Politique de confidentialité

01 / Notre engagement

SHADES s'engage à protéger la vie privée des utilisateurs de son site et de ses outils, conformément au Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et à la loi française « Informatique et Libertés » modifiée.

La présente politique décrit, en toute transparence :

Les données personnelles que nous collectons et pourquoi ;
Avec qui nous les partageons et où elles sont stockées ;
Combien de temps nous les conservons ;
Comment vous pouvez exercer vos droits sur vos données.

Notre principe directeur : collecter le strict minimum nécessaire, ne jamais revendre vos données, ne pas les utiliser pour entraîner des modèles d'IA.

02 / Responsable de traitement

Le responsable du traitement des données personnelles est :

SHADES
SAS au capital de 1 000 €
SIREN 930 738 687 · RCS Bobigny
7 Place de l'Hôtel de Ville, 93600 Aulnay-sous-Bois
Email : contact@shadesimmobilier.com

SHADES n'est pas tenue de désigner un Délégué à la Protection des Données (DPO) au sens de l'article 37 du RGPD. Le point de contact pour toute question relative aux données personnelles est joignable à l'adresse email ci-dessus.

03 / Données collectées et finalités

SHADES collecte plusieurs catégories de données, selon votre interaction avec le Service :

Catégorie	Données concernées	Finalité
Formulaire de contact	Nom, email, téléphone, projet, budget, zone, message	Répondre à votre demande, vous proposer un RDV ou un devis
Création de compte agence	Raison sociale, nom du contact, email, téléphone, nombre d'agents, formule	Gestion de l'abonnement, facturation, délivrance des clés d'accès
Connexion à l'espace Pro	Clé d'accès agence, IP de connexion, horodatage	Authentification, sécurité (anti-fraude), facturation à l'usage
Données saisies dans les outils	Fiches prospects, mandats, biens, rendez-vous, notes — variable selon l'outil	Fonctionnement du CRM, des mandats, de l'agenda, etc.
Appels aux outils IA	Texte saisi, contexte de l'analyse demandée (sans données personnelles tierces)	Génération de l'analyse IA via le modèle Claude d'Anthropic
Données techniques	Adresse IP, navigateur, OS, pages consultées, durée de visite	Analytics anonymisé (Umami auto-hébergé), sécurité (rate-limit), correction de bugs
Paiement	Données bancaires gérées par Stripe — SHADES ne stocke aucune donnée bancaire	Traitement des paiements d'abonnement

SHADES ne collecte aucune donnée sensible au sens de l'article 9 du RGPD (santé, origine, opinions politiques, convictions religieuses, données génétiques ou biométriques, vie sexuelle).

04 / Bases juridiques des traitements

Conformément à l'article 6 du RGPD, chaque traitement repose sur une base juridique précise :

Exécution du contrat (art. 6.1.b) — Pour la gestion de votre abonnement, la délivrance des clés d'accès, l'accès aux outils, la facturation et le support client.
Intérêt légitime (art. 6.1.f) — Pour la sécurité du Service (rate-limiting, anti-fraude), l'amélioration de nos outils, la prévention d'abus.
Consentement (art. 6.1.a) — Pour l'envoi de communications marketing non sollicitées (newsletter, offres commerciales) et pour les cookies non strictement nécessaires.
Obligation légale (art. 6.1.c) — Pour la conservation des données comptables (factures) imposée par le Code de commerce, et pour répondre aux demandes des autorités judiciaires ou administratives.

05 / Destinataires et sous-traitants

Vos données sont accessibles uniquement à :

Le personnel habilité de SHADES, dans la stricte limite de leurs fonctions ;
Les sous-traitants techniques listés ci-dessous, encadrés par un contrat conforme à l'article 28 du RGPD ;
Les autorités publiques sur réquisition légale.

SHADES ne vend ni ne loue jamais vos données à des tiers à des fins commerciales.

Sous-traitants techniques utilisés :

Prestataire	Rôle	Localisation
Netlify, Inc.	Hébergement du site et des fonctions serverless	États-Unis (DPA RGPD signé)
Anthropic PBC	Modèle d'IA Claude pour les analyses (sans rétention par défaut)	États-Unis (DPA RGPD signé)
Hugging Face SAS	Hébergement du backend Python d'analyse PLU	France
Stripe Payments Europe	Traitement des paiements	Irlande (UE)
Formspree	Relais du formulaire de contact	États-Unis (DPA RGPD)
Umami Analytics	Analytics web sans cookies (anonymisé)	Allemagne (UE)
Brevo (si activé)	Envoi d'emails transactionnels et marketing	France

06 / Transferts hors Union Européenne

Certains sous-traitants (Netlify, Anthropic, Formspree) sont établis aux États-Unis. Les transferts de données vers ces destinations sont encadrés par les mécanismes prévus par le RGPD :

Décision d'adéquation de la Commission Européenne pour les entreprises certifiées au EU-US Data Privacy Framework ;
À défaut, Clauses Contractuelles Types (SCC) approuvées par la Commission Européenne et signées avec chaque sous-traitant ;
Mesures techniques supplémentaires : chiffrement TLS 1.3 en transit, chiffrement au repos chez l'hébergeur, minimisation des données transférées.

