Politique de confidentialité

1. Préambule et périmètre

La présente politique de confidentialité (la "Politique") explique comment Lystimmo traite les données personnelles dans le cadre de la fourniture du Service (SaaS B2B destiné aux professionnels de l'immobilier). Elle s'applique aux visiteurs du site, aux Utilisateurs disposant d'un compte, et au traitement des Données Clients importées par les Utilisateurs.

Cette Politique doit être lue conjointement avec les CGU/CGV.

2. Identité du responsable de traitement / sous-traitant

Pour les Données Clients (vendeurs/acquéreurs, prospects, etc.) importées/saisies par l'Utilisateur, l'Utilisateur est responsable de traitement et Lystimmo agit en qualité de sous‑traitant (article 28 du RGPD), conformément aux instructions de l'Utilisateur.

3. Données traitées (catégories)

Selon votre usage du Service, nous pouvons traiter les catégories de données suivantes :

Conformément au principe de minimisation, Lystimmo ne collecte que les données strictement nécessaires aux finalités décrites.

• Données de compte et de profil (Utilisateur) : identité et coordonnées professionnelles (nom, e‑mail, téléphone si renseigné), informations de compte (identifiants, authentification gérée par Supabase), agence/société, paramètres et historiques d'actions.
• Données de consentement et de certification professionnelle : horodatage et version des CGU/CGV et de la Politique acceptées, ainsi que la certification d'usage professionnel lors de l'inscription.
• Preuves de génération documentaire : pour certains documents générés (ex. bon de visite, Tracfin), nous conservons un snapshot logique (payload utilisé, version de template, hash d'intégrité), associé à un audit de génération (horodatage, identifiant utilisateur, adresse IP, user-agent, request-id). Le PDF n'est pas stocké au titre de cette preuve.
• Données d'abonnement et facturation : statut d'abonnement, identifiants Stripe (customer/subscription), historique de paiement, factures et reçus (via Stripe).
• Données liées aux intégrations : jetons/identifiants techniques nécessaires au fonctionnement des connecteurs (ex. Google Workspace : Gmail, Agenda) et données synchronisées selon les autorisations accordées.
• Données Clients (tiers) : données relatives aux vendeurs/acquéreurs/prospects gérés par l'Utilisateur (identité, coordonnées, critères de recherche, informations sur biens/mandats, échanges, notes, etc.), selon les champs renseignés par l'Utilisateur.
• Données des visiteurs (pages partagées) : lorsque l'Utilisateur partage une fiche/annonce, les visiteurs peuvent saisir des informations (ex. nom, coordonnées, message, disponibilités) pour envoyer une demande à l'Utilisateur.
• Données liées à l'assistant IA : messages et contenus que l'Utilisateur choisit d'envoyer à l'assistant, ainsi que les réponses générées.
• Données techniques : type d'appareil, logs, identifiants de session/cookies nécessaires au fonctionnement, et mesures de sécurité.

Lors de l'acceptation des CGU/CGV et de la présente Politique, un horodatage ainsi que la version des documents acceptés peuvent être enregistrés à des fins de preuve contractuelle.

4. Finalités et bases légales

Nous traitons vos données personnelles pour les finalités suivantes, sur les bases légales correspondantes :

• Fourniture du Service (gestion de compte, accès, fonctionnalités CRM/mandats/buyers/matching) — exécution du contrat (article 6(1)(b) RGPD).
• Fonctionnalités IA (assistant, génération de contenus) — exécution du contrat (article 6(1)(b) RGPD).
• Facturation et gestion des abonnements — exécution du contrat et obligations légales comptables/fiscales (articles 6(1)(b) et 6(1)(c) RGPD).
• Notifications et e-mails transactionnels — exécution du contrat (article 6(1)(b) RGPD).
• Sécurité, prévention de la fraude, journalisation — intérêt légitime (article 6(1)(f) RGPD).
• Intégrations tierces (ex. Google Workspace) — exécution du contrat et/ou consentement selon le connecteur (article 6(1)(b) et/ou 6(1)(a) RGPD).
• Mesure d'audience (pages publiques) — consentement (traceur) et/ou intérêt légitime selon le cas (article 6(1)(a) et/ou 6(1)(f) RGPD).

5. Services tiers et intégrations (Google, IA, e-mails, cartographie)

Lorsque vous connectez un compte Google, l'application peut accéder uniquement aux autorisations validées (par exemple Gmail et Agenda) afin d'automatiser des actions CRM, selon les fonctionnalités activées. Cette connexion est facultative, dissociable à tout moment depuis les paramètres, et indépendante du login principal.

