Politique de Confidentialité
Dernière mise à jour : 20 mars 2026
1. Responsable du traitement
Le responsable du traitement des données personnelles est :
- Quentin Allard — Entrepreneur Individuel (EI)
- SIRET : 825 314 784 00034
- Siège : Villeurbanne, France
- Contact : contact@bailcalc.fr
2. Délégué à la protection des données (DPO)
Pour toute question relative à la protection de vos données personnelles, vous pouvez contacter notre référent données :
- Email : dpo@bailcalc.fr
Nous nous engageons à répondre dans un délai d'un mois à compter de la réception de votre demande.
3. Données collectées, finalités et bases légales
| Traitement | Données | Finalité | Base légale (RGPD) |
|---|---|---|---|
| Création de compte | Email, nom complet, mot de passe (haché) | Authentification, accès aux services Pro | Exécution du contrat (art. 6.1.b) |
| Profil bailleur | Adresse, code postal, ville, téléphone, IBAN | Génération des documents locatifs (quittances, baux) | Exécution du contrat (art. 6.1.b) |
| Gestion locataires | Nom, email, téléphone des locataires | Génération de documents, suivi locatif | Exécution du contrat (art. 6.1.b) |
| Gestion des biens | Adresse, loyer, charges, prix d'achat | Calculs (indexation, rentabilité), documents | Exécution du contrat (art. 6.1.b) |
| Abonnement et facturation | Identifiant Stripe (customer_id, subscription_id) | Gestion des paiements, accès Pro | Exécution du contrat (art. 6.1.b) |
| Documents générés | Contenu des quittances, baux, états des lieux | Historique, regénération | Exécution du contrat (art. 6.1.b) |
| Calculateurs (sans compte) | Données saisies (loyer, indices) en localStorage | Calcul d'indexation, aide à la rédaction | Intérêt légitime (art. 6.1.f) — données non transmises au serveur |
| Monitoring erreurs (Sentry) | Données techniques (URL, navigateur, stack trace) | Correction de bugs, stabilité du service | Consentement (art. 6.1.a) |
| Journaux de consentement | Choix cookies, date, version | Preuve de consentement (obligation légale) | Obligation légale (art. 6.1.c) |
| Demandes de contact | Email, contenu du message | Répondre à la demande | Intérêt légitime (art. 6.1.f) |
Minimisation des données : nous ne collectons que les données strictement nécessaires à chaque finalité. Aucune donnée sensible au sens de l'article 9 du RGPD n'est collectée.
4. Durées de conservation
| Données | Durée de conservation |
|---|---|
| Compte utilisateur et profil | Pendant la durée du compte, puis supprimé à la demande de l'utilisateur |
| Données locatives (biens, locataires, documents) | Pendant la durée du compte. Supprimées en cascade à la suppression du compte |
| Données de facturation | 10 ans après la dernière transaction (obligation comptable, art. L123-22 du Code de commerce) |
| Journaux de consentement cookies | 13 mois maximum (recommandation CNIL) |
| Données localStorage (calculateurs) | Jusqu'à effacement par l'utilisateur dans son navigateur |
| Logs Sentry (monitoring) | 90 jours (paramétrage Sentry) |
| Demandes de contact (email) | 3 ans après le dernier échange |
5. Sous-traitants et transferts de données
Les données personnelles sont susceptibles d'être traitées par les prestataires suivants, agissant en qualité de sous-traitants au sens du RGPD :
| Sous-traitant | Fonction | Localisation | Garanties |
|---|---|---|---|
| Supabase Inc. | Base de données, authentification, edge functions | États-Unis (AWS eu-west) | DPA signé, clauses contractuelles types (SCCs), SOC 2 Type II |
| Stripe Inc. | Paiements sécurisés, facturation | États-Unis / Irlande | DPA signé, SCCs, PCI-DSS Level 1, SOC 2 |
| Vercel Inc. | Hébergement du site, CDN, edge network | États-Unis (edge global) | DPA signé, SCCs, SOC 2 Type II |
| Functional Software (Sentry) | Monitoring des erreurs frontend | États-Unis | DPA signé, SCCs, SOC 2. Activé uniquement avec consentement |
| Google LLC (Google Fonts) | Chargement de polices de caractères | États-Unis (CDN global) | DPA Google Cloud, SCCs. Aucun cookie déposé (CSS only) |
Lorsque des données sont transférées hors de l'Union européenne, ces transferts sont encadrés par des clauses contractuelles types (SCCs) approuvées par la Commission européenne, ou par des garanties équivalentes (décision d'adéquation, règles d'entreprise contraignantes).