SHADES s'engage à privilégier les fournisseurs européens chaque fois que possible (Hugging Face, Stripe Europe, Brevo, Umami (auto-hébergé)).

07 / Durées de conservation

Type de données	Durée
Demandes de contact non transformées en client	3 ans à compter du dernier contact
Comptes Abonnés actifs	Durée du contrat + 30 jours
Données saisies dans les outils (CRM, mandats, etc.)	Durée du contrat + 30 jours, puis suppression définitive
Factures et documents comptables	10 ans (article L.123-22 Code de commerce)
Logs de connexion / sécurité	12 mois maximum (recommandation CNIL)
Mesure d'audience (Umami, sans cookie)	Aucun cookie persistant — données journalières agrégées
Données envoyées à l'API Claude	Aucune rétention par défaut (paramétrage SHADES)
Newsletter / consentement marketing	Jusqu'au retrait du consentement + 3 ans après dernière activité

08 / Mesures de sécurité

SHADES met en œuvre des mesures techniques et organisationnelles pour protéger vos données :

Chiffrement TLS 1.3 sur toutes les connexions au site ;
HSTS preload forçant HTTPS sur tous les navigateurs ;
Headers de sécurité stricts (CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy) ;
Authentification par tokens signés HMAC-SHA256 pour les espaces admin et agence ;
Hachage SHA-256 + sel des clés d'accès agence côté serveur ;
Rate-limiting sur toutes les API pour prévenir abus et attaques par force brute ;
Origin allowlist stricte sur les fonctions serverless ;
Mots de passe et secrets stockés exclusivement en variables d'environnement, jamais dans le code ;
Sauvegardes automatiques quotidiennes ;
Audit de sécurité régulier et rotation périodique des secrets.

En cas de violation de données, SHADES s'engage à notifier la CNIL dans les 72 heures conformément à l'article 33 du RGPD, et à informer les personnes concernées sans délai si la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés.

09 / Vos droits RGPD

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :

Droit d'accès — obtenir confirmation que vos données sont traitées et en recevoir une copie ;
Droit de rectification — faire corriger toute donnée inexacte ou incomplète ;
Droit à l'effacement (« droit à l'oubli ») — demander la suppression de vos données, sauf obligation légale de conservation ;
Droit à la limitation — demander la suspension temporaire d'un traitement ;
Droit à la portabilité — recevoir vos données dans un format structuré, lisible par machine (CSV, JSON) ;
Droit d'opposition — vous opposer à un traitement reposant sur l'intérêt légitime ;
Droit de retirer votre consentement à tout moment (n'affecte pas la licéité des traitements antérieurs) ;
Droit de définir des directives post-mortem sur le sort de vos données (article 85 de la loi Informatique et Libertés).

Vous pouvez exercer ces droits :

Par email à contact@shadesimmobilier.com — réponse sous 1 mois maximum ;
Pour les Abonnés Pro : directement depuis l'espace agence (export CSV, suppression du compte).

Pour les demandes nécessitant une vérification d'identité (suppression, accès complet), SHADES peut demander une pièce d'identité, conservée uniquement le temps de traiter la demande.

10 / Contact et droit de réclamation

Pour toute question, réclamation ou exercice de vos droits :

SHADES — Protection des données
7 Place de l'Hôtel de Ville, 93600 Aulnay-sous-Bois
Email : contact@shadesimmobilier.com

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

3 Place de Fontenoy — TSA 80715 — 75334 PARIS CEDEX 07
Téléphone : 01 53 73 22 22
Site web : cnil.fr/fr/plaintes

11 / Mineurs

Le Service est destiné à un usage strictement professionnel (agences immobilières, mandataires, investisseurs). Il n'est pas destiné aux mineurs.

SHADES ne collecte pas sciemment de données concernant des personnes mineures. Si vous êtes parent ou tuteur et constatez qu'un mineur a fourni des données personnelles à SHADES, contactez-nous pour suppression immédiate.

12 / Évolutions de la politique

La présente politique peut être amenée à évoluer pour refléter des changements légaux, techniques ou organisationnels.

Toute modification substantielle sera notifiée aux Abonnés par email au moins 30 jours avant son entrée en vigueur, avec possibilité de retirer le consentement ou de résilier l'abonnement sans frais.

Cette politique est conforme au RGPD (Règlement UE 2016/679) et à la loi française n°78-17 du 6 janvier 1978 modifiée.