Lorsque vous utilisez les fonctionnalités d'assistant/génération assistée par IA, certains contenus que vous envoyez peuvent être transmis à un prestataire d'IA (ex. OpenAI) afin de générer une réponse. Vous restez responsable des informations que vous choisissez de soumettre (notamment, éviter d'y inclure des données inutiles ou sensibles).

Lystimmo peut également recourir à des prestataires d'envoi d'e-mails (ex. Resend) pour l'envoi d'e‑mails transactionnels (création de compte, notifications, demandes de visite, etc.).

Certaines pages peuvent afficher des cartes via des services tiers (ex. tuiles OpenStreetMap) ; ces services peuvent recevoir des données techniques de navigation nécessaires à l'affichage.

6. Sous-traitants et destinataires

Nous pouvons partager des données avec des sous‑traitants strictement nécessaires au fonctionnement du Service, dans la limite de leurs missions, et sous obligations de confidentialité et de sécurité.

La liste ci‑dessus présente les principaux sous‑traitants utilisés à la date de mise à jour.

7. Transferts hors Union Européenne

Certains prestataires peuvent être situés en dehors de l'Union européenne et/ou de l'Espace économique européen. Lorsque des transferts hors EEE sont nécessaires, ils sont encadrés conformément au RGPD.

8. Durées de conservation

Les durées de conservation dépendent des finalités et obligations légales :

• Compte Utilisateur : pendant la durée de la relation contractuelle, puis suppression ou archivage dans un délai raisonnable, sauf obligations légales.
• Facturation : conservation pendant la durée légale applicable (en pratique jusqu'à 10 ans).
• Mesure d'audience (pages publiques) : sessions visiteurs "live" conservées jusqu'à 7 jours.
• Assistant IA : messages et réponses peuvent être conservés pendant une durée limitée (en principe jusqu'à 90 jours) à des fins de fourniture du service, support et amélioration, puis supprimés.
• Données Clients : pendant la durée d'utilisation du Service par l'Utilisateur et selon ses instructions ; suppression à la demande de l'Utilisateur, sauf obligation légale contraire.
• Audit de génération documentaire : 12 mois par défaut (purge batch automatisée).
• Acceptations CGU/Privacy : pas de purge automatique (preuve contractuelle), sauf fermeture de compte et délai légal/raisonnable applicable.
• Snapshots logiques de documents : conservés comme donnée métier ; absence de purge automatique sans règle métier explicite documentée.
• Logs techniques et sécurité : conservés pour une durée limitée, proportionnée aux besoins de sécurité, de maintenance et de preuve.

9. Sécurité

Lystimmo met en place des mesures techniques et organisationnelles adaptées afin de protéger les données contre l'accès non autorisé, la divulgation, l'altération ou la perte (ex. chiffrement en transit via HTTPS/TLS, contrôle d'accès, cloisonnement multi‑tenant, politiques RLS en base de données, sauvegardes, journalisation, etc.).

En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, Lystimmo notifiera l'autorité compétente et/ou les personnes concernées conformément aux obligations légales.

10. Vos droits (RGPD)

Conformément au RGPD, vous disposez (selon les conditions applicables) des droits suivants : accès, rectification, effacement, limitation, opposition, portabilité, et définition de directives post‑mortem.

Important (Données Clients) : pour les données relatives aux vendeurs/acquéreurs importées par un agent, la demande doit être adressée en priorité à l'agent immobilier (responsable de traitement). Lystimmo assistera l'agent, en qualité de sous‑traitant, dans la mesure permise par la loi et les moyens disponibles.

11. Cookies et traceurs

Le Service utilise des cookies/traceurs strictement nécessaires au fonctionnement (authentification, sécurité, sessions, anti‑abus). Par exemple : cookies de session d'authentification (Supabase), cookie technique pour l'état OAuth (Google), et cookie anti‑spam sur le formulaire de demande de visite.

Sur certaines pages publiques (ex. page d'accueil, pages partagées), un traceur de mesure d'audience peut être proposé afin d'afficher un compteur temps réel (identifiant de session anonyme côté navigateur, page consultée, référent, user‑agent). Vous pouvez accepter ou refuser ce traceur via la bannière affichée lors de votre visite (et modifier votre choix à tout moment ci‑dessous).

Aucun cookie publicitaire ou de profilage n'est utilisé.

12. Réclamation (CNIL)

Vous pouvez introduire une réclamation auprès de la CNIL (Commission nationale de l'informatique et des libertés) si vous estimez que vos droits ne sont pas respectés.

13. Modifications de la Politique

Nous pouvons mettre à jour la présente Politique afin de refléter les évolutions du Service, des sous‑traitants, ou de la réglementation. En cas de modification substantielle, une notification pourra être envoyée (email et/ou notification in‑app).

14. Contact

Pour toute demande liée à vos données personnelles: contact.lystimmo@gmail.com