Politique de Confidentialité

La présente politique décrit comment CADA (ci-après « le Service ») collecte, utilise, conserve et protège vos données personnelles, dans le respect du Règlement Général sur la Protection des Données (RGPD) et de la Loi Informatique et Libertés modifiée.

En utilisant le Service, vous reconnaissez avoir pris connaissance de la présente politique. Si vous n'y consentez pas, vous devez cesser l'utilisation du Service.

Le responsable du traitement des données personnelles collectées via le Site est :

• Antonin Alarcon
• Service exploité à titre individuel
• Toulouse, France
• Email : contact@cadaimmo.com

Une migration vers la structure CADA LLC (Floride, USA) est en cours. La présente politique sera mise à jour en conséquence, avec maintien des standards de protection RGPD.

Le point de contact unique pour toute question relative à vos données personnelles est :

• Antonin Alarcon, DPO
• Email : contact@cadaimmo.com

Nous collectons uniquement les données strictement nécessaires au fonctionnement du Service. Aucune collecte « par défaut » qui ne serve pas une fonctionnalité claire.

3.1 Données d'identité et de compte

• Adresse email
• Mot de passe (haché avec bcrypt, jamais stocké en clair)
• Nom et prénom (si fournis, notamment via authentification Google/Apple)
• Identifiant unique de compte (UUID)
• Date de création du compte et dernière connexion

3.2 Données financières et patrimoniales (saisies par vous)

• Revenus du foyer, charges, dettes existantes
• Prix d'achat du bien, frais, apport personnel
• Paramètres de prêt (taux, durée, assurance)
• Régime fiscal choisi (LMNP, LMP, foncier, SCI, etc.)
• Profil emprunteur (âge, situation familiale, statut professionnel, ancienneté)

3.3 Données de gestion locative (si vous activez cette feature)

• Identité des locataires (nom, prénom, email, téléphone)
• Conditions du bail (loyer, charges, dépôt, type, dates)
• Historique des quittances et paiements
• Photos d'état des lieux (entrée/sortie) si téléversées

3.4 Données CRM (si vous activez le CRM)

• Coordonnées des contacts/clients (prénom, nom, email, téléphone, société)
• Historique des interactions, notes, tâches
• Étape pipeline et tags

3.5 Documents téléversés

• Fichiers PDF, images stockés dans votre espace personnel
• Texte extrait par OCR si applicable

3.6 Données de paiement

• Identifiant client Stripe (les données de carte bancaire sont gérées et stockées par Stripe directement, jamais par CADA)
• Type d'abonnement, dates de début/renouvellement, historique de facturation

3.7 Données techniques

• Adresse IP (journaux serveur, conservation 12 mois maximum)
• Type de navigateur, système d'exploitation, résolution
• Pages visitées et horodatages (logs d'accès minimaux)
• Mesure d'audience anonymisée (Vercel Analytics, sans cookie)

Nous ne traitons jamais vos données à des fins publicitaires, de profilage marketing, de revente ou de partage commercial avec des tiers.

Vos données ne sont accessibles qu'à l'éditeur et aux prestataires techniques suivants, tous liés par un accord de sous-traitance conforme à l'article 28 RGPD :

• Supabase (Supabase Inc.) : base de données, authentification, stockage de fichiers. Hébergement physique UE (AWS eu-west).
• Stripe (Stripe Payments Europe, Ltd, Irlande) : traitement des paiements. Certifié PCI-DSS niveau 1.
• Vercel (Vercel Inc., USA) : hébergement du site web, réseau Edge avec nœuds UE. Mesure d'audience via Vercel Analytics (anonymisée, sans cookie tiers).
• Resend (Resend Inc., USA) : envoi d'emails transactionnels (lien de connexion, confirmations, notifications).
• Sentry (Functional Software Inc., USA) : suivi des erreurs techniques et stabilité du service. Les payloads sensibles sont filtrés.
• Upstash (Upstash Inc., USA) : limitation de débit et cache applicatif éphémère. Aucune donnée personnelle persistée.
• Google Cloud Messaging / Firebase (Google LLC, USA) : envoi de notifications push si vous installez l'application mobile.

Nous ne vendons, ne louons et ne partageons jamais vos données avec des tiers à des fins commerciales, publicitaires ou de marketing.

Transmission à des professionnels partenaires (marketplace CADA Pros) : sur action explicite de votre part (case à cocher décochée par défaut, cliquée volontairement), vos coordonnées (nom, email, téléphone optionnel) et le contexte de votre demande peuvent être transmis à un professionnel partenaire de votre choix (courtier, expert-comptable, diagnostiqueur, etc.). Ce professionnel devient responsable de traitement à son tour pour les seules finalités de votre demande. Vous pouvez révoquer ce consentement à tout moment via votre profil ; le professionnel devra alors cesser d'utiliser vos données.

Plusieurs de nos prestataires techniques (Vercel, Stripe, Resend, Sentry, Upstash, Google) sont des sociétés américaines. Les transferts de données vers les États-Unis sont encadrés par :

• Le EU-US Data Privacy Framework (DPF) pour les prestataires certifiés (Stripe, Vercel, Google, Sentry)
• Des Clauses Contractuelles Types (CCT) approuvées par la Commission européenne pour les autres
• Des mesures techniques complémentaires : chiffrement TLS 1.3 en transit, chiffrement AES-256 au repos, contrôles d'accès stricts

L'hébergement principal (base de données, fichiers utilisateurs, médias) est réalisé dans l'Union européenne (AWS eu-west).

