Politique de confidentialité

Comment nous protégeons vos données personnelles

1. Introduction

La SAS Enquête d'immo, représentée par Benjamin Dulieu en qualité de Président, s'engage à protéger la vie privée des utilisateurs de son site enquete-immo.com. Cette politique de confidentialité explique comment nous collectons, utilisons et protégeons vos informations personnelles.

En utilisant notre site, vous acceptez les pratiques décrites dans cette politique.

2. Responsable du traitement

Le responsable du traitement des données personnelles est :

  • Raison sociale : SAS Enquête d'immo
  • Forme juridique : Société par actions simplifiée à associé unique (SASU)
  • Siège social : 14 Rue des Pavillons, 92800 Puteaux
  • RCS : 994 523 264 RCS Nanterre
  • Représentée par : Benjamin Dulieu, Président
  • Email : [email protected]

3. Délégué à la protection des données (DPO)

Conformément à l'article 37 du RGPD, la désignation d'un DPO n'est pas obligatoire pour notre activité, qui n'implique pas de traitement à grande échelle ni de profilage systématique des personnes concernées.

Pour toute question relative à la protection de vos données personnelles ou pour exercer vos droits (accès, rectification, effacement, portabilité, opposition), vous pouvez nous contacter par email à [email protected]. Une réponse vous sera apportée dans un délai maximum d'un mois.

En cas de désaccord persistant, vous disposez du droit d'introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés).

4. Données collectées

Nous collectons les données suivantes :

4.1 Données fournies volontairement

  • Nom et prénom (et celui de votre conjoint / co-acquéreur le cas échéant)
  • Adresse email
  • Numéro de téléphone
  • Adresse postale, ville, code postal
  • Informations relatives à votre projet immobilier (budget, type de bien, secteur, délai d'achat, critères qualitatifs)
  • Situation financière indicative (apport, éligibilité PTZ / TVA 5,5%) communiquée au cours du RDV diagnostic
  • Tout autre information que vous choisissez de nous communiquer

4.2 Données collectées automatiquement

  • Adresse IP
  • Type de navigateur et appareil
  • Pages consultées et durée de visite
  • Source de trafic (moteur de recherche, lien direct, etc.)

4.3 Données audio / enregistrement du RDV diagnostic

Lors du rendez-vous diagnostic en visioconférence, le contenu audio de l'échange est enregistré et transcrit automatiquement via le service Fireflies.ai (cf. section 8 — Sous-traitants).

La transcription est ensuite analysée par un modèle d'intelligence artificielle (Anthropic — Claude) afin d'extraire automatiquement les informations relatives à votre projet (budget validé, critères, secteur, etc.) et d'alimenter votre fiche dans notre CRM interne.

Vous êtes informé(e) au début de chaque RDV de cet enregistrement et votre consentement explicite est requis pour démarrer la session. Vous pouvez à tout moment refuser l'enregistrement — dans ce cas, le rendez-vous se déroulera sans bot et la prise de notes sera manuelle.

La transcription écrite est conservée pendant la durée de la relation commerciale puis archivée selon les délais indiqués en section 7. Le fichier audio brut est conservé chez Fireflies.ai selon leurs propres conditions de service et politique de rétention, que vous pouvez consulter sur leur site. Sur demande écrite de votre part, nous pouvons demander à Fireflies la suppression de l'enregistrement audio vous concernant.

4.4 Simulateur d'achat VEFA — aucune collecte personnelle

Notre simulateur en ligne (/simulateur) est entièrement public et anonyme. Vos saisies (profil, revenus, apport, zone, etc.) restent dans votre navigateur (localStorage) pour permettre la navigation entre les étapes. Aucune donnée personnelle n'est transmise ni stockée sur nos serveurs, aucune adresse email ni numéro de téléphone n'est demandé pour utiliser le simulateur ou voir les résultats.

