Conformite des Donnees

RGPD, securite et engagements — Derniere mise a jour : 8 mai 2025

1. Engagement de conformite RGPD

IROSIER s'engage a traiter les donnees personnelles de ses utilisateurs et de leurs prospects dans le strict respect du Reglement General sur la Protection des Donnees (RGPD — Reglement UE 2016/679), de la loi Informatique et Libertes du 6 janvier 1978 modifiee, et de la directive ePrivacy.

Cet engagement se traduit par les principes suivants, appliques a chaque etape du cycle de vie des donnees :

2. Principes fondamentaux appliques

Liceite, loyaute et transparenceArt. 5.1.a

Chaque traitement repose sur une base legale identifiee (contrat, obligation legale, interet legitime ou consentement). Les utilisateurs sont informes de maniere claire et accessible de la nature et de la finalite des traitements.

Limitation des finalitesArt. 5.1.b

Les donnees sont collectees pour des finalites determinees, explicites et legitimes. Elles ne sont jamais reutilisees pour des finalites incompatibles avec celles pour lesquelles elles ont ete initialement collectees.

Minimisation des donneesArt. 5.1.c

Seules les donnees strictement necessaires a la fourniture des services sont collectees. Aucune donnee superflue n'est demandee a l'inscription ou pendant l'utilisation.

ExactitudeArt. 5.1.d

Les utilisateurs peuvent modifier leurs donnees personnelles a tout moment depuis leur espace. Les donnees de leads sont actualisees a chaque nouveau scraping.

Limitation de la conservationArt. 5.1.e

Des durees de conservation precises sont definies pour chaque categorie de donnees. A expiration, les donnees sont anonymisees ou supprimees de maniere irreversible.

Integrite et confidentialiteArt. 5.1.f

Des mesures techniques et organisationnelles appropriees garantissent la securite des donnees contre tout acces non autorise, toute perte ou destruction accidentelle.

3. Architecture technique et securite

L'architecture technique d'IROSIER a ete concue avec la protection des donnees integree des la conception (Privacy by Design, article 25 du RGPD) :

3.1. Chiffrement

  • En transit : Toutes les communications client-serveur utilisent HTTPS/TLS 1.3. Aucune donnee ne circule en clair.
  • Au repos : Les donnees stockees dans Supabase (PostgreSQL) sont chiffrees avec AES-256. Les sauvegardes sont egalement chiffrees.
  • Mots de passe : Hashes via bcrypt avec salage individuel — jamais stockes en clair ni en hashage reversible.

3.2. Isolation des donnees (multi-tenant)

  • Row Level Security (RLS) : Chaque requete a la base de donnees est automatiquement filtree par l'identifiant de l'utilisateur. Un agent ne peut jamais acceder aux donnees d'un autre agent.
  • Tokens JWT signes : L'authentification repose sur des tokens JWT signes cote serveur avec expiration automatique.
  • Service Role isole : Les operations systeme utilisent un client Supabase a droits limites, distinct des acces utilisateurs.

3.3. Paiements

  • Zero donnee bancaire stockee : Les paiements sont traites integralement par Stripe (certifie PCI DSS Level 1). IROSIER ne recoit, ne stocke et ne traite aucune donnee de carte bancaire.
  • Webhook securise : Les notifications de paiement Stripe sont verifiees par signature cryptographique avant traitement.

4. Sous-traitants et localisation des donnees

IROSIER fait appel aux sous-traitants suivants, selectionnes pour leurs garanties de securite et de conformite RGPD :

SOUS-TRAITANTSERVICELOCALISATIONGARANTIE
SupabaseBase de donnees, AuthUE (Francfort)CCT, SOC2
VercelHebergement webCDN mondialCCT, SOC2
StripePaiementsIrlande (UE)PCI DSS, CCT
Google (Gemini)IA generativeEtats-UnisCCT, DPF
ResendEmails transactionnelsEtats-UnisCCT

CCT = Clauses Contractuelles Types (Decision UE 2021/914). DPF = EU-US Data Privacy Framework. SOC2 = Certification de securite System and Organization Controls 2.

