Politique de confidentialité

Gestéo est un logiciel SaaS de gestion locative qui permet aux propriétaires bailleurs de gérer eux-mêmes leur patrimoine. Pour rendre ce service, nous traitons des données personnelles, les vôtres et, lorsque vous l’utilisez, celles de vos locataires. La présente politique explique quelles données nous collectons, pourquoi, sur quelle base juridique, à qui elles sont communiquées, combien de temps elles sont conservées, comment nous les sécurisons et comment vous pouvez exercer vos droits.

Elle s’applique au site gesteo.co, à l’application app.gesteo.co et à tous les services qui s’y rattachent. Elle complète, sans s’y substituer, les conditions générales d’utilisation et les conditions générales de vente.

Les termes utilisés ici (« responsable de traitement », « sous-traitant », « donnée à caractère personnel », « consentement ») sont entendus au sens du Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et de la loi n° 78-17 du 6 janvier 1978 modifiée (« Informatique et Libertés »).

Le responsable du traitement des données collectées via gesteo.co et app.gesteo.co est Tom Arnaud Berger, exerçant en entreprise individuelle sous l’enseigne « Gestéo », immatriculée au SIREN 889 187 878.

Pour toute question relative à vos données personnelles ou à l’exercice de vos droits, vous pouvez nous écrire à [email protected] ou par courrier à l’adresse de l’éditeur indiquée dans les mentions légales.

Compte tenu de la taille de la structure, Gestéo n’a pas désigné de Délégué à la Protection des Données. Les demandes liées au RGPD sont traitées directement par le responsable du traitement.

Il faut distinguer deux situations selon les données concernées.

Pour les données qui vous concernent personnellement (votre compte, votre facturation, votre navigation sur le site), Gestéo agit en qualité de responsable de traitement. Nous décidons des finalités et des moyens du traitement, et c’est sur cette base que vous pouvez exercer vos droits auprès de nous.

Pour les données que vous saisissez dans l’application et qui concernent vos locataires, vos biens, vos contrats de bail (nom du locataire, coordonnées, montants des loyers, états des lieux, quittances, etc.), Gestéo agit en qualité de sous-traitant au sens de l’article 28 du RGPD. Vous restez le responsable de traitement de ces données. Concrètement, cela signifie que c’est vous qui devez en informer les personnes concernées (vos locataires), répondre à leurs demandes de droits, et fixer la durée de conservation. Gestéo s’engage à ne traiter ces données que sur instruction du client et dans le strict cadre du contrat de service.

Nous collectons trois grandes catégories de données. La plupart sont fournies directement par vous lorsque vous créez un compte ou utilisez le service. Une partie est collectée automatiquement par les serveurs de l’application pour des raisons techniques et de sécurité.

Données de compte et de facturation. Lors de l’inscription et au fil de votre utilisation, nous collectons votre nom, prénom, adresse email, mot de passe (stocké sous forme chiffrée et jamais lisible en clair, y compris par nos équipes), et lorsque vous achetez un produit ou un abonnement, vos coordonnées de facturation. Nous ne stockons aucune donnée bancaire complète : les paiements transitent directement par Stripe (voir section 6) qui est seul détenteur de ces informations.

Données de gestion locative. Lorsque vous utilisez l’application, vous saisissez des informations sur vos biens (adresse, surface, diagnostics), vos baux (type, dates, loyer, dépôt de garantie), vos locataires (nom, coordonnées, situation contractuelle) et les documents associés (quittances, états des lieux, courriers). Comme indiqué en section 3, ces données sont traitées par Gestéo en tant que sous-traitant ; vous en restez responsable.

Données techniques et de navigation. Pour faire fonctionner et sécuriser le service, nos serveurs enregistrent automatiquement votre adresse IP, le type de navigateur et de système d’exploitation, la date et l’heure des connexions, les pages consultées, ainsi qu’un identifiant de session. Ces journaux sont nécessaires au fonctionnement du service, à la détection d’incidents de sécurité et à la lutte contre la fraude.

Chaque traitement repose sur l’une des bases légales prévues à l’article 6 du RGPD : exécution d’un contrat, obligation légale, consentement, ou intérêt légitime. Nous appliquons le principe de minimisation : nous ne collectons que ce qui est strictement nécessaire à chaque finalité.

La fourniture du service (création de compte, accès aux fonctionnalités, support utilisateur) repose sur l’exécution du contrat qui nous lie. Sans ces données, nous ne pouvons tout simplement pas vous fournir l’accès à Gestéo. Cette base légale couvre également la gestion de votre abonnement, le calcul des frais et l’envoi des emails opérationnels strictement nécessaires (confirmation, alertes de paiement, modifications de service).

La facturation et le respect des obligations comptables et fiscales reposent sur des obligations légales, en particulier l’article L.123-22 du Code de commerce qui impose la conservation des documents comptables pendant dix ans.

L’amélioration du service (analyse anonymisée de l’utilisation, correction de bugs, conception de nouvelles fonctionnalités) et la sécurité du service (logs, détection d’abus) reposent sur notre intérêt légitime à maintenir un produit qui fonctionne et qui n’est pas compromis. Nous avons mis en balance cet intérêt avec vos droits et libertés et veillons à utiliser, autant que possible, des données agrégées ou anonymisées.

La communication marketing (newsletter produit, guides éditoriaux, prospection commerciale) repose sur votre consentement lorsque la loi l’exige, ou sur l’intérêt légitime lorsque vous êtes déjà client et que les communications portent sur des produits similaires. Vous pouvez vous y opposer à tout moment via le lien de désinscription présent dans chaque email, ou en nous écrivant à [email protected].

