Politique de confidentialité
Dernière mise à jour : 18/07/2026
La présente politique complète les conditions générales d'utilisation et détaille notre traitement de vos données personnelles conformément au Règlement (UE) 2016/679 (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée.
1. Responsable du traitement et contact
MonLoyer, [forme juridique et SIREN à compléter], [adresse du siège à compléter].
Contact général : contact@monloyer.immo. Délégué à la protection des données (DPO) : dpo@monloyer.immo.
2. Rôles RGPD
Conformément à l'article 4 du RGPD :
- MonLoyer est responsable de traitement pour les données liées à votre compte SaaS (email, identifiants, abonnement, facturation, logs de connexion, logs de sécurité).
- MonLoyer est sous-traitantau sens de l'article 28 RGPD pour les données métier que vous traitez via la plateforme (locataires, candidats, paiements, IBAN, pièces justificatives). Vous restez le responsable de traitement de ces données.
3. Données collectées et finalités
3.1 Données du compte (responsable : MonLoyer)
| Donnée | Finalité | Base légale | Durée |
|---|---|---|---|
| Email, nom, prénom | Identification, communication | Exécution du contrat | Vie du compte + 30 j |
| Mot de passe (haché bcrypt) | Authentification | Exécution du contrat | Vie du compte + 30 j |
| Secret 2FA TOTP (chiffré AES-256) | Sécurité du compte | Intérêt légitime (sécurité) | Vie du compte |
| IP, user-agent (journal audit) | Détection d'intrusion, traçabilité | Intérêt légitime (sécurité) | 1 an (CNIL) |
| Plan, abonnement Stripe, factures | Facturation, comptabilité | Obligation légale (Code commerce) | 10 ans (art. L. 123-22) |
| Activité de connexion (lastActivityAt) | Statistiques d'usage, support | Intérêt légitime | Vie du compte |
3.2 Données métier (sous-traitant : MonLoyer)
Lorsque vous saisissez ou téléversez des données concernant vos locataires, candidats à la location, biens, baux ou paiements, vous en êtes le responsable de traitement. MonLoyer les traite sur vos instructions exclusives pour fournir le service. Les finalités, bases légales et durées sont définies par vous. Notre rôle se limite à :
- l'hébergement sécurisé,
- la mise à disposition des fonctionnalités (édition, génération de PDF, signature, etc.),
- la suppression sur demande,
- la notification de toute violation au sens de l'article 33 RGPD sous 24 h après détection.
4. Sous-traitants techniques
| Prestataire | Service | Localisation | Encadrement transfert |
|---|---|---|---|
| Scaleway | Hébergement DB + fichiers | France | UE — pas de transfert |
| Stripe Payments Europe | Paiements, facturation | Irlande (UE) + US | Clauses Contractuelles Types |
| Bridge | Agrégation bancaire DSP2 | France | UE — pas de transfert |
| YouSign | Signature électronique eIDAS | France | UE — pas de transfert |
| Brevo (ex-Sendinblue) | Emails transactionnels | France | UE — pas de transfert |
| Anthropic | Analyse IA (import bail, assistant contextuel) | États-Unis | Clauses Contractuelles Types |
Tous nos sous-traitants sont sélectionnés pour leur conformité RGPD et liés par un accord de sous-traitance conforme à l'article 28. Les contenus envoyés à Anthropic (PDF de bail à analyser, questions à l'assistant) ne sont pas conservés au-delà du temps de traitement ni utilisés pour l'entraînement de leurs modèles.
5. Durées de conservation
- Compte actif: tant que l'abonnement est en cours.
- Compte supprimé : période de grâce 30 jours (réactivation possible), puis purge automatique.
- Pièces comptables (factures, quittances) : 10 ans (Code de commerce).
- Données fiscales : 6 ans (Livre des procédures fiscales).
- Logs de sécurité / audit : 1 an (recommandation CNIL).
- Candidatures REJECTED / WITHDRAWN : 90 jours après la décision (purgées par cron).
- Comptes démo visiteurs : 24 heures (purgés automatiquement).
6. Vos droits RGPD
Vous disposez à tout moment des droits suivants :
- Accès et portabilité : depuis vos paramètres, bouton « Exporter mes données » (format JSON).
- Rectification : éditable depuis votre profil et vos paramètres.
- Effacement : depuis vos paramètres, bouton « Supprimer mon compte ». Effet sous 30 jours après confirmation (purge par cron).
- Limitation et opposition : nous écrire à dpo@monloyer.immo.
- Retrait du consentement aux communications (newsletter) depuis vos paramètres notifications.
En cas de difficulté, vous pouvez introduire une réclamation auprès de la CNIL ( cnil.fr/fr/plaintes).
7. Mesures de sécurité
- HTTPS forcé (HSTS), headers de sécurité (CSP, X-Frame-Options, etc.).
- Chiffrement at-rest des données sensibles (secrets 2FA, IBAN, autres tokens) avec AES-256-GCM.
- Hachage bcrypt 12 rounds des mots de passe.
- 2FA TOTP optionnelle (RFC 6238) avec codes de récupération.
- Audit log immuable des actions sensibles (login, modifs, exports).
- Rate-limiting par IP sur les endpoints sensibles.
- Sauvegardes quotidiennes chiffrées avec rotation hebdomadaire.
8. Cookies
MonLoyer utilise uniquement des cookies strictement nécessairesau fonctionnement du service (session d'authentification, préférences UI, dédupe démo). Aucun cookie tiers à finalité publicitaire ou d'analyse n'est déposé. Pas de bandeau requis.
9. Modifications de la présente politique
Toute modification substantielle vous sera notifiée par email et via la plateforme au moins 30 jours avant son entrée en vigueur. La version en vigueur est celle datée en tête de document.