5. Donnees des leads et scraping

IROSIER detecte des leads vendeurs en collectant des informations provenant d'annonces immobilieres publiees publiquement sur des sites tiers (LeBonCoin, PAP, SeLoger, etc.). Cette collecte repose sur l'interet legitime (article 6.1.f du RGPD) de l'agent immobilier a prospecter des vendeurs potentiels.

GARANTIES CONCERNANT LES DONNEES DE LEADS

  • Seules les informations publiquement accessibles sont collectees (annonce publiee, coordonnees affichees par le vendeur)
  • Aucune donnee n'est collectee via des moyens illicites (infiltration, hacking, interception)
  • Les donnees de leads sont stockees uniquement dans le compte de l'agent qui les a demandees
  • Les leads peuvent etre supprimes a tout moment par l'agent depuis son interface
  • Les donnees inactives sont automatiquement supprimees apres 3 ans
  • Tout particulier vendeur peut exercer son droit d'opposition en contactant IROSIER

Si un particulier vendeur souhaite que ses donnees soient supprimees des bases IROSIER, il peut envoyer sa demande a maximerosier54@gmail.com. La suppression sera effectuee dans un delai de 72 heures.

6. Intelligence artificielle et donnees

IROSIER utilise l'API Google Gemini pour generer des contenus textuels. Voici nos engagements concernant l'utilisation de l'IA :

  • Pas d'entrainement sur vos donnees : Les donnees envoyees a Google Gemini via l'API ne sont pas utilisees pour entrainer les modeles de Google (conformement aux conditions d'utilisation de l'API Gemini)
  • Donnees minimales : Seules les informations necessaires a la generation du contenu sont transmises (type de bien, localisation, prix — jamais d'identifiants personnels directs du vendeur)
  • Pas de stockage cote Google : Les requetes API ne sont pas conservees par Google au-dela du traitement immediat
  • Responsabilite humaine : Tout contenu genere par l'IA doit etre relu et valide par l'utilisateur avant envoi ou publication

7. Gestion des incidents de securite

En cas de violation de donnees personnelles (article 33 du RGPD), IROSIER s'engage a :

  • Notifier la CNIL dans un delai de 72 heures apres en avoir pris connaissance, si la violation est susceptible d'engendrer un risque pour les droits et libertes des personnes
  • Informer les personnes concernees dans les meilleurs delais si la violation est susceptible d'engendrer un risque eleve (article 34 du RGPD)
  • Documenter toute violation dans un registre interne, quel que soit son niveau de gravite
  • Mettre en oeuvre les mesures correctives necessaires pour limiter les consequences et prevenir toute recurrence

8. Droits des personnes concernees

Conformement aux articles 15 a 22 du RGPD, toute personne dont les donnees sont traitees par IROSIER dispose des droits suivants : acces, rectification, effacement, portabilite, opposition, limitation du traitement, et retrait du consentement.

Ces droits peuvent etre exerces a tout moment par email a maximerosier54@gmail.com. Le delai de reponse est de 30 jours maximum.

Pour le detail complet de vos droits, consultez notre Politique de Confidentialite.

9. Registre des traitements

Conformement a l'article 30 du RGPD, IROSIER tient un registre des activites de traitement qui recense l'ensemble des traitements de donnees personnelles effectues. Ce registre est tenu a la disposition de la CNIL sur demande.

Les principales categories de traitements sont : gestion des comptes utilisateurs, fourniture des services de detection de leads, generation de contenus par IA, facturation et paiement, support client, et analyse d'usage anonymisee.

10. Contact

Pour toute question relative a la conformite des donnees ou pour exercer vos droits :

Responsable : Maxime Rosier

Email : maximerosier54@gmail.com

Telephone : 06 86 20 70 90

Autorite de controle : CNIL — www.cnil.fr — 01 53 73 22 22

Retour a l'accueil