Politique de Confidentialité
Dernière mise à jour : 24 mars 2026
La présente Politique de Confidentialité décrit la manière dont [À compléter — raison sociale] (ci-après « nous » ou « la Société ») collecte, utilise, conserve et protège les données à caractère personnel dans le cadre de l'exploitation de la Plateforme Marketplace Rénovation Énergétique, conformément au Règlement (UE) 2016/679 (RGPD) et à la loi Informatique et Libertés modifiée.
1. Responsable du traitement
Le responsable du traitement des données personnelles collectées via la Plateforme est :
[À compléter — Raison sociale]
[À compléter — Forme juridique, capital social]
Immatriculée au RCS de [À compléter — ville] sous le numéro [À compléter — SIREN]
Siège social : [À compléter — adresse complète]
Adresse email : [À compléter — email de contact RGPD]
[À compléter — Forme juridique, capital social]
Immatriculée au RCS de [À compléter — ville] sous le numéro [À compléter — SIREN]
Siège social : [À compléter — adresse complète]
Adresse email : [À compléter — email de contact RGPD]
[À compléter avec votre avocat — vérifier la qualification de responsable de traitement vs sous-traitant selon les flux de données]
2. Données collectées
Dans le cadre de l'utilisation de la Plateforme, nous collectons les catégories de données suivantes :
2.1 Données d'identification professionnelle
Nom, prénom, dénomination sociale, numéro SIRET/SIREN, numéro de TVA, adresse professionnelle, numéro de téléphone professionnel, adresse email professionnelle, certifications professionnelles (RGE, assurances).
2.2 Données de connexion et d'utilisation
Adresse IP, identifiants de session, données de navigation sur la Plateforme, horodatages des connexions et des actions, journaux d'audit des accès aux données sensibles.
2.3 Données transactionnelles
Historique des transactions, montants, commissions, données de facturation, données de paiement (conservées par Stripe — nous ne stockons pas les numéros de carte bancaire).
2.4 Données relatives aux particuliers (prospects)
Dans le cadre des annonces publiées par les Régies : prénom, nom, adresse, numéro de téléphone, situation énergétique du logement, revenus fiscaux de référence (RFR), composition du foyer. Ces données sont transmises aux acheteurs sous contrôle d'accès strict selon le rôle RBAC de l'utilisateur.
[À compléter avec votre avocat — cartographie complète des traitements, registre des traitements CNIL, données sensibles éventuelles]
3. Finalités du traitement
Vos données sont traitées pour les finalités suivantes :
— Gestion du compte utilisateur : création, vérification (KYC/KYB), authentification et administration du compte ;
— Exécution des transactions : traitement des paiements via l'escrow Stripe Connect, facturation, archivage comptable ;
— Mise en relation : affichage des annonces, transmission des données de contact des particuliers aux acheteurs autorisés ;
— Gestion des litiges : instruction et résolution des contestations ;
— Conformité légale et CNIL : journalisation des accès aux données sensibles, conservation des preuves de consentement ;
— Amélioration du service : analyses statistiques anonymisées, détection des fraudes ;
— Communication : envoi d'emails transactionnels (confirmations, alertes, notifications de litige) via Resend.
[À compléter avec votre avocat — finalités marketing éventuelles, profilage, prise de décision automatisée]
4. Base légale des traitements
Selon les finalités poursuivies, les traitements reposent sur les bases légales suivantes au sens de l'article 6 du RGPD :
— Exécution du contrat (art. 6.1.b) : traitement nécessaire à l'exécution des CGU et CGV acceptées lors de l'inscription ;
— Obligation légale (art. 6.1.c) : conservation des documents comptables, journalisation CNIL, lutte contre le blanchiment (LCB-FT) ;
— Intérêt légitime (art. 6.1.f) : prévention de la fraude, amélioration du service, sécurité de la Plateforme ;
— Consentement (art. 6.1.a) : cookies non essentiels, communications marketing le cas échéant.
[À compléter avec votre avocat — analyse d'impact relative à la protection des données (AIPD) si nécessaire, traitements à risque élevé]
5. Durées de conservation
Les données personnelles sont conservées pour la durée strictement nécessaire aux finalités pour lesquelles elles ont été collectées, dans le respect des obligations légales applicables :
| Catégorie de données | Durée de conservation | Base légale |
|---|---|---|
| Données prospects (particuliers) | 3 ans à compter du dernier contact | Intérêt légitime / Consentement |
| Données clients (utilisateurs de la Plateforme) | 3 ans après la fin de la relation contractuelle | Exécution du contrat |
| Journaux d'audit (audit logs) | 3 ans | Obligation légale / Intérêt légitime |
| Documents légaux et comptables | 10 ans | Obligation légale (Code de commerce) |
| Preuves de consentement au démarchage | 3 ans après le dernier contact | Obligation légale (L223-1 Code conso.) |
À l'expiration de ces délais, les données sont supprimées ou anonymisées de façon irréversible.
