Politique de Confidentialité
Dernière mise à jour : 3 mars 2026
La présente Politique de Confidentialité décrit la manière dont Black Bolt SAS(ci-après "l'Éditeur", "nous") collecte, utilise et protège les données personnelles dans le cadre de la plateforme Habity.
Cette politique est conforme au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) et à la loi israélienne sur la protection de la vie privée (Privacy Protection Law 5741-1981 et ses règlements d'application 5777-2017).
1. Responsable de traitement et sous-traitant
1.1. Double qualité
Selon le contexte, l'Éditeur agit en deux qualités distinctes :
- Responsable de traitement pour les données des Utilisateurs (agents immobiliers) : données de compte, données de facturation, données d'utilisation de la Plateforme.
- Sous-traitant (Data Processor) pour les données des Contacts saisies par les Utilisateurs dans le CRM : l'Agence utilisatrice est le responsable de traitement, Habity agit sur ses instructions pour le stockage et le traitement technique.
1.2. Coordonnées
- Black Bolt SAS
- 110 rue de Fontenay, CS 20010, 94303 Vincennes Cedex, France
- SIREN : 981 985 096
- Email DPO : contact@habity.agency
2. Données collectées
2.1. Données des Utilisateurs (agents immobiliers)
| Catégorie | Données | Finalité | Base légale |
|---|---|---|---|
| Identité | Nom, prénom, email, téléphone, photo de profil | Gestion du compte | Exécution du contrat |
| Professionnelle | Nom d'agence, numéro de licence de courtage | Identification professionnelle | Exécution du contrat |
| Facturation | Historique de paiement (via Stripe), plan d'abonnement | Gestion des abonnements | Exécution du contrat / Obligation légale |
| Technique | Adresse IP, données de session, logs d'accès | Sécurité et maintenance | Intérêt légitime |
2.2. Données des Contacts (saisies par les Utilisateurs)
| Catégorie | Données | Sensibilité |
|---|---|---|
| Identité | Nom, prénom, email, téléphone | Donnée personnelle |
| Document d'identité | Numéro de Teudat Zehut (carte d'identité israélienne) | Donnée sensible — stockée chiffrée (AES-256-GCM) |
| Préférences immobilières | Budget, type de bien recherché, localisation souhaitée | Donnée personnelle |
| Historique | Visites effectuées, échanges, notes de l'agent | Donnée personnelle |
Important : pour les données des Contacts, l'Agence utilisatrice est le responsable de traitement. L'Agence est seule responsable de la collecte licite de ces données, de l'obtention du consentement des Contacts et du respect de leurs droits. L'Éditeur agit exclusivement en qualité de sous-traitant technique.
3. Finalités du traitement
- Fourniture du Service : gestion des comptes, des biens immobiliers, des contacts et des visites
- Communications transactionnelles : emails de confirmation, notifications système, rappels de renouvellement
- Communications marketing : newsletters envoyées par l'Utilisateur à ses Contacts, sous sa seule responsabilité
- Amélioration du Service : analyse des données d'utilisation sous forme agrégée et anonymisée
- Obligations légales : conservation des données de facturation (10 ans), réponse aux réquisitions judiciaires
- Sécurité : détection de fraude, protection contre les accès non autorisés
4. Durée de conservation
| Données | Durée |
|---|---|
| Données de compte Utilisateur | Durée de l'abonnement + 90 jours après résiliation |
| Données des Contacts | Durée de l'abonnement + 90 jours après résiliation |
| Données de facturation | 10 ans (obligation légale) |
| Logs techniques / sécurité | 12 mois |
| Données agrégées anonymisées | Sans limitation de durée |
5. Sous-traitants et transferts de données
5.1. Sous-traitants
| Sous-traitant | Service | Localisation | Garanties |
|---|---|---|---|
| Infrastructure auto-hébergée (VPS) | Hébergement de l'application et de la base de données | France | Serveur dédié, données hébergées en France |
| Amazon Web Services (AWS) | Stockage des fichiers et médias (S3) | Union européenne (eu-north-1) | DPA signé, conformité RGPD, certifications ISO 27001 |
| Stripe Payments Europe Ltd. | Traitement des paiements | Irlande (UE) | PCI-DSS, conformité RGPD |
| Resend Inc. | Envoi d'emails transactionnels | États-Unis | DPA signé, clauses contractuelles types |
| Google LLC (Gemini API) | Génération de contenu IA | États-Unis | DPA signé, clauses contractuelles types |
5.2. Transferts hors UE
Certains sous-traitants sont situés aux États-Unis. Ces transferts sont encadrés par des clauses contractuelles types (CCT) approuvées par la Commission européenne (Décision d'exécution 2021/914), et/ou par le EU-U.S. Data Privacy Framework lorsque le sous-traitant y est certifié.
