Politique de confidentialité
Dernière mise à jour : 17 mai 2026
1. Responsable du traitement
Responsable du traitement à compléter dans Paramètres > Entreprise.
Pas de Délégué à la Protection des Données (DPO) désigné (TPE, art. 37 RGPD).
2. Données collectées
- Formulaire de contact / devis : nom, prénom, email, téléphone, adresse du chantier, description du projet
- Création de compte : nom, prénom, email, mot de passe (haché via bcrypt par Supabase Auth)
- Espace artisan : paramètres entreprise, devis, factures, inventaire matériaux, prix personnalisés
- Analytics : données de navigation anonymisées (PostHog Cloud EU, uniquement avec consentement)
3. Finalités et bases légales
| Finalité | Base légale |
|---|---|
| Gestion des devis et factures | Exécution contractuelle (art. 6.1.b RGPD) |
| Gestion du compte artisan | Exécution contractuelle (art. 6.1.b RGPD) |
| Contact et suivi de projet | Intérêt légitime (art. 6.1.f RGPD) |
| Analytics de navigation | Consentement (art. 6.1.a RGPD) |
| Obligations fiscales (conservation factures) | Obligation légale (art. 6.1.c RGPD, L123-22 C.com) |
4. Hébergement et sous-traitants
Vos données sont hébergées en Union Européenne :
| Service | Fonction | Localisation | DPA |
|---|---|---|---|
| Supabase | Base de données, authentification | Frankfurt (EU) | DPA en vigueur |
| PostHog | Analytics (consentement) | Frankfurt (EU) | DPA en vigueur |
| OVHcloud AI Endpoints | Assistance IA (génération de devis, structuration OCR, anomalies, Q&A) — à activer | France (UE) | DPA OVHcloud (lien à confirmer) |
5. Transferts hors Union Européenne
Supabase Inc. et PostHog Inc. sont des sociétés américaines. Les garanties suivantes encadrent les transferts :
- Data Privacy Framework (DPF) : validé en première instance par le Tribunal de l'UE le 3 septembre 2025 (aff. T-553/23, Latombe), pourvoi pendant devant la CJUE.
- Clauses Contractuelles Types (SCCs) : intégrées dans les DPA respectifs de Supabase et PostHog (liens ci-dessus).
- Région EU : les deux services sont configurés sur la région Frankfurt (eu-central-1), garantissant le stockage et le traitement des données en Union Européenne.
- OVHcloud AI Endpoints (assistance IA, à activer) : société française, traitement en France — aucun transfert hors Union Européenne.
6. Durée de conservation
- Données comptables (factures, devis acceptés) : 10 ans (art. L123-22 C.com)
- Données de compte : durée du contrat + 3 ans après suppression
- Analytics PostHog : durée de session + 30 jours
- Données de contact : 3 ans après le dernier contact
7. Vos droits (art. 15 à 22 RGPD)
Vous disposez des droits suivants :
- Droit d'accès (art. 15) : obtenir une copie de vos données
- Droit de rectification (art. 16) : corriger vos données
- Droit à l'effacement (art. 17) : supprimer vos données
- Droit à la limitation (art. 18) : restreindre le traitement
- Droit à la portabilité (art. 20) : récupérer vos données au format JSON
- Droit d'opposition (art. 21) : vous opposer au traitement
- Retrait du consentement : pour les analytics, via le bandeau cookies ou les paramètres
Pour exercer ces droits : contactez l'artisan (coordonnées dans les mentions légales). Réponse sous 30 jours.
Vous pouvez également introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés).
8. Sécurité
- Mots de passe hachés via bcrypt (Supabase Auth, 12 rounds)
- Communications chiffrées en HTTPS TLS 1.2+
- Isolation des données artisan par Row Level Security (RLS) — chaque artisan n'accède qu'à ses propres données
- Chiffrement au repos AES-256 (infrastructure Supabase)
9. Cookies et traceurs
Ce site n'utilise aucun cookie publicitaire. Seuls sont utilisés :
- Stockage local (localStorage) : préférences d'interface et cache de session
- PostHog (uniquement avec consentement) : analyse de navigation anonymisée
10. Contact
Pour toute question relative à la protection de vos données : contactez l'artisan (coordonnées dans les mentions légales)