Seules les statistiques de fréquentation anonymes sont mesurées via Cloudflare Web Analytics (sans cookie, sans fingerprinting, sans traçage individuel, conforme RGPD).

Les résultats affichés sont indicatifs et non contractuels. Aucune offre de crédit n'est présentée, proposée ni comparée. Enquête d'Immo opère sous Carte professionnelle T n° CPI 9201 2026 000 000 028 (transactions immobilier) et n'est pas immatriculée au registre ORIAS pour l'intermédiation en opérations de banque (article L519-1 du Code monétaire et financier).

5. Finalités du traitement

Vos données personnelles sont utilisées pour :

  • Répondre à vos demandes de contact
  • Vous fournir des informations sur nos services
  • Organiser et gérer les rendez-vous diagnostic (planification, confirmation, rappels J-1 / H-2 / T-10 min, replanification)
  • Enregistrer et transcrire le contenu du RDV diagnostic en visioconférence aux fins de prise de notes automatique et d'analyse de votre projet
  • Calculer un scoring qualitatif de votre dossier (intérêt, budget, urgence) afin de prioriser notre suivi commercial
  • Vous envoyer des relances par WhatsApp, SMS et/ou email dans le cadre de notre prestation de chasse immobilière (séquences automatisées si le projet est dormant)
  • Mettre votre dossier en relation avec les promoteurs immobiliers partenaires correspondant à vos critères, avec votre accord
  • Détecter les faux numéros / emails invalides (vérification automatisée non décisionnelle via Twilio Lookup et Resend)
  • Améliorer nos services et l'expérience utilisateur du site
  • Respecter nos obligations légales (loi Hoguet, comptabilité, RGPD)

6. Base légale du traitement

Le traitement de vos données repose sur :

  • Votre consentement explicite (article 6.1.a du RGPD) lors :
    • de l'envoi du formulaire de contact ou du paiement du RDV diagnostic ;
    • du début de chaque RDV en visioconférence (enregistrement et transcription par IA).
  • L'exécution d'un contrat ou de mesures précontractuelles (RDV diagnostic, accompagnement chasse immobilière jusqu'à la signature de l'acte authentique) — article 6.1.b du RGPD
  • L'intérêt légitime du responsable du traitement (article 6.1.f du RGPD) pour :
    • l'amélioration de nos services, la prévention des fraudes (détection de faux numéros / emails) et la lutte contre le spam.
  • Le respect d'obligations légales (conservation des pièces comptables, obligations issues de la loi Hoguet) — article 6.1.c du RGPD

Vous pouvez retirer votre consentement à tout moment en nous écrivant à [email protected]. Ce retrait n'affecte pas la licéité des traitements effectués avant son exercice (article 7.3 du RGPD).

7. Durée de conservation

Nous conservons vos données personnelles :

  • Données de contact : 3 ans après le dernier contact
  • Données clients : 5 ans après la fin de la relation commerciale
  • Données de navigation : 13 mois maximum

8. Partage des données

Nous ne vendons, ne louons et ne partageons pas vos données personnelles avec des tiers à des fins commerciales.

Vos données peuvent être partagées uniquement avec :

  • Les promoteurs immobiliers, uniquement dans le cadre de votre projet et avec votre accord explicite
  • Nos prestataires techniques (hébergement, outils de gestion) sous contrat de confidentialité (DPA)
  • Les autorités compétentes si la loi l'exige

8.1 Sous-traitants et destinataires des données

Vos données peuvent être transmises aux sous-traitants suivants, dans la stricte mesure nécessaire à la fourniture du service. Tous nos sous-traitants sont liés par un accord de traitement des données (DPA) conforme à l'article 28 du RGPD.

Lorsque les données sont transférées hors de l'Union européenne, le transfert est encadré par les Clauses Contractuelles Types (SCC) de la Commission européenne (décision 2021/914). Lorsque le sous-traitant est, en outre, certifié au titre du EU-US Data Privacy Framework (décision d'adéquation du 10 juillet 2023), cette certification s'ajoute aux SCC. Vous pouvez vérifier la certification DPF de chaque sous-traitant sur dataprivacyframework.gov.

