Légal
Conformité RGPD
Données minimales, sécurité maximale, contrôle total. Découvrez nos engagements concrets pour la protection de vos données personnelles.
Dernière mise à jour : 29 avril 2026
Nos engagements RGPD
ImmoGrade traite des données professionnelles avec la plus grande rigueur. Nous nous appuyons sur les principes fondateurs du Règlement général sur la protection des données pour garantir la confiance de nos utilisateurs.
- Minimisation des données. Nous ne collectons que ce qui est strictement nécessaire au Service.
- Chiffrement de bout en bout. Toutes les communications sont chiffrées via TLS 1.2+.
- Aucune revente de données. Vos données ne sont jamais vendues à des tiers, à aucune fin.
- Hébergement européen. Notre infrastructure principale est hébergée dans l'Union européenne.
- Sous-traitants encadrés. Tous nos sous-traitants signent un accord conforme au RGPD.
- Transparence totale. Vous savez ce qui est collecté, pourquoi et combien de temps.
1. Notre rôle vis-à-vis de vos données
Pour les données de votre compte et les recherches que vous effectuez, ImmoGrade agit en tant que responsable de traitement. Lorsque vous configurez un compte d'agence et invitez des collaborateurs, ImmoGrade peut également agir en tant que sous-traitant au sens du RGPD pour les données de votre équipe.
2. Données collectées
Nous nous limitons aux données strictement nécessaires :
- Identité professionnelle : email, prénom, nom, mot de passe haché.
- Données agence (facultatives) : raison sociale, logo, RSAC, adresse.
- Données de Rapports : adresses recherchées, scores calculés.
- Données de facturation : transmises directement à Stripe (notre processeur de paiement certifié PCI-DSS).
- Données techniques : adresse IP, agent utilisateur, journaux d'événements (sécurité).
Nous ne collectons pas de données sensibles au sens de l'article 9 du RGPD (santé, opinions politiques, religion, etc.).
3. Comment nous traitons vos données
Le cycle de vie d'une donnée chez ImmoGrade :
- Collecte : uniquement via les interfaces officielles du Service.
- Transmission : chiffrée par TLS, sans stockage intermédiaire.
- Traitement : effectué sur des serveurs sécurisés en Union européenne.
- Stockage : base de données chiffrée, sauvegardes chiffrées.
- Restitution : accessible uniquement à vous depuis votre compte, derrière une authentification.
- Suppression : sur demande ou à l'issue de la durée de conservation applicable.
4. Chiffrement et mesures de sécurité
- TLS 1.2+ obligatoire pour toutes les connexions HTTPS.
- Hachage bcrypt pour les mots de passe utilisateurs (jamais stockés en clair).
- Authentification JWT via cookies HttpOnly + Secure + SameSite.
- Chiffrement au repos de la base de données et des sauvegardes.
- Contrôles d'accès stricts (principe du moindre privilège).
- Journalisation des actions sensibles (connexion, paiement, suppression).
- Rotation régulière des secrets et clés d'API.
- Audits de sécurité périodiques sur l'infrastructure et le code.
5. Rétention et minimisation
Nous conservons vos données aussi longtemps que nécessaire pour fournir le Service ou respecter une obligation légale. Au-delà, elles sont supprimées ou anonymisées. Vous pouvez à tout moment demander la suppression de votre compte ; les données associées seront effacées dans les meilleurs délais, sous réserve des obligations légales de conservation (factures pendant 10 ans notamment).
6. Vos droits selon le RGPD
Le RGPD vous garantit des droits que nous nous engageons à respecter pleinement :
- Article 15 — Accès : connaître les données que nous détenons sur vous.
- Article 16 — Rectification : corriger des données inexactes.
- Article 17 — Effacement (« droit à l'oubli »).
- Article 18 — Limitation : restreindre temporairement le traitement.
- Article 20 — Portabilité : récupérer vos données dans un format structuré.
- Article 21 — Opposition : vous opposer à un traitement fondé sur l'intérêt légitime.
- Article 7§3 — Retrait du consentement à tout moment.
- Article 77 — Réclamation auprès d'une autorité de contrôle (CNIL en France).
Pour exercer un droit, écrivez à privacy@immograde.com. Réponse garantie dans le délai légal d'un mois.
7. Sous-traitants
Nous travaillons avec un nombre restreint de sous-traitants, choisis pour leurs garanties solides en matière de conformité RGPD. Tous sont liés par un accord de traitement des données (DPA) :
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| Stripe | Traitement des paiements (PCI-DSS) | Irlande / États-Unis |
| Google Cloud — Air Quality & Pollen API | Calcul des scores | Union européenne / États-Unis |
| Google Maps — Geocoding | Conversion adresse → coordonnées | Union européenne / États-Unis |
| [À COMPLÉTER — hébergeur] | Hébergement applicatif et base de données | Union européenne |
| [À COMPLÉTER — emailing transactionnel] | Emails transactionnels | Union européenne |
| Google Analytics | Mesure d'audience anonymisée (avec consentement) | Union européenne / États-Unis |
8. Transferts internationaux
Lorsque des données sont transférées hors de l'Espace économique européen, nous nous appuyons sur des mécanismes conformes au RGPD : Clauses Contractuelles Types (CCT) approuvées par la Commission européenne et, lorsque applicable, le EU–US Data Privacy Framework.
9. Notification en cas de violation
En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à :
- notifier la CNIL dans un délai maximal de 72 heures après en avoir pris connaissance ;
- vous informer dans les meilleurs délais lorsque le risque est élevé pour vos droits ;
- documenter chaque incident dans un registre interne accessible à l'autorité de contrôle.
10. Suppression de compte et droit à l'oubli
Vous pouvez supprimer votre compte à tout moment depuis votre espace personnel ou en nous contactant. À l'issue de la procédure :
- vos données personnelles sont supprimées de nos bases de données ;
- les Rapports générés sont également supprimés ;
- les sauvegardes contenant ces données sont écrasées dans les cycles de rotation suivants ;
- seules les factures et données strictement requises par la loi sont conservées (notamment 10 ans pour les factures).
11. Accord de traitement des données (DPA)
Pour nos clients professionnels, notamment dans un contexte d'agence avec collaborateurs, nous mettons à disposition sur demande un accord de traitement des données (DPA) conforme à l'article 28 du RGPD. Pour en obtenir un exemplaire, écrivez à privacy@immograde.com.
12. Contact pour la protection des données
Pour toute question, demande d'exercice de droit ou signalement, vous pouvez nous joindre :
- Par email : privacy@immograde.com
- Via notre formulaire de contact
- Par courrier : [À COMPLÉTER — adresse postale]
Vous avez également le droit d'introduire une réclamation auprès de la CNIL.