Politique de confidentialité

Dernière mise à jour : 18/07/2026

La présente politique complète les conditions générales d'utilisation et détaille notre traitement de vos données personnelles conformément au Règlement (UE) 2016/679 (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée.

1. Responsable du traitement et contact

MonLoyer, [forme juridique et SIREN à compléter], [adresse du siège à compléter].

Contact général : contact@monloyer.immo. Délégué à la protection des données (DPO) : dpo@monloyer.immo.

2. Rôles RGPD

Conformément à l'article 4 du RGPD :

  • MonLoyer est responsable de traitement pour les données liées à votre compte SaaS (email, identifiants, abonnement, facturation, logs de connexion, logs de sécurité).
  • MonLoyer est sous-traitantau sens de l'article 28 RGPD pour les données métier que vous traitez via la plateforme (locataires, candidats, paiements, IBAN, pièces justificatives). Vous restez le responsable de traitement de ces données.

3. Données collectées et finalités

3.1 Données du compte (responsable : MonLoyer)

DonnéeFinalitéBase légaleDurée
Email, nom, prénomIdentification, communicationExécution du contratVie du compte + 30 j
Mot de passe (haché bcrypt)AuthentificationExécution du contratVie du compte + 30 j
Secret 2FA TOTP (chiffré AES-256)Sécurité du compteIntérêt légitime (sécurité)Vie du compte
IP, user-agent (journal audit)Détection d'intrusion, traçabilitéIntérêt légitime (sécurité)1 an (CNIL)
Plan, abonnement Stripe, facturesFacturation, comptabilitéObligation légale (Code commerce)10 ans (art. L. 123-22)
Activité de connexion (lastActivityAt)Statistiques d'usage, supportIntérêt légitimeVie du compte

3.2 Données métier (sous-traitant : MonLoyer)

Lorsque vous saisissez ou téléversez des données concernant vos locataires, candidats à la location, biens, baux ou paiements, vous en êtes le responsable de traitement. MonLoyer les traite sur vos instructions exclusives pour fournir le service. Les finalités, bases légales et durées sont définies par vous. Notre rôle se limite à :

  • l'hébergement sécurisé,
  • la mise à disposition des fonctionnalités (édition, génération de PDF, signature, etc.),
  • la suppression sur demande,
  • la notification de toute violation au sens de l'article 33 RGPD sous 24 h après détection.

4. Sous-traitants techniques

PrestataireServiceLocalisationEncadrement transfert
ScalewayHébergement DB + fichiersFranceUE — pas de transfert
Stripe Payments EuropePaiements, facturationIrlande (UE) + USClauses Contractuelles Types
BridgeAgrégation bancaire DSP2FranceUE — pas de transfert
YouSignSignature électronique eIDASFranceUE — pas de transfert
Brevo (ex-Sendinblue)Emails transactionnelsFranceUE — pas de transfert
AnthropicAnalyse IA (import bail, assistant contextuel)États-UnisClauses Contractuelles Types

Tous nos sous-traitants sont sélectionnés pour leur conformité RGPD et liés par un accord de sous-traitance conforme à l'article 28. Les contenus envoyés à Anthropic (PDF de bail à analyser, questions à l'assistant) ne sont pas conservés au-delà du temps de traitement ni utilisés pour l'entraînement de leurs modèles.

5. Durées de conservation

  • Compte actif: tant que l'abonnement est en cours.
  • Compte supprimé : période de grâce 30 jours (réactivation possible), puis purge automatique.
  • Pièces comptables (factures, quittances) : 10 ans (Code de commerce).
  • Données fiscales : 6 ans (Livre des procédures fiscales).
  • Logs de sécurité / audit : 1 an (recommandation CNIL).
  • Candidatures REJECTED / WITHDRAWN : 90 jours après la décision (purgées par cron).
  • Comptes démo visiteurs : 24 heures (purgés automatiquement).

6. Vos droits RGPD

Vous disposez à tout moment des droits suivants :

  • Accès et portabilité : depuis vos paramètres, bouton « Exporter mes données » (format JSON).
  • Rectification : éditable depuis votre profil et vos paramètres.
  • Effacement : depuis vos paramètres, bouton « Supprimer mon compte ». Effet sous 30 jours après confirmation (purge par cron).
  • Limitation et opposition : nous écrire à dpo@monloyer.immo.
  • Retrait du consentement aux communications (newsletter) depuis vos paramètres notifications.

En cas de difficulté, vous pouvez introduire une réclamation auprès de la CNIL ( cnil.fr/fr/plaintes).

7. Mesures de sécurité

  • HTTPS forcé (HSTS), headers de sécurité (CSP, X-Frame-Options, etc.).
  • Chiffrement at-rest des données sensibles (secrets 2FA, IBAN, autres tokens) avec AES-256-GCM.
  • Hachage bcrypt 12 rounds des mots de passe.
  • 2FA TOTP optionnelle (RFC 6238) avec codes de récupération.
  • Audit log immuable des actions sensibles (login, modifs, exports).
  • Rate-limiting par IP sur les endpoints sensibles.
  • Sauvegardes quotidiennes chiffrées avec rotation hebdomadaire.

8. Cookies

MonLoyer utilise uniquement des cookies strictement nécessairesau fonctionnement du service (session d'authentification, préférences UI, dédupe démo). Aucun cookie tiers à finalité publicitaire ou d'analyse n'est déposé. Pas de bandeau requis.

9. Modifications de la présente politique

Toute modification substantielle vous sera notifiée par email et via la plateforme au moins 30 jours avant son entrée en vigueur. La version en vigueur est celle datée en tête de document.