Investimus — Documents légaux
Politique de Confidentialité
Dernière mise à jour : 24 mai 2026
Investimus attache la plus grande importance à la protection de vos données personnelles. La présente politique est rédigée en conformité avec le Règlement Général sur la Protection des Données (RGPD — UE 2016/679) et la Loi Informatique et Libertés modifiée.
1. Responsable du traitement
Le responsable du traitement est :
REM INVEST REALTY
26 rue des Châtaigniers, 85170 Dompierre-sur-Yon
E-mail : rgpd@investimus.fr
Pour toute question relative à la protection de vos données, contactez-nous à l'adresse ci-dessus. Aucun Délégué à la Protection des Données (DPO) formel n'a été désigné, la structure étant de taille modeste. Un référent RGPD interne traite vos demandes.
2. Données collectées
Dans le cadre du service, nous collectons les catégories de données suivantes :
- Données d'identification : nom affiché, adresse e-mail, photo de profil (si connexion Google), identifiant unique Firebase.
- Données d'utilisation : simulations créées, paramètres saisis (montants, adresses de biens, surfaces, budgets travaux, régimes TVA, paramètres de financement), historique des opérations.
- Données de connexion : adresse IP, type de navigateur, système d'exploitation, horodatages de connexion.
- Données de paiement : gérées exclusivement par notre prestataire de paiement (Stripe) ; nous ne stockons aucune donnée bancaire en propre. La période d'essai gratuite (7 jours) ne requiert pas de coordonnées bancaires.
- Clé API Todoist : si l'utilisateur connecte l'intégration optionnelle Todoist (le module Pilotage de Projet fonctionne sans elle), sa clé d'API Todoist personnelle est stockée chiffrée dans Firebase Firestore afin de permettre la synchronisation des tâches et projets. Elle n'est jamais transmise au navigateur — les appels à l'API Todoist s'effectuent exclusivement côté serveur. L'utilisateur peut révoquer cet accès à tout moment depuis les paramètres du module Tâches.
Données financières : les montants saisis dans vos simulations (prix d'acquisition, revenus locatifs, budgets de travaux, prix de revente) sont des données à caractère économique sensibles sur le plan métier. Elles sont chiffrées au repos dans Firebase Firestore et ne sont jamais partagées avec des tiers à des fins commerciales.
3. Finalités et bases légales des traitements
| Traitement | Base légale (RGPD) |
|---|---|
| Création et gestion du compte utilisateur | Exécution du contrat — art. 6.1.b |
| Fourniture du service (simulations, tableaux de bord) | Exécution du contrat — art. 6.1.b |
| Analyses IA (assistant, estimation de marché) | Exécution du contrat — art. 6.1.b |
| Synchronisation Todoist (intégration optionnelle) | Exécution du contrat — art. 6.1.b (uniquement si l'utilisateur connecte Todoist) |
| Envoi d'e-mails transactionnels (rappels, confirmations) | Exécution du contrat — art. 6.1.b |
| Amélioration du service, correction des bugs | Intérêt légitime — art. 6.1.f |
| Sécurité, détection des fraudes, logs d'accès | Intérêt légitime — art. 6.1.f |
| Facturation et obligations comptables | Obligation légale — art. 6.1.c |
| Communications marketing (si consentement) | Consentement — art. 6.1.a |
Décisions automatisées : les analyses produites par l'assistant IA sont soumises à validation humaine — l'utilisateur reste décisionnaire et valide ou ignore les estimations proposées. Aucune décision n'est prise automatiquement sans intervention humaine, conformément à l'article 22 du RGPD.
Mineurs : le service est réservé aux personnes majeures résidant en France. Aucun traitement de données concernant des mineurs n'est volontairement effectué ; en cas d'identification accidentelle, les données sont supprimées sans délai.