[À compléter avec votre avocat — archivage intermédiaire, purge automatique, politique d'anonymisation]
6. Destinataires des données
Vos données sont susceptibles d'être transmises aux destinataires suivants, dans le strict respect des finalités déclarées :
— Stripe : prestataire de paiement (escrow, facturation) — siège social aux États-Unis, soumis aux clauses contractuelles types de la Commission européenne ;
— Amazon Web Services (AWS S3) : hébergement des documents chiffrés — région [À compléter — ex. eu-west-1] ;
— Resend : envoi des emails transactionnels ;
— Utilisateurs acheteurs (Commerciaux / Installateurs) : données du particulier figurant dans le RDV ou Dossier acquis, dans les limites de leur rôle RBAC ;
— Autorités compétentes : sur réquisition judiciaire ou administrative.
[À compléter avec votre avocat — liste exhaustive des sous-traitants, clauses contractuelles types, registre des sous-traitants]
7. Transferts hors Union européenne
Certains de nos prestataires (notamment Stripe) sont établis en dehors de l'Union européenne, en particulier aux États-Unis. Ces transferts sont encadrés par les garanties appropriées prévues par le RGPD, notamment :
— les clauses contractuelles types (CCT) adoptées par la Commission européenne ;
— le mécanisme de l'adéquation (Data Privacy Framework UE-États-Unis) lorsqu'il est applicable.
Nous veillons à ce que l'ensemble du stockage des documents sensibles soit effectué dans une région AWS située au sein de l'Espace Économique Européen.
[À compléter avec votre avocat — vérification du niveau de protection adéquat pour chaque transfert, documentation des garanties appropriées]
8. Droits des personnes concernées
Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants sur vos données personnelles :
— Droit d'accès (art. 15 RGPD) : obtenir la confirmation que vos données sont traitées et en recevoir une copie ;
— Droit de rectification (art. 16 RGPD) : faire corriger des données inexactes ou compléter des données incomplètes ;
— Droit à l'effacement (art. 17 RGPD) : demander la suppression de vos données, sous réserve des obligations légales de conservation ;
— Droit d'opposition (art. 21 RGPD) : vous opposer à un traitement fondé sur l'intérêt légitime ou à des fins de prospection commerciale ;
— Droit à la portabilité (art. 20 RGPD) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine ;
— Droit à la limitation (art. 18 RGPD) : demander la suspension temporaire d'un traitement ;
— Droit de retirer votre consentement : à tout moment, sans que cela ne remette en cause la licéité des traitements effectués antérieurement.
Pour exercer ces droits, adressez votre demande à notre Délégué à la Protection des Données (DPO) aux coordonnées indiquées à l'article 10. Nous nous engageons à répondre dans un délai d'un (1) mois à compter de la réception de votre demande.
En cas de réponse insatisfaisante, vous pouvez déposer une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) à l'adresse suivante : www.cnil.fr.
[À compléter avec votre avocat — procédure interne de traitement des demandes, vérification d'identité, délais, recours]
9. Cookies et traceurs
La Plateforme utilise des cookies et traceurs pour assurer son bon fonctionnement et améliorer l'expérience utilisateur. Conformément aux recommandations de la CNIL, nous distinguons :
— Cookies strictement nécessaires : gestion de session, authentification, sécurité CSRF. Ces cookies ne nécessitent pas votre consentement ;
— Cookies de performance et d'analyse : mesure d'audience et d'utilisation de la Plateforme. Déposés uniquement avec votre consentement explicite ;
— Cookies tiers : Stripe dépose des cookies nécessaires au fonctionnement du paiement sécurisé.
Vous pouvez gérer vos préférences en matière de cookies via le panneau dédié accessible depuis le pied de page de la Plateforme ou en configurant votre navigateur.
[À compléter avec votre avocat — liste exhaustive des cookies déposés, durée de vie, finalités détaillées, mise en conformité CNIL]
10. Contact — Délégué à la Protection des Données (DPO)
Pour toute question relative au traitement de vos données personnelles ou pour exercer vos droits, vous pouvez contacter notre Délégué à la Protection des Données :
[À compléter — Nom et prénom du DPO ou mention "DPO externalisé"]
Email : [À compléter — dpo@votredomaine.fr]
Adresse postale : [À compléter — adresse]
Email : [À compléter — dpo@votredomaine.fr]
Adresse postale : [À compléter — adresse]
Si votre organisation est soumise à l'obligation de désignation d'un DPO (art. 37 RGPD), ce dernier a été notifié à la CNIL.
[À compléter avec votre avocat — obligation ou non de désigner un DPO, notification à la CNIL, coordonnées exactes]