Pour faire fonctionner Gestéo, nous nous appuyons sur quelques prestataires techniques. Chacun n’a accès qu’aux données strictement nécessaires à sa mission, est encadré par un contrat de sous-traitance conforme à l’article 28 du RGPD, et présente des garanties suffisantes en matière de sécurité.

En dehors de ces prestataires, vos données ne sont transmises à aucun tiers, sauf obligation légale (réquisition judiciaire, demande administrative encadrée). Gestéo ne vend, ne loue, ni n’échange jamais vos données à des fins commerciales.

Par principe, vos données sont hébergées et traitées dans l’Union européenne, principalement en France chez OVH. Deux transferts hors UE peuvent intervenir, tous deux encadrés par les Clauses Contractuelles Types adoptées par la Commission européenne (article 46 du RGPD) et par des mesures techniques supplémentaires.

Stripe traite les paiements depuis l’Irlande, mais sa maison mère étant établie aux États-Unis, certaines données peuvent y être traitées pour la lutte anti-fraude et la conformité réglementaire. Stripe est certifié PCI-DSS niveau 1, le standard le plus exigeant en matière de sécurité des paiements, et les données bancaires sont tokenisées.

Resend traite l’envoi des emails transactionnels depuis les États-Unis. Le contenu de ces emails (votre adresse email, l’objet et le corps du message) transite par leurs serveurs uniquement le temps de l’acheminement. Aucune donnée de l’application Gestéo n’est stockée durablement chez Resend au-delà de ce qui est nécessaire au suivi de la délivrabilité.

Nous appliquons le principe de limitation de la conservation : les données ne sont conservées que pendant la durée nécessaire à la finalité du traitement, augmentée des durées de conservation imposées par la loi (en particulier en matière comptable et fiscale). Au-delà, elles sont supprimées ou anonymisées de façon irréversible.

La sécurité des données est une responsabilité que nous prenons au sérieux. Nous mettons en œuvre des mesures techniques et organisationnelles appropriées au regard du risque et de l’état de l’art.

L’ensemble du trafic entre votre navigateur et nos serveurs est chiffré en HTTPS via TLS 1.2 ou supérieur. Les bases de données sont hébergées chez OVH en France, dans des centres de données certifiés ISO 27001 et SOC 2. Les sauvegardes sont quotidiennes et chiffrées. Les mots de passe ne sont jamais stockés en clair : ils sont hashés avec un algorithme cryptographique adapté (bcrypt ou équivalent). L’accès aux serveurs et aux bases est restreint à un nombre limité de comptes administrateurs, eux-mêmes protégés par authentification forte. Les logs d’accès aux systèmes sensibles sont conservés et audités.

Malgré cela, aucun système n’est inviolable. Si une violation de données venait à survenir et présentait un risque pour vos droits et libertés, nous notifierions la CNIL dans les 72 heures conformément à l’article 33 du RGPD, et vous informerions sans délai si le risque est élevé. Pour plus de détails, consultez la page Sécurité & données.

Le site et l’application utilisent un nombre réduit de cookies : strictement ceux nécessaires au fonctionnement du service (session, authentification, préférences) et, lorsque vous y consentez, des cookies de mesure d’audience permettant de comprendre comment le site est utilisé pour l’améliorer.

Les cookies strictement nécessaires sont déposés sans consentement préalable, conformément aux recommandations de la CNIL : ils ne peuvent pas être désactivés, sauf à empêcher l’usage du service. Les autres cookies ne sont déposés qu’après votre consentement explicite, recueilli via le bandeau cookies au premier accès. Vous pouvez retirer ce consentement à tout moment depuis le paramétrage des cookies ou en supprimant les cookies depuis votre navigateur.

Nous n’utilisons aucun cookie publicitaire ni traceur de profilage tiers (Facebook Pixel, Google Ads, etc.) sur les zones publiques du site.

Le RGPD vous reconnaît des droits que vous pouvez exercer à tout moment. Voici précisément ce que vous pouvez nous demander.

Droit d’accès. Obtenir la confirmation que des données vous concernant sont traitées, et en recevoir une copie dans un format lisible.

Droit de rectification. Faire corriger toute donnée inexacte ou incomplète. Pour la plupart, vous pouvez le faire vous-même depuis votre espace.

Droit à l’effacement. Demander la suppression de vos données quand elles ne sont plus nécessaires, que vous retirez votre consentement, ou que le traitement est illicite. Ce droit est limité par nos obligations légales : nous ne pouvons supprimer une facture pendant la durée de conservation comptable obligatoire.

Droit à la limitation. Demander que le traitement soit suspendu pendant que nous vérifions une contestation (exactitude, base légale, opposition).

Droit à la portabilité. Recevoir vos données dans un format structuré et couramment lisible (par exemple JSON ou CSV) pour les transmettre à un autre service.

Droit d’opposition. Vous opposer à tout moment à la prospection commerciale. Pour les traitements fondés sur l’intérêt légitime, vous pouvez vous opposer en invoquant des raisons tenant à votre situation particulière.

Directives post-mortem. Définir des directives sur le sort de vos données après votre décès, conformément à l’article 85 de la loi Informatique et Libertés.

Pour exercer un droit, écrivez-nous à [email protected] en précisant la nature de votre demande. Nous pouvons être amenés à vous demander une preuve d’identité en cas de doute raisonnable. Nous répondons sous un mois, prorogeable de deux mois pour les demandes complexes (article 12 du RGPD), avec information préalable de cette prorogation.

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL). C’est l’autorité de contrôle française en matière de protection des données.

CNIL, 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.
Téléphone : 01 53 73 22 22.
Site web : www.cnil.fr.