6. Cookies et traceurs
Cookies strictement nécessaires (exemptés de consentement)
- Session Supabase : authentification (localStorage
sb-*-auth-token) - Préférences de consentement : stockage de vos choix cookies (localStorage
cookieConsent) - Stripe : cookies techniques lors du processus de paiement
Cookies soumis à consentement
- Sentry (catégorie « Mesure d'audience ») : monitoring des erreurs frontend pour améliorer la stabilité du service. Activé uniquement après consentement explicite.
Gestion de vos préférences
Vous pouvez à tout moment modifier vos préférences cookies en cliquant sur le lien « Préférences cookies » présent dans le pied de page de chaque page, ou en utilisant le bouton ci-dessous :
Le refus des cookies non essentiels n'affecte pas l'accès au site ni aux fonctionnalités. La durée de conservation des cookies est au maximum de 13 mois.
7. Vos droits
Conformément au RGPD (articles 15 à 22) et à la loi Informatique et Libertés, vous disposez des droits suivants :
- Droit d'accès (art. 15) : obtenir une copie de vos données personnelles.
- Droit de rectification (art. 16) : corriger des données inexactes ou incomplètes.
- Droit à l'effacement (art. 17) : demander la suppression de vos données. Vous pouvez supprimer votre compte directement depuis votre espace compte. La suppression est totale et irréversible (cascade sur biens, locataires, documents, snapshots).
- Droit à la limitation du traitement (art. 18) : demander la restriction temporaire du traitement.
- Droit à la portabilité (art. 20) : récupérer vos données dans un format structuré (JSON). Disponible depuis votre espace compte (bouton « Exporter mes données personnelles »).
- Droit d'opposition (art. 21) : vous opposer au traitement fondé sur l'intérêt légitime.
- Retrait du consentement : retirer à tout moment votre consentement aux cookies via les préférences cookies, sans affecter la licéité du traitement antérieur.
Pour exercer vos droits : dpo@bailcalc.fr. Nous répondrons dans un délai d'un mois.
En cas de litige, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr/fr/plaintes.
8. Sécurité
- Chiffrement en transit : toutes les communications sont chiffrées via HTTPS/TLS. Le header HSTS (max-age 2 ans, includeSubDomains, preload) est activé.
- Chiffrement au repos : les données sont stockées sur Supabase (PostgreSQL) avec chiffrement AES-256 au repos (AWS).
- Row Level Security (RLS) : activée sur toutes les tables Supabase. Chaque utilisateur ne peut accéder qu'à ses propres données.
- Restriction des colonnes : les utilisateurs authentifiés ne peuvent modifier que les colonnes autorisées (nom, adresse, téléphone, IBAN).
- Headers de sécurité : Content-Security-Policy, X-Frame-Options (DENY), X-Content-Type-Options (nosniff), Referrer-Policy (strict-origin-when-cross-origin), Permissions-Policy.
- Mots de passe : hachés par Supabase Auth (bcrypt). Jamais stockés en clair.
9. Mineurs
BailCalc n'est pas destiné aux mineurs de moins de 16 ans. Nous ne collectons pas sciemment de données personnelles de mineurs.
10. Modifications de cette politique
Cette politique de confidentialité peut être mise à jour. En cas de modification substantielle, les utilisateurs inscrits seront informés par email ou par une notification sur le site. La version en vigueur est celle publiée sur cette page, avec la date de dernière mise à jour indiquée en haut.
Mentions légales · CGU · CGV Abonnement · Retour à l'accueil