Politique de confidentialité

Introduction#

La présente Politique de confidentialité décrit la manière dont RE2020+ collecte, utilise, conserve et protège les données personnelles des utilisateurs du site re2020plus.fr et de l’application associée app.re2020plus.fr (ci-après « la Plateforme »).

RE2020+ accorde une importance particulière à la protection des données personnelles et s’engage à les traiter dans le respect du Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques (RGPD) et de la loi n° 78-17 du 6 janvier 1978 modifiée (loi Informatique et Libertés).

Cette Politique constitue un document contractuel distinct des Conditions Générales de Vente et des Conditions Générales d’Utilisation. Elle est accessible à tout moment depuis le pied de page de la Plateforme.

Responsable de traitement#

Le responsable de traitement est :

Aucun Délégué à la Protection des Données (DPO) n’a été désigné, cette désignation n’étant pas obligatoire pour les structures ne réalisant pas de traitements à grande échelle de données sensibles (article 37 du RGPD).

Données personnelles collectées#

3.1 — Données collectées directement auprès de l’utilisateur

Lors de la création du compte : selon le type de compte, les données suivantes sont collectées : civilité, nom, prénom, adresse email, mot de passe (stocké sous forme de hachage cryptographique, jamais en clair), numéro de téléphone. Pour les comptes professionnels : numéro SIRET, nom de la société, adresse professionnelle.

Lors du remplissage du formulaire d’étude : identité et coordonnées du maître d’ouvrage, adresse du chantier, références cadastrales (facultatives), caractéristiques techniques du projet (surface, systèmes, matériaux), commentaires libres, documents et plans uploadés.

Lors du paiement : aucune donnée bancaire n’est collectée ni stockée par RE2020+. Les transactions sont traitées intégralement par Stripe, prestataire de paiement certifié PCI-DSS. Seuls sont conservés le montant, la date, le statut du paiement et l’identifiant de transaction.

Lors des échanges : messages adressés au Prestataire via le formulaire de contact ou par email, réponses aux emails transactionnels.

Préférences : consentement ou refus des communications commerciales, préférences de cookies.

3.2 — Données collectées automatiquement

Lors de la navigation sur la Plateforme, les données techniques suivantes sont collectées automatiquement : adresse IP, type et version du navigateur, système d’exploitation, pages consultées, date et heure des connexions, identifiants de session. Ces données sont collectées à des fins de sécurité, de diagnostic technique et d’analyse d’audience agrégée.

Traçabilité des accès aux Livrables : chaque consultation ou téléchargement de Livrables par le Client génère un événement horodaté (date, heure, nature de l’action, adresse IP) enregistré automatiquement dans la Plateforme. Ces événements constituent des preuves juridiques d’accès dans le cadre du mécanisme d’acceptation tacite prévu par les Conditions Générales de Vente et sont conservés pendant toute la durée d’archivage du dossier (quinze ans).

3.3 — Données que RE2020+ ne collecte pas

RE2020+ ne collecte aucune donnée dite « sensible » au sens de l’article 9 du RGPD (origine ethnique, opinions politiques, convictions religieuses, données de santé, orientation sexuelle, données biométriques ou génétiques).

Finalités et bases légales des traitements#

Chaque traitement de données personnelles repose sur une base légale déterminée :

4.1 — Exécution du contrat (article 6.1.b du RGPD)

La collecte des données d’identification, de contact, du formulaire technique, des plans et des messages est nécessaire à l’exécution de la prestation d’étude thermique commandée par l’utilisateur. Sans ces données, le Prestataire ne peut pas réaliser la prestation.

Les traitements concernés sont : la création et la gestion du compte utilisateur, la réalisation de l’étude thermique, la production et la mise à disposition des livrables, la facturation, la communication relative au dossier, et l’archivage du dossier pendant la durée de conservation.

4.2 — Obligation légale (article 6.1.c du RGPD)

Certaines données sont conservées pour satisfaire à des obligations légales incombant au Prestataire : l’adresse postale et les données de facturation sont conservées dix (10) ans conformément aux obligations comptables (article L123-22 du Code de commerce). Les logs d’audit sont conservés cinq (5) ans à des fins de traçabilité juridique.

4.3 — Intérêt légitime (article 6.1.f du RGPD)

Les traitements suivants sont fondés sur l’intérêt légitime du Prestataire :

Les logs techniques (adresse IP, user-agent, horodatage des connexions) sont collectés pour assurer la sécurité de la Plateforme, prévenir les fraudes et diagnostiquer les incidents techniques. Ces données sont conservées douze (12) mois maximum.

La traçabilité des accès aux Livrables (consultation, téléchargement, horodatage) est collectée pour constituer la preuve d’accès du Client aux documents livrés, dans le cadre du mécanisme d’acceptation tacite prévu par les Conditions Générales de Vente. Ces données sont conservées pendant toute la durée d’archivage du dossier (quinze ans).

