Politique de protection des données personnelles
Dernière mise à jour : 11 juin 2026
BatiTrust accorde une importance fondamentale à la protection des données personnelles de ses Utilisateurs. La présente politique décrit les traitements de données effectués et les droits des personnes concernées, conformément au Règlement Général sur la Protection des Données (UE 2016/679) et à la loi Informatique et Libertés modifiée.
Responsable du traitement
Le responsable du traitement est la société Rénov'Tout (cf. Mentions légales). Vous pouvez contacter notre Délégué à la Protection des Données (DPO) à l'adresse dpo@batitrust.app.
Données collectées
BatiTrust collecte et traite les catégories de données suivantes :
1. Données d'identification du compte
- Nom, prénom, civilité
- Adresse email professionnelle
- Numéro de téléphone
- Photo de profil (optionnelle)
- Identifiants de connexion (mot de passe chiffré)
2. Données professionnelles
- Raison sociale, SIRET, RCS, capital social
- Adresse postale du siège
- Numéro de TVA intracommunautaire
- IBAN / BIC pour les coordonnées bancaires de facturation
- Justificatifs : Kbis, attestation d'assurance décennale, RC professionnelle, attestation URSSAF, certifications RGE
3. Données métier
- Chantiers : nom, adresse, dates, photos géolocalisées, plans, observations, comptes rendus
- Documents commerciaux : devis, factures, avoirs, attestations
- Coordonnées des contacts et clients (CRM)
- Communications via la messagerie intégrée (chat, fil d'observations)
4. Données techniques
- Adresse IP de connexion
- User-agent (navigateur, OS)
- Horodatage des connexions et actions sensibles
- Cookies fonctionnels (cf. Politique cookies)
Finalités et bases légales
Chaque traitement repose sur une base légale identifiée conformément à l'article 6 du RGPD :
- Exécution du contrat (art. 6.1.b) : fourniture du Service, gestion du compte, facturation, support utilisateur
- Obligation légale (art. 6.1.c) : conservation des factures émises pendant 10 ans (art. L123-22 Code de commerce), conservation des données de connexion 1 an (art. 6 II LCEN), transmission Factur-X obligatoire (LF 2020 modifiée)
- Intérêt légitime (art. 6.1.f) : sécurité du Service, prévention de la fraude, amélioration de la qualité, statistiques anonymisées d'usage
- Consentement (art. 6.1.a) : cookies analytiques, communications commerciales non transactionnelles
Durée de conservation
- Compte actif : durée de la relation contractuelle
- Compte inactif : suppression automatique après 3 ans d'inactivité (sans connexion ni activité)
- Données supprimées : conservation 30 jours dans la corbeille utilisateur, puis 180 jours côté SaaS pour récupération support, purge définitive ensuite (cf. CGU Article 10)
- Factures émises : 10 ans à compter de l'émission (obligation légale)
- Logs techniques de connexion : 1 an (art. 6 II LCEN)
- Journal d'audit super-admin : conservation permanente pour traçabilité
Destinataires des données
Les données sont accessibles aux destinataires suivants :
- Vous-même et les membres de votre organisation selon le système de permissions interne (rôles)
- Les autres Utilisateurs autorisés dans le cadre du fonctionnement collaboratif (artisans invités sur un chantier, clients consultant des documents partagés via magic link)
- Personnel habilité de l'Éditeur : opérations techniques, support, audit
- Sous-traitants techniques conformément au contrat de sous-traitance RGPD signé avec chacun
- Autorités en cas d'obligation légale (requête judiciaire ou administrative)
Sous-traitants
BatiTrust a recours aux sous-traitants suivants pour la fourniture du Service. Chacun fait l'objet d'un accord de sous-traitance conforme à l'article 28 RGPD :
- Vercel Inc. (États-Unis avec hébergement européen Paris) — hébergement frontend
- Supabase, Inc. (Singapour avec hébergement EU Frankfurt) — base de données, authentification, stockage fichiers
- Resend, Inc. (États-Unis) — envoi d'emails transactionnels
- Stripe, Inc. (Irlande) — gestion des paiements (V2-Monétisation)
- Plateforme Agréée partenaire (Tenor ou Iopole, France) — transmission des factures Factur-X (V3)
- GoCardless (Royaume-Uni) — prélèvement SEPA des commissions (V3, BatiScore uniquement)
- Anthropic, PBC (États-Unis) — assistance IA pour les suggestions DPGF (V2-9, opt-in)
Transferts hors UE
Certains sous-traitants étant établis hors Union Européenne, les transferts sont encadrés par les Clauses Contractuelles Types de la Commission Européenne (décision 2021/914) garantissant un niveau de protection équivalent au RGPD. Les Données Utilisateur sensibles (devis, factures, photos chantier) sont stockées uniquement dans l'Union Européenne.
Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Droit d'accès : obtenir confirmation que des données vous concernant sont traitées et en obtenir copie
- Droit de rectification : faire corriger toute donnée inexacte vous concernant
- Droit à l'effacement : demander la suppression de vos données, sous réserve des obligations légales de conservation (factures notamment)
- Droit à la limitation : suspendre temporairement le traitement
- Droit à la portabilité : récupérer vos données dans un format structuré (export CSV / JSON / PDF)
- Droit d'opposition : vous opposer au traitement pour motifs légitimes ou marketing direct
- Droit de retirer votre consentement à tout moment pour les traitements basés sur le consentement
- Droit de définir des directives relatives au sort de vos données après votre décès (art. 85 loi Informatique et Libertés)
Pour exercer ces droits, écrivez à dpo@batitrust.app en précisant votre demande. Une preuve d'identité pourra vous être demandée. Nous nous engageons à répondre dans un délai maximum d'un mois.
En cas de désaccord persistant, vous disposez du droit d'introduire une réclamation auprès de la CNIL (cnil.fr) — 3 place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07.
Sécurité
BatiTrust met en œuvre des mesures techniques et organisationnelles adaptées pour garantir un niveau de sécurité approprié au risque, notamment :
- Chiffrement TLS 1.3 de bout en bout pour toutes les communications
- Chiffrement au repos des données (Supabase Encryption)
- Hachage cryptographique des mots de passe (bcrypt via Supabase Auth)
- Sauvegardes quotidiennes avec rétention de 30 jours
- Authentification multi-facteurs (à venir V2.5) sur les comptes sensibles
- Journalisation des accès et actions sensibles (audit log)
- Revue de sécurité périodique et tests d'intrusion (à partir de la V2)
Violations de données
En cas de violation de données présentant un risque pour vos droits et libertés, vous serez notifié dans les meilleurs délais conformément à l'article 34 du RGPD. La CNIL sera également notifiée dans les 72 heures comme prévu par l'article 33.
Mineurs
Le Service est destiné à un usage professionnel et n'est pas conçu pour les personnes de moins de 16 ans. Aucune donnée personnelle de mineur n'est sciemment collectée. Si vous constatez qu'un mineur a créé un compte, contactez dpo@batitrust.app pour suppression immédiate.
Pour toute question RGPD : dpo@batitrust.app. Voir aussi notre CGU et notre Politique cookies.