Seuılo
Essai gratuit
Retour à l'accueil

Légal

Politique de confidentialité

Dernière mise à jour : 10 mai 2026

Pour toute question relative à vos données personnelles, écrivez-nous à privacy@seuilo.fr. Nous répondons sous 30 jours conformément à l'article 12 RGPD.

Seuilo SAS ("Seuilo", "nous") prend la protection de vos données personnelles au sérieux. Cette politique décrit les données que nous collectons, la manière dont nous les utilisons et vos droits.

1. Responsable du traitement

Seuilo SAS — [Adresse], France.
Contact DPO : privacy@seuilo.fr

2. Données collectées

2.1 Données de compte

Lors de la création de votre compte : adresse e-mail, nom, prénom, nom de l'entreprise, SIRET (optionnel). Ces données sont nécessaires à l'exécution du contrat.

2.2 Données de facturation

Les données de paiement (carte bancaire, RIB) sont collectées et stockées exclusivement par Stripe Inc. Seuilo ne stocke aucune donnée de carte bancaire.

2.3 Données d'usage

Logs d'accès (IP, user-agent, horodatage), actions dans l'application (exports CSV, rapports générés, zones configurées), à des fins de sécurité et d'amélioration du service.

2.4 Ce que nous ne collectons jamais (propriétaires immobiliers)

Seuilo ne stocke ni n'expose aucune donnée nominative de propriétaires de biens immobiliers (nom, téléphone, email). Les données géospatiales exploitées restent au niveau immeuble/adresse uniquement (open data publiques DPE ADEME, Sitadel SDES, DVF DGFIP, RNIC ANAH).

2.5 Données dirigeants tertiaires (personnes morales > 1 000 m²)

Dans le cadre de la fonctionnalité d'identification des bâtiments tertiaires soumis au Décret tertiaire (DEET), Seuilo peut interroger le Répertoire National des Entreprises (RNE/INSEE) via l'API Recherche Entreprises (source publique et gratuite).

  • Finalité : prospection B2B d'entreprises occupant ou possédant des surfaces tertiaires supérieures à 1 000 m² de surface utile.
  • Données traitées : nom, prénom et fonction du dirigeant légal, uniquement si le SIRET correspond à une personne morale concernée par le DEET.
  • Base légale : intérêt légitime au sens de l'article 6.1.f du RGPD (contexte B2B, fonction professionnelle publique au RNE, intérêt proportionné et exercice d'opposition facilité).
  • Conservation : cache de lookup 24 heures, journal d'audit 12 mois (cf. §4 ci-dessous), opt-out conservé indéfiniment comme preuve de conformité RGPD.
  • Droit d'opposition : toute personne concernée peut exercer son droit d'opposition via la page publique /legal/opt-out-dirigeants (double opt-in par e-mail). L'opposant peut également écrire à privacy@seuilo.fr.

3. Finalités et bases légales

  • Exécution du contrat : fourniture du service, facturation, support client.
  • Intérêt légitime : sécurité, détection de fraude, amélioration du produit.
  • Obligation légale : conservation des données comptables (10 ans).
  • Consentement : communications marketing (opt-in explicite, révocable à tout moment).

Base légale du traitement des données open data

Les données géospatiales croisées par Seuilo (DPE ADEME, permis Sitadel SDES, transactions DVF DGFIP, registre copropriétés RNIC ANAH) sont traitées sur la base de l'intérêt légitime au sens de l'article 6.1.f du RGPD :

  • Finalité : identification de gisements de rénovation énergétique à des fins de prospection B2B pour les professionnels du bâtiment.
  • Balance test : les sources sont strictement publiques (licences ouvertes Etalab), aucune donnée nominative de propriétaire personne physique n'est extraite, les données restent agrégées au niveau immeuble/adresse.
  • Droit d'opposition art. 21 : adressez votre demande à privacy@seuilo.fr.

Données de paiement — responsabilité conjointe Stripe

Pour les données de paiement (numéro de carte, factures, transactions), Stripe Payments Europe Ltd est responsable conjoint au sens de l'article 26 du RGPD. Les demandes d'accès (art. 15) et de portabilité (art. 20) portant sur ces données peuvent être adressées à privacy@seuilo.fr ; nous interrogeons Stripe en votre nom et vous transmettons la réponse sous 30 jours.