4.4 — Consentement (article 6.1.a du RGPD)

Les traitements suivants reposent sur le consentement libre, spécifique, éclairé et univoque de l’utilisateur : l’envoi de communications commerciales (newsletter, offres promotionnelles), le dépôt de cookies non essentiels (analytiques et fonctionnels).

Le consentement peut être retiré à tout moment, sans incidence sur la licéité du traitement effectué avant le retrait. Le retrait du consentement aux communications commerciales s’effectue via l’Espace Client ou en cliquant sur le lien de désinscription présent dans chaque email commercial.

Durées de conservation#

Les données personnelles sont conservées pendant les durées suivantes, proportionnées aux finalités de chaque traitement :

Données du compte (nom, prénom, email, téléphone, SIRET) — durée de vie du compte, puis trois (3) ans après la dernière activité ou la clôture du compte. À l’issue de ce délai, les données sont anonymisées.

Adresse postale et données de facturation — dix (10) ans à compter de la date de la facture, conformément aux obligations comptables.

Données du formulaire technique et plans uploadés — quinze (15) ans à compter de la livraison de l’étude. Cette durée couvre la responsabilité décennale applicable aux ouvrages de construction.

Livrables produits — quinze (15) ans à compter de la livraison de l’étude.

Emails échangés avec le Prestataire — conservés le temps nécessaire au traitement de la demande et à la gestion de la relation, puis archivés ou supprimés conformément aux durées légales applicables.

Logs techniques (IP, user-agent) — douze (12) mois glissants.

Logs d’audit (traçabilité juridique) — cinq (5) ans.

Préférences de communication commerciale — tant que le consentement est valide, ou jusqu’à son retrait.

Cookies analytiques — treize (13) mois maximum conformément aux recommandations de la CNIL.

Destinataires des données#

6.1 — Accès interne

Les données personnelles sont accessibles uniquement au Prestataire (M. Fatin Albayrak) dans le cadre de la réalisation des prestations et de la gestion de la Plateforme.

6.2 — Sous-traitants techniques

Pour le fonctionnement de la Plateforme et la réalisation des prestations, RE2020+ fait appel aux sous-traitants suivants, agissant exclusivement sur instruction du responsable de traitement et dans le cadre d’engagements contractuels conformes à l’article 28 du RGPD :

6.3 — Autres destinataires éventuels

Les données personnelles peuvent être communiquées à des tiers dans les cas suivants exclusivement : pour répondre à une obligation légale (requête judiciaire, contrôle fiscal), pour protéger les droits ou la sécurité du Prestataire ou de tiers, ou avec le consentement préalable de l’utilisateur.

RE2020+ ne vend, ne loue et ne cède en aucun cas les données personnelles de ses utilisateurs à des tiers à des fins commerciales ou publicitaires.

Transferts de données hors de l’Union européenne#

Certains sous-traitants techniques sont établis aux États-Unis ou opèrent à l’échelle mondiale. Lorsque des données personnelles sont transférées en dehors de l’Espace Économique Européen (EEE), ces transferts sont encadrés par les garanties suivantes, conformément au chapitre V du RGPD :

Clauses contractuelles types (CCT) adoptées par la Commission européenne : ces clauses sont intégrées aux contrats avec les sous-traitants établis hors Union européenne (notamment Stripe et Resend), et garantissent un niveau de protection équivalent à celui offert par le RGPD.

Cadre de protection des données UE-États-Unis (EU-US Data Privacy Framework) : les sous-traitants éligibles et certifiés au titre de ce cadre bénéficient d’une décision d’adéquation de la Commission européenne (décision du 10 juillet 2023).

Clauses contractuelles types : les transferts vers des sous-traitants établis hors de l’Union européenne (notamment Cloudflare) sont encadrés par les Clauses contractuelles types de la Commission européenne et, le cas échéant, par leur certification au titre du Data Privacy Framework.

Sécurité des données#

RE2020+ met en œuvre les mesures techniques et organisationnelles suivantes pour protéger les données personnelles contre l’accès non autorisé, la perte, l’altération ou la divulgation :

Chiffrement en transit — toutes les communications entre l’utilisateur et la Plateforme sont chiffrées via le protocole HTTPS (TLS 1.2 minimum).

Chiffrement au repos — les données stockées via les services Cloudflare (Workers KV pour les commandes, R2 pour les plans) sont chiffrées au repos par défaut.

Minimisation et durée courte — le service fonctionne sans création de compte. Les données du formulaire et les plans transmis ne sont conservés sur l’infrastructure que le temps de traiter la commande, dans la limite de trente (30) jours, puis purgés automatiquement.

Contrôle d’accès — l’accès aux données est régi par le principe du moindre privilège. Les plans transmis sont accessibles via des liens à identifiant non devinable, communiqués au seul thermicien chargé de l’étude.

Sauvegardes — des sauvegardes régulières sont réalisées et testées trimestriellement pour s’assurer de leur intégrité et de la possibilité de restauration.

Surveillance — un système de monitoring surveille en continu les erreurs et anomalies techniques, avec alertes automatiques en cas d’incident.

