Politique de confidentialite
Derniere mise a jour : 28 mai 2026
1. Identite du responsable de traitement
Les donnees a caractere personnel collectees sur la plateforme PatrImmonium sont traitees par :
- Raison sociale : SAS PatrImmonium
- Forme juridique : Société par actions simplifiée
- SIRET : 104 230 727 00018
- RCS : RCS Nanterre 104 230 727
- Adresse : 1 Avenue Marceau, 92400 Courbevoie
- Representant legal : Olivier CARCAUD, Président
- N° TVA intracommunautaire : FR83104230727
2. Finalites des traitements
Vos donnees personnelles sont collectees et traitees pour les finalites suivantes, conformement a l'article 5(1)(b) du RGPD (limitation des finalites) :
| Finalite | Description |
|---|---|
| Gestion locative (baux, paiements, quittances, régularisations) | Nécessaire à la gestion des baux et au suivi des paiements entre bailleur et locataire. |
| Suivi du patrimoine immobilier (biens, diagnostics, travaux) | Gestion du parc immobilier de l'utilisateur (propriétés, lots, diagnostics obligatoires). |
| Comptabilité et obligations fiscales (module Rationem) | Tenue des journaux comptables, génération FEC, déclarations TVA. |
| Gestion des relations avec locataires et garants | Communication, envoi de quittances, gestion des dépôts de garantie. |
| Facturation et paiement de l'abonnement SaaS | Gestion de l'abonnement, mandats SEPA via Mollie, factures. |
| Sécurité du service (anti-bot, détection d'abus) | Protection contre les attaques automatisées, détection d'énumération de comptes. |
| Envoi de notifications transactionnelles (email) | Invitations, confirmations de signature, alertes de paiement, rappels. |
| Monitoring et correction des erreurs applicatives | Collecte anonymisée de stack traces pour améliorer la fiabilité du service. |
3. Bases legales des traitements (Art. 6 RGPD)
Chaque traitement repose sur une base legale prevue a l'article 6 du RGPD. Le tableau ci-dessous recapitule les categories de donnees collectees et leur base legale :
| Categorie | Donnees | Base legale |
|---|---|---|
| Identité | nom, prenom, civilite, dateNaissance, lieuNaissance, nationalite | Exécution du contrat (Art. 6(1)(b)) |
| Contact | email, telephone, adresse | Exécution du contrat (Art. 6(1)(b)) |
| Données financières | iban, bic, revenuMensuelNet, loyerMensuel, montantRecu | Exécution du contrat + Obligation légale (Art. 6(1)(b)(c)) |
| Situation professionnelle | situationProfessionnelle, employeur | Exécution du contrat (Art. 6(1)(b)) |
| Données d'entreprise | siret, rcs, capitalSocial, formeJuridique | Exécution du contrat + Intérêt légitime (Art. 6(1)(b)(f)) |
Les bases legales detaillees par finalite sont documentees dans le tableau des finalites (section 2 ci-dessus). En complement, les finalites liees aux obligations comptables et fiscales reposent sur l'obligation legale (Art. 6(1)(c) RGPD — Art. L123-22 Code de commerce, Art. 286 CGI).
4. Destinataires et sous-traitants
Vos donnees peuvent etre communiquees aux sous-traitants suivants, agissant pour le compte de PatrImmonium conformement a l'article 28 du RGPD. Chaque sous-traitant est lie par un contrat de sous-traitance (DPA) garantissant un niveau de protection equivalent.
| Sous-traitant | Role | Localisation | Donnees accessibles | Certifications |
|---|---|---|---|---|
| Scalingo | Hébergement infrastructure (compute, base PostgreSQL) | France (Paris) | Toutes les données (hébergeur) | ISO 27001, HDS, SecNumCloud (via Outscale) |
| Scaleway | Stockage objet S3 (documents uploadés : pièces d'identité, fiches de paie, attestations) | France (Paris — fr-par) | Documents chiffrés au repos (server-side encryption) | ISO 27001, HDS, SecNumCloud |
| Resend | Envoi des emails transactionnels (invitations, signatures, notifications) | UE (Irlande) — Données traitées dans l'UE, pas de transfert hors EEE | Email destinataire, nom, prénom, contenu de l'email | SOC 2 Type II |
| Sentry | Monitoring erreurs | UE (Allemagne — ingest.de.sentry.io) | Stack traces, user agent, IP (anonymisable) | SOC 2 Type II |
| API Recherche d'Entreprises (gouv.fr) | Données entreprises (SIRET, forme juridique) | France | Données publiques uniquement (pas de données personnelles locataires) | API publique de l'État français |
| API BAN (api-adresse.data.gouv.fr) | Autocomplete adresses postales | France | Texte saisi par l'utilisateur (recherche d'adresse) | API publique de l'État français |
| Cloudflare Turnstile | Validation anti-bot sur recherche de handle public (anti-énumération) | États-Unis — transfert hors EEE encadré par SCC (Standard Contractual Clauses) | Token de session (ephemeral), adresse IP, en-têtes navigateur pendant le challenge | SOC 2 Type II, ISO 27001 |
| Mollie B.V. | Traitement paiements SaaS — mandats SEPA, paiements récurrents, webhooks | Pays-Bas (UE) | customerId, mandateId, montants, metadata paiement — pas de données locataires | PCI-DSS Level 1, SOC 2 |
| IOPOLE SAS | Plateforme d'Accès e-facturation (PA) | France | Données de facturation (SIRET émetteur/récepteur, montants, lignes facture) | Immatriculation DGFIP |
| Pappers | Vérification données entreprise (INSEE, KBIS) | France | Données publiques uniquement (SIRET, forme juridique, dirigeants publiés au RCS) | N/A — API publique |
Aucune donnee personnelle n'est vendue ou cedee a des tiers a des fins commerciales ou publicitaires. Les API publiques de l'Etat (BAN, Recherche d'Entreprises) ne traitent que des donnees publiques et ne necessitent pas de DPA.