• Compte actif : données conservées pendant toute la durée d'utilisation du Service.
• Compte inactif : un compte non utilisé pendant 36 mois consécutifs est susceptible d'être anonymisé ou supprimé, après notification par email.
• Après suppression du compte par l'utilisateur : suppression effective sous 30 jours, à l'exception des données soumises à obligations légales (facturation).
• Données de facturation : conservées 10 ans (article L123-22 du Code de commerce).
• Journaux serveur (logs d'accès, logs Sentry) : conservés 12 mois maximum.
• Documents téléversés : supprimés avec le compte.
• Token de partage locataire (lien portail public) : 30 jours par défaut, révocable et reconfigurable à tout moment depuis votre espace.

CADA utilise un nombre minimal de cookies et traceurs, tous strictement nécessaires ou exemptés de consentement au sens de la directive ePrivacy et de la délibération CNIL n°2020-091 :

• Cookie de session Supabase (sb-...) : authentification de l'utilisateur. Durée : session ou 30 jours (option « rester connecté »). Indispensable au fonctionnement.
• localStorage / IndexedDB : préférences d'interface, brouillon du formulaire de création de projet, cache d'abonnement, cache de la carte. Données restant sur votre appareil, jamais transmises.
• Vercel Analytics : mesure d'audience anonymisée, sans cookie tiers ni adresse IP individuelle stockée. Conforme aux recommandations CNIL sur les outils de mesure exemptés de consentement.

Nous n'utilisons aucun cookie publicitaire, aucun pixel de tracking (Google Analytics, Facebook Pixel, TikTok Pixel, etc.), aucun outil de profilage comportemental, aucune solution de retargeting.

Aucun bandeau cookie n'est donc requis, les traceurs utilisés étant tous strictement nécessaires ou exemptés de consentement au titre de la mesure d'audience.

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :

• Droit d'accès (art. 15) : obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie
• Droit de rectification (art. 16) : corriger des données inexactes ou incomplètes
• Droit à l'effacement (art. 17) : demander la suppression de vos données (« droit à l'oubli »)
• Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON)
• Droit d'opposition (art. 21) : vous opposer au traitement de vos données pour des motifs légitimes
• Droit à la limitation (art. 18) : demander la suspension du traitement dans certains cas
• Droit de retirer votre consentement à tout moment, sans affecter la licéité du traitement antérieur
• Droit de définir des directives post-mortem sur le sort de vos données (art. 85 LIL)
• Droit de ne pas faire l'objet d'une décision exclusivement automatisée (art. 22) : aucune décision produisant des effets juridiques n'est prise sans intervention humaine

Vous pouvez exercer vos droits :

• En autonomie depuis votre espace : modification du profil, export de vos données (JSON), suppression de compte — directement depuis /profil.
• Par email : à contact@cadaimmo.com en précisant la nature de votre demande. Une preuve d'identité peut être demandée en cas de doute raisonnable sur l'identité du demandeur (art. 12.6 RGPD).

Nous nous engageons à répondre dans un délai d'un mois à compter de la réception de votre demande (art. 12.3 RGPD). Ce délai peut être prolongé de deux mois en cas de complexité ou de nombre de demandes, auquel cas nous vous informerons.

Les réponses sont fournies par défaut par voie électronique, à moins que vous ne sollicitiez un autre support.

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour garantir la confidentialité, l'intégrité et la disponibilité de vos données :

• Chiffrement en transit : TLS 1.3 (HTTPS) pour toutes les communications, HSTS activé
• Chiffrement au repos : bases de données et fichiers chiffrés (AES-256) côté Supabase/AWS
• Cloisonnement par utilisateur : Row Level Security (RLS) activée sur l'ensemble des tables — chaque utilisateur n'accède qu'à ses propres données
• Hachage robuste des mots de passe : bcrypt avec sel unique par utilisateur — jamais stockés en clair
• Aucune donnée bancaire stockée par CADA : traitement Stripe uniquement (certifié PCI-DSS niveau 1)
• Politique de sécurité du contenu (CSP) active
• Protection anti-CSRF et anti-rejeu via vérification d'origine
• Rate-limiting sur les endpoints sensibles pour limiter les abus
• Accès restreint aux données de production selon le principe du moindre privilège
• Suivi des incidents via Sentry, journaux d'audit pour les actions sensibles
• Mises à jour de sécurité régulières des dépendances

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à notifier la CNIL dans les 72 heures et à vous informer dans les meilleurs délais (art. 33 et 34 RGPD).

Le Service est destiné aux personnes majeures (18 ans révolus). Nous ne collectons pas sciemment de données concernant des mineurs de moins de 15 ans sans le consentement vérifiable des titulaires de l'autorité parentale (art. 8 RGPD et art. 45 LIL).

Si vous estimez qu'un mineur a créé un compte sans autorisation, contactez-nous à contact@cadaimmo.com et nous procéderons à la suppression dans les meilleurs délais.

Aucune décision produisant des effets juridiques à votre égard n'est prise automatiquement par CADA (art. 22 RGPD).

Aucun profilage à des fins de scoring publicitaire ou de tarification personnalisée n'est réalisé.

Cette politique peut être modifiée pour s'adapter à l'évolution du Service, des dispositions légales ou des recommandations de la CNIL. En cas de modification substantielle, vous serez informé par email ou via le Service au moins 30 jours avant l'entrée en vigueur. La date de dernière mise à jour figure en haut de cette page.

Si vous estimez que le traitement de vos données n'est pas conforme à la réglementation, vous pouvez à tout moment adresser une réclamation à l'autorité de contrôle compétente :

• Commission Nationale de l'Informatique et des Libertés (CNIL)
• Adresse : 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
• Téléphone : 01 53 73 22 22
• Site : www.cnil.fr

Nous encourageons toutefois fortement à nous contacter en amont à contact@cadaimmo.com afin de trouver une solution rapide à toute difficulté.