Procédure de notification de violation — en cas de violation de données personnelles, RE2020+ s’engage à notifier la CNIL dans un délai de soixante-douze (72) heures conformément à l’article 33 du RGPD, et à informer les personnes concernées sans délai indu lorsque la violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés (article 34 du RGPD).

Droits des personnes concernées#

Conformément au RGPD et à la loi Informatique et Libertés, tout utilisateur dispose des droits suivants sur ses données personnelles :

Droit d’accès (article 15) — l’utilisateur peut obtenir la confirmation que des données le concernant sont ou ne sont pas traitées, et en obtenir une copie, sur simple demande par email.

Droit de rectification (article 16) — l’utilisateur peut demander la correction de données inexactes ou incomplètes par email, ou en recontactant le Prestataire au sujet de sa commande.

Droit à l’effacement (article 17) — le service fonctionnant sans compte, les données du formulaire et les plans sont de toute façon purgés automatiquement dans un délai maximal de trente (30) jours. L’utilisateur peut en demander la suppression anticipée par email. Certaines données sont conservées au-delà lorsqu’une obligation légale l’exige (facturation pendant 10 ans) ou au titre d’un intérêt légitime (étude technique au titre de la responsabilité décennale).

Droit à la portabilité (article 20) — l’utilisateur peut obtenir les données qu’il a fournies dans un format structuré, couramment utilisé et lisible par machine (JSON). Ce droit s’applique aux données traitées sur la base du consentement ou de l’exécution du contrat.

Droit d’opposition (article 21) — l’utilisateur peut s’opposer à tout moment au traitement de ses données à des fins de prospection commerciale, par email ou via le lien de désinscription présent dans chaque email commercial.

Droit à la limitation du traitement (article 18) — l’utilisateur peut demander le gel temporaire du traitement dans les cas prévus par le RGPD (contestation de l’exactitude des données, traitement illicite, opposition en cours d’examen).

Droit de ne pas faire l’objet d’une décision automatisée (article 22) — RE2020+ ne prend aucune décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques. Toutes les décisions relatives à l’étude sont prises par le Prestataire.

9.1 — Modalités d’exercice des droits

Les droits peuvent être exercés par l’une des voies suivantes :

• Par courrier électronique adressé à : contact@re2020plus.fr ;
• Par courrier postal adressé à : M. Fatin Albayrak — RE2020+, 25 rue du 11 Novembre, 25600 Sochaux.

Le Prestataire s’engage à répondre à toute demande dans un délai d’un (1) mois à compter de sa réception. Ce délai peut être prolongé de deux (2) mois supplémentaires en cas de complexité ou de nombre élevé de demandes, conformément à l’article 12.3 du RGPD. L’utilisateur en est informé dans le délai initial d’un mois.

Le Prestataire peut demander à l’utilisateur de justifier de son identité avant de donner suite à une demande, afin de prévenir tout accès non autorisé aux données personnelles.

9.2 — Réclamation auprès de la CNIL

Si l’utilisateur estime que le traitement de ses données personnelles constitue une violation du RGPD, il dispose du droit d’introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) :

Conservation et purge des données#

Le service fonctionne sans création de compte. Les données transmises via le formulaire (informations du projet, plans) ne sont conservées sur l’infrastructure que le temps de traiter la commande, dans la limite de trente (30) jours, puis purgées automatiquement. La commande est par ailleurs effacée du stockage temporaire dès le traitement du paiement.

L’utilisateur peut demander la suppression anticipée de ses données par email, sous réserve des données que la loi impose de conserver.

Données conservées au-delà : les factures sont conservées pendant dix (10) ans conformément aux obligations comptables. L’étude réalisée et les éléments techniques associés sont conservés par le thermicien au titre de la responsabilité décennale.

Cookies et traceurs#

La Plateforme utilise des cookies et traceurs dont le détail, les finalités et les modalités de gestion sont décrits dans la Politique de cookies, accessible à l’adresse /cookies et depuis le bandeau de consentement.

Mineurs#

La Plateforme n’est pas destinée aux personnes de moins de dix-huit (18) ans. La commande d’une prestation nécessite d’être majeur ou d’agir sous l’autorité d’un représentant légal. RE2020+ ne collecte pas sciemment de données personnelles de mineurs. Si le Prestataire constate qu’un mineur a communiqué des données personnelles, celles-ci seront supprimées dans les meilleurs délais.

Modification de la présente politique#

RE2020+ se réserve le droit de modifier la présente Politique de confidentialité à tout moment pour l’adapter aux évolutions réglementaires, techniques ou fonctionnelles de la Plateforme.

En cas de modification substantielle, la nouvelle version est publiée sur cette page avec une date de mise à jour actualisée. L’utilisateur qui continue à utiliser la Plateforme après cette date est réputé avoir accepté la politique modifiée.

La date de dernière mise à jour est indiquée en tête du présent document.

Contact#

Pour toute question relative à la présente Politique de confidentialité ou au traitement de vos données personnelles :