Politique de Confidentialité
Dernière mise à jour : avril 2026
1. Responsable du traitement
Le responsable du traitement des données collectées via l'application LocaZen est Locazenn.
Contact : info@locazen.app
2. Données collectées et finalités
| Traitement | Données | Base légale | Durée |
|---|---|---|---|
| Création de compte | Email, prénom, nom, téléphone, adresse | Exécution du contrat (Art. 6.1.b) | Durée de l'abonnement + 30 jours |
| Gestion des locataires | Nom, email, téléphone, salaire, crédits en cours, garant, documents justificatifs | Exécution du contrat (Art. 6.1.b) | Durée du bail + 3 ans |
| Documents locataires | Pièces d'identité, justificatifs de domicile, bulletins de salaire, avis d'imposition | Intérêt légitime du bailleur (Art. 6.1.f) | Durée du bail + 3 ans |
| Signatures électroniques | Image de la signature manuscrite, horodatage, identité du signataire, empreinte du document | Consentement explicite (Art. 6.1.a) | Durée de conservation du document signé |
| Paiements (Stripe) | ID client Stripe (aucune CB stockée) | Exécution du contrat (Art. 6.1.b) | 5 ans (obligation fiscale) |
| Emails transactionnels (Mailjet) | Adresse email de destination | Intérêt légitime (Art. 6.1.f) | 1 an |
| RIB / Coordonnées bancaires du propriétaire | IBAN, BIC, nom du titulaire, banque (fournis volontairement par le propriétaire) | Exécution du contrat (Art. 6.1.b) — transmission au locataire pour paiement des loyers | Jusqu'à suppression par le propriétaire ou clôture du compte |
3. Destinataires et sous-traitants
- Stripe (paiements) — siège USA, couvert par les Clauses Contractuelles Types (CCT). DPA Stripe
- Mailjet / Sinch (emails transactionnels) — siège France. DPA Mailjet
- Oracle Cloud (hébergement) — serveur situé en Europe. Les données peuvent transiter par des infrastructures Oracle situées hors UE, couvertes par les CCT.
- Upstash (rate limiting / sécurité anti-abus) — siège USA, CCT. Stocke uniquement des identifiants techniques (adresses IP).
Aucune donnée personnelle n'est vendue à des tiers.
4. Transferts de données hors UE
Certains sous-traitants (Stripe, Upstash) ont leur siège aux États-Unis. Ces transferts sont encadrés par les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne (Art. 46.2 RGPD), garantissant un niveau de protection adéquat.
5. Vos droits (Art. 15-22 RGPD)
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès (Art. 15) — consulter toutes vos données
- Droit de rectification (Art. 16) — corriger vos informations
- Droit à l'effacement (Art. 17) — supprimer votre compte et toutes vos données
- Droit à la limitation du traitement (Art. 18) — demander la suspension temporaire du traitement
- Droit à la portabilité (Art. 20) — exporter vos données en JSON
- Droit d'opposition (Art. 21) — vous opposer à un traitement basé sur l'intérêt légitime
Ces droits sont exerçables directement depuis votre espace Paramètres (boutons "Exporter mes données" et "Supprimer mon compte"), ou par email à info@locazen.app.
Délai de réponse : 1 mois maximum (Art. 12 RGPD).
6. Réclamation auprès de la CNIL
Si vous estimez que le traitement de vos données ne respecte pas la réglementation, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr/fr/plaintes
7. Cookies
LocaZen utilise uniquement des cookies essentiels (session d'authentification NextAuth), nécessaires au fonctionnement du service. Aucun cookie publicitaire ou analytique n'est utilisé.
8. Sécurité des données
- Connexion chiffrée HTTPS (TLS) en production
- Mots de passe hachés (bcrypt, 12 rounds)
- Mots de passe SMTP chiffrés (AES-256-GCM)
- Fichiers accessibles uniquement après authentification et vérification de propriété
- Sauvegardes stockées hors répertoire public
- Protection contre les attaques par force brute (rate limiting)
9. Traitement des coordonnées bancaires (RIB/IBAN)
Les propriétaires peuvent, de manière volontaire, déposer leur RIB (Relevé d'Identité Bancaire) afin de le partager avec leurs locataires via l'espace locataire sécurisé.
- Données concernées : IBAN, BIC/SWIFT, nom du titulaire, établissement bancaire.
- Base légale : exécution du contrat de service (Art. 6.1.b RGPD) — le partage de l'IBAN est nécessaire pour permettre le paiement du loyer par virement.
- Responsable de traitement : le propriétaire, en tant que bailleur, est responsable du traitement des données bancaires qu'il dépose. LocaZen agit en qualité de sous-traitant (Art. 28 RGPD).
- Accès : fichier accessible uniquement via une URL confidentielle à 128 bits d'entropie, transmise aux seuls locataires via leur espace personnel. L'URL n'est ni indexée ni accessible publiquement.
- Durée de conservation : jusqu'à suppression par le propriétaire ou clôture du compte. Aucune rétention automatique.
- Droit à l'effacement (Art. 17 RGPD) : le propriétaire peut supprimer son RIB à tout moment depuis ses Paramètres. Cette suppression entraîne l'effacement immédiat du fichier.
- Violation de données : en cas d'accès non autorisé à des fichiers RIB, LocaZen notifiera la CNIL dans les 72 heures (Art. 33 RGPD) et informera les personnes concernées si le risque est élevé (Art. 34 RGPD).
L'IBAN n'est pas une donnée sensible au sens de l'Art. 9 RGPD, mais constitue une donnée à caractère financier nécessitant une protection renforcée en raison du risque de fraude par prélèvement SEPA non autorisé.