4. Sous-traitants et destinataires
Vos données sont susceptibles d'être transmises aux sous-traitants suivants, avec lesquels nous avons conclu un accord de traitement des données (DPA) conforme à l'article 28 du RGPD :
| Sous-traitant | Rôle | Pays |
|---|---|---|
| Google LLC — Firebase | Authentification, base de données (Firestore), stockage | UE / USA |
| Google LLC — Google AI (Gemini API) | Moteur d'intelligence artificielle (analyses, estimations) | UE / USA |
| Google LLC — Firebase App Hosting | Hébergement de l'application, CDN | UE / USA |
| Resend Inc. | Envoi d'e-mails transactionnels | USA |
| Make.com (Celonis SE) | Automatisation des rappels par e-mail | UE / USA |
| Stripe Inc. | Traitement des paiements et facturation | USA (datacenters UE disponibles) |
| Doist Inc. (Todoist) | Synchronisation des tâches — intégration optionnelle, uniquement si l'utilisateur la connecte | UE / USA |
Aucune donnée n'est vendue, louée ou partagée avec des tiers à des fins publicitaires ou commerciales.
5. Transferts hors Union européenne
Certains sous-traitants (Google, Resend, Stripe, Make.com) sont établis aux États-Unis ou traitent des données hors UE. Ces transferts sont encadrés par les Clauses Contractuelles Types (CCT) de la Commission européenne (décision 2021/914), qui offrent un niveau de protection équivalent à celui du RGPD.
Vous pouvez obtenir une copie des garanties mises en place en nous contactant à rgpd@investimus.fr.
6. Durées de conservation
| Catégorie de données | Durée de conservation active | Archivage / suppression |
|---|---|---|
| Données de compte (e-mail, profil) | Durée du compte actif | Suppression 30 jours après résiliation ou clôture du compte |
| Simulations et analyses | Durée d'utilisation du compte | Export CSV disponible, puis suppression J+30 |
| Logs de connexion et sécurité | 12 mois (recommandation CNIL) | Suppression automatique |
| Données de facturation (le cas échéant) | 10 ans | Obligation comptable légale (art. L.123-22 C.com.) |
| E-mails transactionnels | 3 ans | Archivage puis suppression |
7. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès (art. 15) : obtenir une copie de vos données.
- Droit de rectification (art. 16) : corriger des données inexactes.
- Droit à l'effacement (art. 17) : demander la suppression de vos données ("droit à l'oubli"), sous réserve des obligations légales de conservation.
- Droit à la limitation (art. 18) : restreindre temporairement un traitement.
- Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré (CSV pour le tableau d'amortissement ; export complet disponible sur demande à l'Éditeur).
- Droit d'opposition (art. 21) : vous opposer aux traitements fondés sur l'intérêt légitime.
- Retrait du consentement (art. 7.3) : retirer à tout moment votre consentement aux communications marketing.
Pour exercer ces droits, contactez-nous à rgpd@investimus.fr. Nous nous engageons à répondre dans un délai d'un mois (art. 12.3 RGPD). Une pièce d'identité pourra vous être demandée pour vérification.
8. Droit de réclamation auprès de la CNIL
Si vous estimez que le traitement de vos données n'est pas conforme au RGPD, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- Adresse : 3 Place de Fontenoy – TSA 80715 – 75334 Paris Cedex 07
- Site web : www.cnil.fr
9. Cookies et traceurs
Investimus utilise des cookies strictement nécessaires au fonctionnement de l'authentification (session Firebase). Aucun cookie publicitaire ou de traçage comportemental n'est déposé.
Si des outils d'analytics sont activés dans le futur, un bandeau de consentement conforme aux recommandations de la CNIL (durée de validité maximale : 13 mois) sera mis en place avant leur activation.
10. Sécurité des données
Nous mettons en œuvre les mesures techniques et organisationnelles appropriées pour protéger vos données :
- Chiffrement des données en transit (HTTPS / TLS 1.3) ;
- Chiffrement au repos dans Firebase Firestore ;
- Authentification sécurisée via Firebase Authentication ;
- Règles de sécurité Firestore limitant l'accès aux seules données de l'utilisateur connecté ;
- En-têtes HTTP de sécurité (HSTS, CSP, X-Frame-Options, etc.) ;
- Accès administrateur restreint et journalisé.
En cas de violation de données susceptible d'engendrer un risque élevé pour vos droits et libertés, nous vous en informerons dans les meilleurs délais, conformément à l'article 34 du RGPD.
11. Modifications de la présente politique
Cette politique peut être mise à jour pour refléter les évolutions légales ou les changements du service. La date de dernière mise à jour est indiquée en haut de ce document. Toute modification significative fera l'objet d'une notification par e-mail.
Pour toute question : contact@investimus.fr