5. Durees de conservation
Conformement au principe de limitation de la conservation (Art. 5(1)(e) RGPD), vos donnees sont conservees pendant les durees suivantes, correspondant aux obligations legales francaises applicables a l'immobilier :
| Type de donnees | Duree de conservation |
|---|---|
| Baux et documents locatifs | 5 ans |
| Paiements et quittances | 5 ans |
| Données locataires | 5 ans |
| Données garants | 5 ans |
| Comptabilité / données financières | 10 ans |
| Données bancaires (IBAN/BIC) | 13 mois |
| Journaux d'audit (logs d'accès et habilitations) | 1 an |
| Compte utilisateur inactif | 3 ans |
| Alertes de sécurité (énumération, abus) | 5 ans |
A l'expiration de ces durees, les donnees sont definitivement purgees (hard delete) conformement a la procedure documentee dans notre registre Art. 30 RGPD. Les donnees comptables sont conservees 10 ans (Art. L123-22 Code de commerce) ou 6 ans (Art. L102 B LPF) selon le regime fiscal de l'entite.
6. Vos droits
Conformement au RGPD (Articles 15 a 22), vous disposez des droits suivants :
- Droit d'acces (Art. 15)— Obtenez une copie de vos donnees via l'export RGPD self-service depuis Parametres > Confidentialite.
- Droit de rectification (Art. 16)— Modifiez vos donnees directement dans l'application (profil, coordonnees, informations bancaires).
- Droit a l'effacement (Art. 17) — Supprimez votre compte depuis Parametres. La suppression entraine l'anonymisation irreversible de vos donnees, sous reserve des obligations legales de conservation (section 5).
- Droit a la limitation du traitement (Art. 18) — Demandez la suspension du traitement en contactant rgpd@patrimmonium.app.
- Droit a la portabilite (Art. 20) — Exportez vos donnees en format structure (JSON) depuis Parametres > Confidentialite.
- Droit d'opposition (Art. 21) — Opposez-vous au traitement de vos donnees en contactant rgpd@patrimmonium.app. Vous pouvez egalement desactiver la recherche par handle depuis vos parametres de confidentialite.
En cas de reponse insatisfaisante, vous pouvez introduire une reclamation aupres de la Commission Nationale de l'Informatique et des Libertes (CNIL), autorite de controle francaise.
7. Transferts internationaux de donnees
Certains sous-traitants sont etablis en dehors de l'Union Europeenne. Ces transferts sont encadres par les mecanismes juridiques prevus aux articles 44 a 49 du RGPD :
| Destinataire | Pays | Mecanisme de transfert | Finalite |
|---|---|---|---|
| Resend, Inc. | États-Unis | Data Privacy Framework (DPF) + Clauses Contractuelles Types (CCT) — décision 2021/914, Module 3 | Envoi d'emails transactionnels |
| Sentry (Functional Software, Inc.) | États-Unis | Data Privacy Framework (DPF) + Clauses Contractuelles Types (CCT) — décision 2021/914 | Monitoring erreurs applicatives |
| Cloudflare, Inc. | Union Européenne (Frankfurt) | Endpoints UE-only — pas de transfert hors EEE. SCC archivées à titre de précaution. | Validation anti-bot (Turnstile) |
L'ensemble des autres sous-traitants (Scalingo, Scaleway, Mollie, IOPOLE, Pappers) sont etablis dans l'Union Europeenne ou en France. Aucun transfert hors EEE n'est effectue pour ces prestataires.
8. Referent RGPD et contact
PatrImmonium n'est pas tenu de designer un Delegue a la Protection des Donnees (DPO) au sens de l'article 37 du RGPD en V1 (seuils de l'article 37.1 non atteints). Un referent RGPD est neanmoins designe :
- Referent RGPD : rgpd@patrimmonium.app
- Adresse postale : SAS PatrImmonium, 1 Avenue Marceau, 92400 Courbevoie
Pour exercer vos droits ou pour toute question relative a la protection de vos donnees personnelles, contactez-nous a : rgpd@patrimmonium.app
9. Securite des donnees
PatrImmonium met en oeuvre les mesures techniques et organisationnelles suivantes pour proteger vos donnees (Art. 32 RGPD) :
- Chiffrement AES-256-GCM des donnees bancaires (IBAN, BIC) et des champs sensibles
- Mots de passe haches avec bcrypt (facteur 12)
- Sessions JWT avec duree limitee (24h)
- Hebergement en France (Scalingo, ISO 27001, SecNumCloud)
- HTTPS obligatoire (HSTS)
- Isolation multi-tenant stricte (scoping par organisation)
- Journalisation exhaustive des acces (AuditLog chiffre)
10. Cookies
L'application utilise uniquement des cookies de session (Auth.js) strictement necessaires au fonctionnement du service. Aucun cookie de tracking, analytics ou publicitaire n'est utilise. Conformement a la directive ePrivacy, ces cookies sont exemptes du consentement prealable.