Concernant le droit israélien, la Commission européenne a reconnu Israël comme offrant un niveau de protection adéquat (Décision 2011/61/UE). Les transferts entre la France et Israël ne nécessitent pas de garanties supplémentaires.
6. Sécurité des données
L'Éditeur met en œuvre les mesures techniques et organisationnelles suivantes :
- Chiffrement des données sensibles (Teudat Zehut) en AES-256-GCM
- Communications chiffrées via HTTPS/TLS
- Authentification sécurisée avec gestion des sessions
- Contrôle d'accès basé sur les rôles (OWNER, ADMIN, AGENT)
- Protection contre les attaques courantes (injection SQL, XSS, CSRF)
- Rate limiting sur les endpoints sensibles
- Journalisation des accès et des opérations sensibles
- Sauvegardes régulières de la base de données
7. Droits des personnes concernées
7.1. Droits des Utilisateurs
Conformément au RGPD (articles 15 à 22) et à la loi israélienne sur la protection de la vie privée, tout Utilisateur dispose des droits suivants :
- Droit d'accès : obtenir une copie de ses données personnelles
- Droit de rectification : corriger des données inexactes ou incomplètes
- Droit à l'effacement : demander la suppression de ses données (sous réserve des obligations légales de conservation)
- Droit à la portabilité : recevoir ses données dans un format structuré et lisible par machine
- Droit d'opposition : s'opposer au traitement de ses données pour des motifs légitimes
- Droit à la limitation : demander la suspension du traitement dans certains cas
Ces droits peuvent être exercés en contactant contact@habity.agency. L'Éditeur s'engage à répondre dans un délai de 30 jours.
7.2. Droits des Contacts
Les Contacts dont les données sont stockées dans le CRM doivent exercer leurs droits directement auprès de l'Agence utilisatrice (responsable de traitement). L'Agence est tenue de répondre aux demandes d'accès, de rectification et de suppression dans un délai de 30 jours.
Si un Contact contacte directement l'Éditeur, celui-ci transmettra la demande à l'Agence concernée dans les meilleurs délais.
8. Cookies et analytique
La Plateforme utilise exclusivement des cookies strictement nécessaires au fonctionnement du Service :
- Cookie de session : maintien de la connexion de l'Utilisateur
- Cookie de thème : mémorisation du thème d'affichage choisi (clair/sombre)
- Cookie de langue : mémorisation de la langue d'interface choisie
Ces cookies ne collectent aucune donnée à des fins publicitaires ou de profilage. Conformément à la directive ePrivacy, les cookies strictement nécessaires ne requièrent pas le consentement de l'Utilisateur.
9. Registrar of Databases (Israël)
La loi israélienne (section 8 de la Privacy Protection Law) impose l'enregistrement des bases de données contenant des données personnelles auprès du Registrar of Databases (רשם מאגרי מידע) de l'ILITA (Israel Law, Information and Technology Authority). L'Éditeur s'engage à procéder à cet enregistrement dès que les seuils réglementaires seront atteints.
10. Réclamations
En cas de réclamation relative au traitement de vos données personnelles, vous pouvez contacter :
- L'Éditeur : contact@habity.agency
- La CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr
- L'ILITA (Israel Law, Information and Technology Authority) pour les résidents israéliens : www.gov.il/he/departments/ilita
11. Modification de la politique
La présente Politique de Confidentialité peut être mise à jour. En cas de modification substantielle, les Utilisateurs seront informés par email au moins 30 jours à l'avance. La date de dernière mise à jour est indiquée en haut de ce document.