office polonais de protection des données personnelles). Vous pouvez néanmoins adresser votre réclamation à la CNIL si vous résidez en France ou si le traitement vous affecte en France.

12. Décisions automatisées

adProprio ne procède à aucune prise de décision entièrement automatisée produisant des effets juridiques significatifs vous concernant au sens de l'article 22 du RGPD. L'assistant IA intégré à l'application fournit des suggestions à titre informatif ; toute décision finale demeure du ressort de l'utilisateur.

13. Modification de la présente politique

La présente politique de confidentialité peut être modifiée à tout moment pour refléter les évolutions légales, réglementaires ou fonctionnelles du service. En cas de modification substantielle, nous vous en informerons par e-mail ou par une notification visible dans l'application au moins 15 jours avant l'entrée en vigueur des modifications. La date de la dernière mise à jour figure en haut de la présente page.

Nous vous encourageons à consulter régulièrement cette page afin de prendre connaissance de la version en vigueur.

14. Contact

Pour toute question relative à la présente politique de confidentialité ou au traitement de vos données personnelles, vous pouvez nous contacter :

Par e-mail : [email protected]
Via le formulaire de contact du site
Par courrier : Faramond Sp. z o.o., Al. Jerozolimskie 81 lok.7.10, 02-001 Warszawa, Pologne