Politique de Confidentialité
Dernière mise à jour : 20 juillet 2025
1. Responsable de Traitement
Le responsable de traitement des données collectées via le présent site et les services associés est : EI Tom Arnaud Berger (Nom commercial : Gestéo), SIRET 889 187 878 00034, siège : B407, 38 rue Charles-Perrault, 34070 Montpellier – France. TVA non applicable (art. 293 B CGI). Contact principal : [email protected].
2. Champ d’Application
La présente politique décrit les traitements de données à caractère personnel réalisés dans le cadre : (i) de la navigation sur le site vitrine, (ii) de la création et gestion de comptes, (iii) de l’utilisation des fonctionnalités de gestion locative, (iv) de l’assistance & support, (v) de la facturation, (vi) de la mesure d’audience soumise à consentement, et (vii) des communications d’information (newsletter / emails ponctuels).
3. Bases Légales & Finalités
| Finalité | Catégories de données | Base légale (art. 6 RGPD) | Durée de conservation indicative* |
|---|---|---|---|
| Création & gestion du compte | Identité, coordonnées, identifiants, préférences | Exécution du contrat | Vie du compte + 3 ans inactivité (puis anonymisation ou suppression) |
| Fonctionnalités de gestion locative | Données opérationnelles saisies (baux, documents, montants, métadonnées) | Exécution du contrat / Obligation légale | Durées légales & prescription civile/commerciale pertinentes |
| Support & assistance | Échanges, tickets, logs corrélés | Intérêt légitime (qualité & traçabilité) | Jusqu’à 2 ans après clôture du ticket |
| Facturation & comptabilité | Identité, adresse, données de facturation | Obligation légale | 10 ans (pièces comptables) |
| Sécurité & prévention des abus | Identifiants techniques, adresses IP, journaux | Intérêt légitime (sécurité des services) | Jusqu’à 12 mois (prolongé si enquête incident) |
| Mesure d’audience (GA4 configuré minimisation) | Événements, IDs cookies/équivalents, données pseudonymisées | Consentement | 13 mois (cookies) / Agrégats anonymes ultérieurs |
| Communication (newsletter / informations produit) | Email, prénom, préférences | Consentement (opt-in) ou intérêt légitime B2B ciblé | 3 ans après dernier contact actif |
*Au terme : suppression ou anonymisation irréversible (sauvegardes : cycle limité).
4. Données Collectées (principales catégories)
- Données d’identité & contact : nom, prénom, email.
- Données de compte : identifiants, préférences.
- Données locatives saisies (contenus métier fournis par l’utilisateur).
- Données techniques : logs, événements, configuration navigateur.
- Données de facturation : historique factures, montants, justificatifs requis.
- Données d’audience (après consentement) : événements analytiques pseudonymisés.
5. Absence de Données Sensibles
Nous ne sollicitons ni n’exigeons de catégories particulières de données (dites « sensibles » au sens de l’art. 9 RGPD). L’utilisateur s’engage à ne pas insérer de telles données dans des champs libres non destinés à cet effet.
6. Destinataires & Sous‑Traitants
Accès limité selon le principe du besoin d’en connaître : (i) Responsable de traitement (gestion interne), (ii) Hébergeur & infrastructure (OneProvider), (iii) Protection & performance réseau (Cloudflare), (iv) Outil de mesure d’audience (Google Analytics 4, après consentement), (v) Prestataires comptables & fiscaux (facturation), (vi) Autorités légalement habilitées. Des accords de traitement / DPA intégrant Clauses Contractuelles Types (SCC) ou mécanismes pertinents encadrent les prestataires concernés.
7. Transferts Internationaux
Les traitements peuvent impliquer des flux vers des prestataires disposant d’infrastructures hors de l’Espace Économique Européen (ex. services réseau & analytique). Ceux-ci sont encadrés par les SCC, engagements contractuels et mesures techniques (chiffrement en transit, minimisation d’événements, absence de stockage de l’adresse IP en clair dans GA4). Une évaluation régulière des risques de divulgation non proportionnée est conduite ; les données non essentielles ne sont pas transmises.
8. Cookies & Traceurs
Lors de la première visite, un mécanisme de recueil de consentement (bannière / panneau de préférences) permet d’accepter ou refuser par finalité les traceurs non essentiels. Sont exemptés de consentement : cookies strictement nécessaires (authentification, équilibre de charge, sécurité). Sont soumis à consentement : mesure d’audience (GA4) si elle dépasse la simple production de statistiques anonymes compatibles avec les lignes directrices autorités ; en cas de retrait du consentement, aucun nouvel événement non essentiel n’est envoyé.
9. Mesure d’Audience (Google Analytics 4)
GA4 est configuré pour minimiser les données : absence de stockage local d’IP complète, limitation de la durée de vie des identifiants, absence d’activation de fonctionnalités publicitaires sans consentement, désactivation des signaux de personnalisation et respect des préférences de retrait. Malgré ces mesures, certaines autorités européennes ont rappelé la vigilance requise sur les transferts ; nous évaluons périodiquement la pertinence de solutions alternatives et ajustons la configuration en conséquence.
10. Sécurité
Mesures mises en œuvre (adaptées selon l’état de l’art) : chiffrement TLS, contrôle d’accès par rôles, journalisation horodatée, limitation & rotation des droits, pare-feu applicatif et atténuation DDoS, prévention des injections & attaques automatisées, tests périodiques, sauvegardes chiffrées à rétention limitée, conditions contractuelles imposant des mesures équivalentes aux sous‑traitants.
11. Conservation
Les durées sont proportionnées aux finalités (cf. tableau) et aux prescriptions légales (ex. pièces comptables 10 ans). Les données arrivées à échéance font l’objet d’une suppression ou anonymisation sécurisée ; les sauvegardes sont purgées conformément à leur cycle. Les journaux de sécurité sont conservés sur une période courte puis agrégés.
12. Vos Droits
Vous disposez des droits d’accès, rectification, effacement, limitation, opposition (y compris à la prospection), portabilité, retrait du consentement à tout moment, ainsi que du droit d’introduire une réclamation auprès d’une autorité de contrôle (en France : CNIL). Le droit à l’effacement et le droit à la limitation s’exercent selon les conditions prévues aux articles 17 et 18 RGPD. En cas de doute raisonnable sur votre identité, un justificatif pourra être demandé.
13. Modalités d’Exercice
Pour exercer vos droits ou poser une question relative à la protection des données, écrivez à [email protected]. Réponse sous un (1) mois à compter de la réception, délai prorogeable de deux (2) mois compte tenu de la complexité ou du nombre de demandes ; vous serez informé en cas de prolongation.
14. Décisions Automatisées & Profilage
Aucun traitement ne conduit à une décision produisant des effets juridiques ou vous affectant de manière significative de façon exclusivement automatisée ; la mesure d’audience ne vise qu’à produire des analyses agrégées.
15. Mise à Jour
La présente politique peut être modifiée pour refléter des évolutions réglementaires, techniques ou organisationnelles ; en cas de changement substantiel affectant vos droits ou le périmètre des finalités, une information préalable (bannière, email ou autre canal approprié) sera fournie avant entrée en vigueur.
16. Contact
Toute question relative à la protection des données : [email protected]. Pour une réclamation, vous pouvez également saisir la CNIL (www.cnil.fr).