Politique de confidentialité
Dernière mise à jour : 13 avril 2026
1. Responsable du traitement
Le responsable du traitement des données personnelles est la société éditrice d'ArchiReg, dont les coordonnées sont disponibles dans les mentions légales.
2. Données personnelles collectées
Dans le cadre de l'utilisation du service, nous collectons :
- Données d'inscription : email, nom, mot de passe chiffré (bcrypt via Supabase Auth)
- Données projet : nom du projet, adresse, parcelle cadastrale, type de construction, zone PLU, surface (toutes fournies volontairement par l'utilisateur)
- Données d'usage : historique de conversations, requêtes envoyées à l'assistant IA, sources RAG consultées
- Données techniques : adresse IP (anonymisée : 192.168.1.XXX), user-agent, dates de connexion
- Données de facturation : gérées directement par Stripe (l'éditeur n'a JAMAIS accès aux données de carte bancaire)
3. Finalités et base légale
| Finalité | Base légale (RGPD art. 6) |
|---|---|
| Fourniture du service (authentification, chat, recherche PLU) | Exécution du contrat (art. 6.1.b) |
| Facturation et gestion des abonnements | Exécution du contrat + obligation légale (art. 6.1.b/c) |
| Sécurité, prévention de la fraude, anti-partage de compte | Intérêt légitime (art. 6.1.f) |
| Amélioration du service (logs agrégés, métriques) | Intérêt légitime (art. 6.1.f) |
| Support client | Exécution du contrat (art. 6.1.b) |
4. Durée de conservation
- Compte utilisateur : pendant toute la durée du contrat + 30 jours après suppression pour retraits involontaires
- Historique de conversations : 2 ans, ou jusqu'à suppression par l'utilisateur
- Données de facturation : 10 ans (obligation légale française — article L123-22 du Code de commerce)
- Logs techniques : 1 an maximum (CNIL délibération 2021-122)
- Données Stripe : selon la politique Stripe
5. Sous-traitants (destinataires des données)
Pour fournir le service, nous faisons appel aux sous-traitants suivants. Chacun est lié par un Data Processing Agreement (DPA) conforme RGPD :
| Sous-traitant | Usage | Localisation | Garanties |
|---|---|---|---|
| Supabase Inc. | Base de données PostgreSQL, authentification, stockage | UE (eu-west-3 Paris) | DPA signé, hébergement EU |
| Vercel Inc. | Hébergement frontend | États-Unis | DPA + Standard Contractual Clauses (SCC) |
| Stripe, Inc. | Paiement et facturation | États-Unis / UE (Irlande) | DPA + SCC + PCI-DSS Level 1 |
| Groq Inc. | API de modèles de langage (IA) | États-Unis | DPA + SCC + zero data retention |
| Sentry (Functional Software, Inc.) | Monitoring d'erreurs | États-Unis | DPA + SCC + PII scrubbing |
| Grafana Labs | Observabilité (métriques, traces) | UE / États-Unis | DPA + SCC |
Transferts hors UE : les données transférées vers les États-Unis sont encadrées par des Clauses Contractuelles Types (SCC) de la Commission européenne. Les requêtes adressées aux modèles IA (Groq) sont configurées en « zero retention » — Groq ne stocke pas les prompts ni les réponses au-delà du temps nécessaire à leur traitement.
6. Vos droits (RGPD art. 15-22)
Vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès (art. 15) — obtenir une copie de vos données
- Droit de rectification (art. 16) — corriger des données inexactes
- Droit à l'effacement(art. 17) — disponible en self-service dans le menu utilisateur → « Supprimer mon compte »
- Droit à la portabilité(art. 20) — export JSON de vos données via le menu utilisateur → « Exporter mes données »
- Droit à la limitation (art. 18) — suspendre le traitement de vos données
- Droit d'opposition (art. 21) — vous opposer au traitement pour motifs légitimes
- Droit de réclamation auprès de la CNIL — en cas de litige non résolu, vous pouvez saisir la CNIL sur cnil.fr/fr/plaintes
Pour exercer vos droits, contactez notre DPO à l'adresse : dpo@archireg.fr
7. Cookies
Le service utilise uniquement des cookies strictement nécessaires au fonctionnement (authentification, session). Aucun cookie analytique ou marketing n'est déposé sans votre consentement explicite.
8. Sécurité
Les données sont chiffrées en transit (TLS 1.3) et au repos (AES-256). Les mots de passe sont hashés via bcrypt (cost factor 12). L'accès aux données est contrôlé par Row-Level Security (RLS) Postgres, garantissant qu'un utilisateur ne peut accéder qu'à ses propres données.
9. Notification de violation
En cas de violation de données personnelles présentant un risque pour vos droits, nous nous engageons à notifier la CNIL dans les 72 heures et, si le risque est élevé, à vous en informer directement dans les meilleurs délais.
10. Modifications
Cette politique peut être modifiée à tout moment. Les utilisateurs seront informés des modifications substantielles par email.