Note sur notre CRM interne : notre outil de gestion commerciale interne « Quete » (suivi des prospects et des dossiers de chasse VEFA) est hébergé chez Cloudflare (déjà listé ci-dessous) sur la base D1 « crm-vefa-db-eu » verrouillée en jurisdiction UE (Prague). Cet outil n'est pas un sous-traitant tiers au sens de l'article 28 du RGPD, mais un système géré directement par la SAS Enquête d'Immo, sous le même responsable de traitement et avec les mêmes finalités que celles décrites en section 5. L'accès est strictement restreint aux personnes habilitées (Benjamin Dulieu et les chasseurs collaborant à Enquête d'Immo) via une authentification sécurisée (Better Auth, sessions chiffrées). Lorsque vous utilisez le formulaire de contact ou réservez un RDV diagnostic 29 € sur ce site, vos données sont automatiquement enregistrées dans ce CRM interne afin de permettre le suivi commercial. Le simulateur, lui, ne collecte aucune donnée personnelle (cf. section 4.4).

Sous-traitant Finalité Localisation Garanties
Cloudflare, Inc. Hébergement du site (Pages), base de données (D1), KV (rate limiting), R2 (stockage documents), protection anti-bot (Turnstile) UE stricte — base D1 verrouillée en jurisdiction=eu, primary à Prague (depuis le 16 mai 2026). Worker et CDN distribués mondialement. SCC + EU-US Data Privacy Framework (certification active, échéance 23/09/2026)
Stripe Payments Europe Ltd. Traitement du paiement par carte bancaire pour le RDV diagnostic (29 €) Irlande (UE) — sous-traitant ultime aux États-Unis SCC + EU-US Data Privacy Framework (certification active, échéance 11/05/2027) + PCI-DSS niveau 1
Resend, Inc. Envoi des emails transactionnels (confirmations RDV, rappels, mails de séquence, notifications) États-Unis (Delaware) SCC + EU-US Data Privacy Framework (certification active, échéance 03/03/2027)
Twilio Ireland Ltd. / Twilio Inc. Envoi de messages WhatsApp Business et SMS (confirmations, rappels), appels téléphoniques sortants automatisés, vérification de la validité technique des numéros saisis (Lookup) Irlande (UE) — sous-traitant ultime États-Unis SCC + EU-US Data Privacy Framework (certification active Twilio Inc., échéance 20/04/2027)
Vapi, Inc. Appels vocaux automatisés assistés par IA pour les qualifications préliminaires (uniquement si vous avez consenti à être recontacté) États-Unis SCC
Google LLC (Google Workspace) Hébergement de la boîte email pro, agenda partagé, lien Google Meet pour la visio du RDV diagnostic États-Unis (Google Workspace UE) SCC + EU-US Data Privacy Framework (certification active, échéance 13/09/2026)
Fireflies AI, Inc. Enregistrement et transcription automatique du contenu audio du RDV diagnostic en visioconférence, pour prise de notes automatique. La transcription écrite est conservée selon les durées de la section 7. Le fichier audio brut est conservé chez Fireflies selon leurs propres conditions de service. États-Unis (Californie) SCC + EU-US Data Privacy Framework (certification active, échéance 28/04/2027) + chiffrement TLS en transit
Anthropic PBC Analyse par modèle Claude des transcriptions de RDV (extraction critères projet) et calcul d'un score qualitatif de votre dossier (intérêt, budget, urgence). Pas de décision juridique automatisée : le score est uniquement indicatif et ne conditionne pas l'accès au service. États-Unis SCC + chiffrement TLS. Selon les conditions API d'Anthropic, les données envoyées via l'API ne sont pas utilisées pour entraîner les modèles.
Sentry (Functional Software, Inc.) Supervision technique et détection des erreurs serveur des Functions (capture des exceptions non gérées ; peut inclure une adresse IP ou un identifiant technique) Union européenne — ingestion et stockage en région EU (Francfort, de.sentry.io, EU Data Residency). Société établie aux États-Unis. Données hébergées en UE (résidence EU) ; capture PII par défaut désactivée (sendDefaultPii: false) ; SCC pour la société mère US

