Politique de confidentialité

1. Responsable du traitement

ImmoVision est un service édité par ZAIPER, entreprise de développement B2B basée à Toulouse, France.

Contact délégué à la protection des données : contact@zaiper.fr

2. Données collectées

Nous collectons les données suivantes :

• Adresse e-mail (identification et authentification via Clerk)
• Photos immobilières téléversées par l'utilisateur (traitement IA)
• Données de facturation et d'utilisation (crédits, transactions)
• Journaux techniques anonymisés (erreurs, performances)

Nous ne vendons, ne louons, ni ne partageons vos données personnelles à des fins commerciales.

3. Finalités du traitement

• Fourniture et amélioration du service d'amélioration photo par IA
• Gestion des comptes utilisateurs et des abonnements
• Support technique et réponse aux demandes
• Respect des obligations légales et comptables

4. Base légale (RGPD)

Le traitement repose sur l'exécution du contrat (art. 6.1.b RGPD) pour la fourniture du service, et sur notre intérêt légitime (art. 6.1.f RGPD) pour la sécurité et l'amélioration du service.

En tant que responsable de traitement établi en France, ZAIPER est soumis au Règlement Général sur la Protection des Données (RGPD — UE 2016/679). Le non-respect du RGPD peut entraîner des sanctions allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel. ZAIPER prend cette obligation au sérieux et documente l'ensemble de ses activités de traitement.

5. Hébergement et sous-traitants

• Vercel — hébergement de l'application (États-Unis, clauses contractuelles types)
• Neon — base de données PostgreSQL (AWS us-east-1, clauses contractuelles types)
• AWS S3 — stockage des photos (région eu-west-3, Paris, France — RGPD)
• FAL.ai — traitement IA des images (données supprimées après 1 heure)
• Clerk — authentification des utilisateurs (États-Unis, clauses contractuelles types)

Les transferts hors UE sont encadrés par les clauses contractuelles types (CCT) de la Commission européenne conformément à l'art. 46 RGPD.

5 bis. Accès interne et traçabilité

Au sein de ZAIPER, l'accès aux données personnelles des utilisateurs (adresse e-mail, projets, historique de crédits, journaux de traitement) est strictement réservé au personnel administrateur autorisé, et limité aux finalités suivantes :

• Support technique et résolution d'incidents
• Lutte contre la fraude et l'utilisation abusive du service
• Audit comptable et conformité réglementaire (RGPD, art. L123-22 Code de commerce)

Chaque accès administrateur aux données utilisateur (consultation de profil, consultation de l'historique de transactions, modification de rôle, ajout de crédits) est consigné dans un journal d'audit interne immuable indiquant l'administrateur ayant agi, la nature de l'action, l'utilisateur concerné, la date et l'heure. Ce journal nous permet de répondre à l'obligation de redevabilité prévue à l'article 5.2 du RGPD.

Sur simple demande à contact@zaiper.fr, vous pouvez obtenir la liste des accès administrateur portant sur votre compte (délai de réponse : 30 jours).

6. Durée de conservation

• Photos originales et retouchées (fichiers) : supprimées automatiquement après 90 jours via la politique de cycle de vie du stockage cloud. Les fichiers ne sont pas conservés au-delà de cette durée.
• Métadonnées de compte (projets, historique de traitement) : conservées tant que le compte est actif, supprimées sur demande ou automatiquement après 3 ans d'inactivité. Un avertissement sera envoyé par e-mail 3 mois avant la suppression automatique.
• Journaux techniques (logs d'erreurs, performances) : 90 jours
• Journaux d'accès administrateur (cf. section 5 bis) : conservés pour la durée nécessaire à des fins d'audit et de sécurité, au plus tard 5 ans après l'événement
• Données comptables (historique des transactions de crédits) : 10 ans — obligation légale française (art. L123-22 Code de commerce)

7. Vos droits — Utilisateurs de l'Union européenne (RGPD)

Conformément au RGPD, vous disposez des droits suivants :

• Droit d'accès à vos données personnelles
• Droit de rectification des données inexactes
• Droit à l'effacement (« droit à l'oubli »)
• Droit à la portabilité de vos données
• Droit d'opposition et de limitation du traitement

Pour exercer ces droits, contactez-nous à contact@zaiper.fr. Vous pouvez également introduire une réclamation auprès de la CNIL (www.cnil.fr). Délai de réponse : 30 jours maximum.

10. Cookies

ImmoVision utilise uniquement des cookies strictement nécessaires au fonctionnement du service (session d'authentification). Aucun cookie publicitaire ou de tracking tiers n'est déposé.

11. Sécurité

Nous appliquons des mesures techniques et organisationnelles appropriées :

• Chiffrement TLS en transit (HTTPS) sur l'ensemble du service
• Stockage des photos en région EU (Paris, AWS S3)
• Isolation stricte par utilisateur (toutes les requêtes en base sont filtrées par identifiant)
• Authentification gérée par Clerk (passwordless, e-mail à usage unique)
• Accès interne restreint au personnel administrateur autorisé, gardé par double vérification (Clerk + base de données) qui se ferme par défaut en cas d'indisponibilité
• Journalisation immuable de tous les accès administrateur (cf. section 5 bis)
• Réponses des interfaces administrateur non mises en cache (en-têtes Cache-Control: no-store)

12. Paiements

La facturation est actuellement manuelle (phase de lancement). Aucune donnée de carte bancaire n'est collectée ni stockée par ZAIPER. L'intégration d'un prestataire de paiement certifié PCI-DSS (ex. Stripe) est prévue en Phase 2 du produit.

13. Modifications

Toute modification substantielle de cette politique sera notifiée par e-mail ou via l'interface du service au moins 30 jours avant son entrée en vigueur.