Politique de confidentialité

1. Introduction

La présente politique décrit comment ImmoSentinel collecte, utilise et protège les données personnelles dans le cadre de son service. Elle est rédigée conformément au Règlement (UE) 2016/679 (« RGPD ») et à la loi « Informatique et Libertés » modifiée.

2. Responsable de traitement

Pour les données des comptes utilisateurs (vous, agents et administrateurs de cabinets) : [À COMPLÉTER : raison sociale éditeur], désignée dans nos mentions légales.

Pour les données des clients enregistrés par les cabinets dans le Service : le cabinet utilisateur est responsable de traitement. ImmoSentinel agit alors en qualité de sous-traitant au sens de l'article 28 du RGPD.

3. Données collectées

3.1 Données des utilisateurs (agents)

• email professionnel ;
• nom et prénom (optionnels) ;
• mot de passe (stocké sous forme de hash bcrypt — jamais en clair) ;
• cabinet de rattachement et rôle (agent / admin) ;
• journal des connexions réussies/échouées (IP, user-agent, horodatage) — finalité : sécurité et détection des intrusions ;
• date et version d'acceptation des CGU.

3.2 Données des clients du cabinet

Selon le choix de l'agent : nom, prénom, email, téléphone, critères de recherche (budget, type, surface, villes, options), statut commercial, notes libres, source d'acquisition, historique de matches.

3.3 Données du module Patrimoine (si applicable)

Quand un client a explicitement consenti au partage avec un conseiller en gestion de patrimoine partenaire (article 6.1.a du RGPD — consentement) : email/téléphone partagés, adresse IP au moment du consentement, texte exact affiché au consentement, identifiant de l'agent ayant enregistré le consentement. Ces données servent à prouver l'origine et la validité du consentement en cas de contrôle CNIL.

4. Finalités des traitements

• Authentification et gestion des comptes (base : exécution du contrat) ;
• Fourniture du Service CRM immobilier (collecte, matching, rapports — base : exécution du contrat avec le cabinet) ;
• Sécurité (rate limit, détection brute-force, audit — base : intérêt légitime / obligation légale RGPD art 32) ;
• Conformité légale (registre des traitements, journalisation — base : obligation légale RGPD art 30) ;
• Partage de leads patrimoine (base : consentement explicite de la personne concernée).

5. Destinataires

Les données sont accessibles à :

• les utilisateurs du cabinet (selon leur rôle : un agent voit ses propres clients, l'admin cabinet voit tous les clients de l'agence) ;
• les administrateurs du réseau d'agences (groupe) si applicable ;
• les administrateurs ImmoSentinel (super-admin), strictement pour la maintenance et le support ;
• l'hébergeur OVH SAS, pour le stockage technique des données ;
• le conseiller en gestion de patrimoine partenaire, uniquement pour les clients ayant explicitement consenti.

Aucune donnée n'est cédée, vendue ou louée à des tiers à des fins commerciales.

6. Transferts hors UE

Les données sont hébergées en France (centre de données OVH à Roubaix). Aucun transfert hors Union européenne n'est réalisé.

7. Durées de conservation

• Comptes utilisateurs : pendant toute la durée d'activité, puis 1 an après désactivation pour traitement des litiges, puis suppression.
• Données clients : tant que le cabinet est actif. À la fin du contrat, suppression ou restitution selon le choix du cabinet.
• Consentements patrimoine actifs : tant que le consentement n'est pas retiré.
• Consentements patrimoine retirés : 3 ans après retrait (preuve légale RGPD art 7), puis hard delete automatique.
• Logs de connexion : 12 mois (recommandation CNIL).
• Sauvegardes chiffrées : 90 jours glissants, chiffrement Fernet AES-128.

8. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

• Accès : obtenir une copie des données vous concernant ;
• Rectification : corriger des données inexactes ;
• Effacement (« droit à l'oubli ») : faire supprimer vos données ;
• Portabilité : recevoir vos données dans un format structuré ;
• Limitation : restreindre temporairement le traitement ;
• Opposition : vous opposer au traitement pour motif légitime ;
• Retrait du consentement à tout moment, sans condition, pour les traitements basés sur le consentement.

Vous pouvez exercer ces droits directement depuis votre compte (Paramètres → « Exporter mes données » ou « Supprimer mon compte »), ou par email à contact@immosentinel.fr en joignant un justificatif d'identité.

Vous disposez également du droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr).

9. Sécurité

Mesures techniques et organisationnelles mises en place :

• chiffrement TLS (HTTPS) pour tous les échanges ;
• mots de passe stockés en hash bcrypt (irréversible) ;
• jetons d'authentification JWT signés (HS256) avec expiration ;
• rate limit et lockout anti brute-force ;
• headers HTTP de sécurité (HSTS, X-Frame-Options, CSP, etc.) ;
• sauvegardes chiffrées Fernet (AES-128) avec rotation ;
• isolation multi-tenant stricte par cabinet ;
• journal d'audit des actions sensibles (super-admin, RGPD).

10. Cookies et stockage local

ImmoSentinel n'utilise aucun cookie de tracking publicitaire, aucun outil de mesure d'audience tiers, aucun pixel de traçage. Seul le localStorage du navigateur est utilisé pour conserver votre jeton d'authentification (JWT) pendant la durée de votre session.

11. Modifications

Cette politique peut être mise à jour. La version courante est toujours accessible à l'adresse /confidentialite. En cas de modification substantielle, les utilisateurs en seront informés par notification dans l'interface et/ou par email.

12. Contact

Pour toute question relative à cette politique ou pour exercer vos droits, contactez-nous à : contact@immosentinel.fr.