8.2 Décisions automatisées

Le scoring qualitatif calculé par Claude n'est utilisé qu'en interne pour prioriser notre suivi commercial. Il ne produit pas d'effets juridiques à votre égard et ne conditionne pas l'accès au service (article 22 du RGPD). Vous pouvez à tout moment demander une intervention humaine, exprimer votre point de vue ou contester ce scoring en nous écrivant à [email protected].

9. Sécurité des données

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données contre tout accès non autorisé, modification, divulgation ou destruction :

  • Connexion sécurisée HTTPS sur l'intégralité du site (TLS 1.3, HSTS)
  • Base de données verrouillée dans l'Union européenne (juridiction stricte « eu » Cloudflare, primary à Prague, République Tchèque)
  • Chiffrement en transit (TLS) sur tous les échanges. Chiffrement au repos appliqué par défaut sur notre infrastructure Cloudflare (D1, R2, KV)
  • Backups quotidiens automatiques de la base avec rétention 30 jours
  • Authentification forte sur le back-office (one-time password par email)
  • Politique de sécurité applicative (CSP, anti-CSRF, rate limiting, audit logs)
  • Accès aux données personnelles limité aux seules personnes habilitées
  • Suivi des incidents et notification à la CNIL dans les 72 heures en cas de violation, conformément à l'article 33 du RGPD

10. Vos droits (RGPD)

Conformément au Règlement Général sur la Protection des Données (RGPD), vous disposez des droits suivants :

  • Droit d'accès : obtenir une copie de vos données
  • Droit de rectification : corriger vos données inexactes
  • Droit à l'effacement : demander la suppression de vos données
  • Droit à la limitation : limiter le traitement de vos données
  • Droit à la portabilité : recevoir vos données dans un format structuré
  • Droit d'opposition : vous opposer au traitement de vos données

Pour exercer ces droits, contactez-nous à : [email protected]

11. Cookies

Ce site n'utilise pas de cookies analytiques ni de traceurs publicitaires. Seuls les cookies strictement nécessaires au fonctionnement du service sont déposés :

  • Cookies de session du back-office (authentification administrateur uniquement, jamais déposés sur le site public)
  • Cookies Stripe au moment du paiement (sécurité anti-fraude, exigés par le PCI-DSS)
  • Cookie Cloudflare Turnstile (anti-bot, ne contient aucune donnée personnelle identifiable)
  • Préférence de thème (clair / sombre) stockée en localStorage uniquement côté votre navigateur

Ces cookies sont exemptés de consentement préalable au sens de l'article 82 de la loi Informatique et Libertés et des recommandations de la CNIL (cookies strictement nécessaires).

12. Réclamation

Si vous estimez que le traitement de vos données personnelles constitue une violation du RGPD, vous avez le droit de déposer une réclamation auprès de la CNIL :

  • CNIL - Commission Nationale de l'Informatique et des Libertés
  • 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
  • Site web : www.cnil.fr

13. Modifications

Nous nous réservons le droit de modifier cette politique de confidentialité à tout moment. Les modifications seront publiées sur cette page avec une date de mise à jour.

Dernière mise à jour : 28 mai 2026

Version 2.0 — ajout des sous-traitants Twilio, Vapi, Fireflies, Anthropic, Resend, Google, Sentry · base de données migrée en juridiction UE stricte (Prague) · clarification de l'enregistrement et de l'analyse IA des RDV visioconférence.