4. Durée de conservation

  • Données de compte : durée de l'abonnement + 3 ans après résiliation.
  • Données de facturation : 10 ans (obligation comptable légale).
  • Logs techniques : 12 mois glissants.
  • Exports CSV / rapports PDF : les fichiers sont accessibles uniquement via URL signée valable 1 heure. Ils sont supprimés 30 jours après leur génération.
  • Conversations avec l'assistant IA (ai_conversations, ai_conversation_messages) : 12 mois glissants à compter du dernier message. Purge automatique hebdomadaire.

5. Sous-traitants et transferts

Les transferts hors UE listés ci-dessous reposent tous sur les Clauses Contractuelles Types adoptées par la Commission européenne le 4 juin 2021 (décision 2021/914) et, le cas échéant, sur des mesures techniques complémentaires (chiffrement en transit, anonymisation des prompts).

Nous faisons appel aux prestataires suivants, tous conformes au RGPD :

  • Supabase Inc. (base de données et stockage — région EU/Francfort, Allemagne) — finalité : hébergement des données métier Seuilo.
  • Stripe Inc. / Stripe Payments Europe Ltd (Irlande + USA — CCT 2021/914) — finalité : traitement des paiements et abonnements, certifié PCI-DSS.
  • Resend Inc. (USA — CCT 2021/914) — finalité : envoi des e-mails transactionnels (invitations, alertes, notifications de facturation).
  • OpenAI Inc. (USA — CCT 2021/914) — finalité : assistant IA conversationnel (modèles GPT-4o, GPT-4o-mini). Aucune donnée nominative propriétaire envoyée ; le prompt système impose un contexte strictement limité aux données open data data.gouv.fr.
  • Anthropic PBC (USA — CCT 2021/914) — finalité : assistant IA (Claude Sonnet, Claude Haiku) et génération de rapports IA. Aucune donnée nominative envoyée.
  • HuggingFace Inc. (USA — CCT 2021/914) — finalité : routage vers des modèles open-source (Qwen 30B/235B) utilisé notamment pour les utilisateurs en période d'essai. Aucune donnée nominative envoyée.
  • Inngest Inc. (USA — CCT 2021/914) — finalité : orchestration des jobs ETL data.gouv.fr (ingestion DPE/Sitadel/DVF/ RNIC), crons automatiques (purges, alertes hebdomadaires, expiration des essais).
  • Cloudflare Inc. (USA / présence UE — CCT 2021/914) — finalité : protection anti-bot Turnstile sur les formulaires publics (/contact, /legal/opt-out-dirigeants). Aucun tracking publicitaire.

Aucune donnée n'est vendue ni partagée avec des tiers à des fins publicitaires.

6. Sécurité

Chiffrement en transit (TLS 1.3) et au repos. Isolation multi-tenant par entreprise_id au niveau applicatif et base de données (Row Level Security Supabase). Accès interne limité au principe du moindre privilège.

7. Vos droits (RGPD)

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

  • Accès à vos données personnelles.
  • Rectification des données inexactes.
  • Suppression (droit à l'oubli), sauf obligation légale de conservation.
  • Portabilité dans un format structuré et lisible.
  • Opposition au traitement fondé sur l'intérêt légitime.
  • Limitation du traitement en cas de contestation.

Effacement et portabilité : vous pouvez exercer vos droits directement depuis Mon compte › Droits RGPD (suppression du compte, suppression de l'entreprise, téléchargement de vos données au format JSON). Pour toute autre demande, écrivez à privacy@seuilo.fr. Nous répondons sous 30 jours. Vous pouvez également saisir la CNIL en cas de litige.

8. Cookies

Seuilo n'utilise que des cookies techniques strictement nécessaires (jeton de session Supabase Auth). Des cookies tiers peuvent être déposés par Cloudflare Turnstile sur les formulaires publics. Aucun cookie publicitaire ni tracker de mesure d'audience tiers. Voir notre Politique cookies pour le détail.

9. Modifications

Toute modification substantielle de cette politique sera notifiée par e-mail aux utilisateurs actifs au moins 15 jours avant son entrée en vigueur.