Politique de Confidentialité

Dernière mise à jour : 4 juin 2026

La société BPM (SIREN 431 635 051), éditrice du service CertiBail, accorde une importance primordiale à la protection et à la confidentialité des données personnelles de ses utilisateurs. La présente politique de confidentialité a pour objet d'informer les utilisateurs du site certibail.fr (ci-après le « Site ») sur la manière dont leurs données personnelles sont collectées, traitées et protégées, conformément aux dispositions suivantes :

  • Le Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (ci-après « RGPD ») ;
  • La loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2018-493 du 20 juin 2018 (ci-après « Loi Informatique et Libertés ») ;
  • La directive 2002/58/CE « vie privée et communications électroniques », transposée en droit français ;
  • Les délibérations et lignes directrices de la CNIL, notamment la délibération n° 2020-091 du 17 septembre 2020 relative aux cookies et traceurs.

Article 1 — Identité du responsable du traitement

Responsable du traitementBPM (DILEM - DEBY DOLL)
Représentant légalM. Israel Aaron, Gérant
Adresse53 rue Saint-Antoine, 75004 Paris, France
Email DPO / Contact donnéesdpo@certibail.fr
SIREN431 635 051

Article 2 — Données collectées

Dans le cadre de l'utilisation du Site et du service CertiBail, nous collectons les catégories de données personnelles suivantes :

2.1. Données d'identification

  • Nom et prénom
  • Adresse email
  • Mot de passe (stocké sous forme hashée, non réversible, via bcrypt/argon2)
  • Type de compte (propriétaire ou locataire)

2.2. Données relatives aux baux et documents

  • Fichiers PDF téléversés (baux originaux)
  • Hash SHA-256 d'intégrité des documents
  • QR codes de certification générés
  • Métadonnées des documents (date de certification, statut)
  • Résultats de comparaison de documents (score de similarité, modifications détectées)

2.3. Données de connexion et de navigation

  • Adresse IP
  • User-Agent du navigateur
  • Date et heure de connexion / vérification
  • Pages consultées et parcours de navigation
  • Cookies techniques et de session

2.4. Données de facturation

  • Informations de paiement (traitées exclusivement par Stripe Inc., notre prestataire de paiement certifié PCI-DSS — nous ne stockons jamais vos données bancaires)
  • Historique des transactions et factures
  • Identifiant client Stripe

Article 3 — Finalités et bases juridiques des traitements

Conformément à l'article 6 du RGPD, chaque traitement de données repose sur une base juridique licite :

FinalitéBase juridique (art. 6 RGPD)Durée de conservation
Création et gestion du compte utilisateurExécution du contrat (art. 6.1.b)Durée de la relation contractuelle + 3 ans
Certification et stockage des bauxExécution du contrat (art. 6.1.b)Durée du compte + 5 ans (prescription civile)
Vérification d'authenticité via QR codeIntérêt légitime (art. 6.1.f)12 mois glissants
Comparaison de PDFs et détection de falsificationExécution du contrat (art. 6.1.b)Durée du compte + 1 an
Facturation et gestion des paiementsObligation légale (art. 6.1.c) — art. L. 123-22 C. com.10 ans (obligation comptable)
Journalisation et audit de sécuritéIntérêt légitime (art. 6.1.f)12 mois
Communication commerciale et newslettersConsentement (art. 6.1.a)Jusqu'au retrait du consentement + 3 ans
Respect des obligations légales (LCEN, etc.)Obligation légale (art. 6.1.c)Durée légale applicable

Article 4 — Destinataires des données

Les données personnelles collectées sont accessibles aux catégories de destinataires suivantes, dans le strict respect du principe de minimisation (article 5.1.c RGPD) :

  • Personnel habilité de la société BPM (direction, service technique) ;
  • Sous-traitants techniques agissant pour notre compte et sur nos instructions (article 28 RGPD), notamment :
    • IONOS SARL — hébergement applicatif (frontend, backend) et services emails (serveurs en France) ;
    • Supabase Inc. — hébergement base de données et stockage de fichiers, opéré sur infrastructure AWS en région eu-west-3 (Paris) ;
    • Stripe Inc. — traitement des paiements (certifié PCI-DSS Level 1) ;
  • Autorités judiciaires ou administratives sur réquisition légale uniquement.

Nous ne vendons, ne louons et ne communiquons jamais vos données personnelles à des tiers à des fins commerciales ou publicitaires.

Article 5 — Transferts hors Union européenne

Certains de nos sous-traitants (Supabase, Stripe) étant établis aux États-Unis, des transferts de données vers ce pays peuvent avoir lieu. Ces transferts sont encadrés par :

  • Le EU-U.S. Data Privacy Framework (décision d'adéquation de la Commission européenne du 10 juillet 2023) pour les entités certifiées ;
  • Des clauses contractuelles types (CCT) adoptées par la Commission européenne (décision d'exécution 2021/914 du 4 juin 2021), conformément à l'article 46.2.c du RGPD ;
  • Des mesures techniques complémentaires (chiffrement en transit TLS 1.3 et au repos AES-256) conformément aux recommandations du CEPD (Comité Européen de la Protection des Données) du 18 juin 2021.

L'hébergement applicatif (IONOS) et l'infrastructure physique des bases de données (AWS eu-west-3) sont situés en France, au sein de l'Union européenne.

Article 6 — Sécurité des données

Conformément à l'article 32 du RGPD, la société BPM met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, notamment :

  • Chiffrement des données en transit (TLS 1.3) et au repos (AES-256) ;
  • Hashage des mots de passe par algorithme irréversible (bcrypt/argon2) ;
  • Signature cryptographique (RS256) des certificats de bail ;
  • Contrôle d'accès par rôle (RBAC) et principe du moindre privilège ;
  • Journalisation exhaustive des actions (AuditLog) ;
  • Limitation du débit d'accès (rate limiting) pour prévenir les abus ;
  • Sauvegarde régulière et plan de continuité d'activité ;
  • Protection CSRF, XSS, injection SQL via le framework applicatif ;
  • Cookies de session HttpOnly et Secure exclusivement ;
  • Authentification à deux facteurs (OTP par email).

Article 7 — Cookies et traceurs

7.1. Cookies strictement nécessaires

Ces cookies sont indispensables au fonctionnement du Site et ne peuvent être désactivés. Ils ne requièrent pas le consentement de l'utilisateur (article 82 de la Loi Informatique et Libertés, exemption CNIL) :

Nom du cookieFinalitéDurée
session_tokenAuthentification et maintien de la session utilisateurSession (supprimé à la fermeture du navigateur) ou 30 jours si « Se souvenir de moi »
csrf_tokenProtection contre les attaques CSRFSession
cookie_consentMémorisation du choix de l'utilisateur relatif aux cookies13 mois

7.2. Cookies analytiques (soumis au consentement)

Ces cookies permettent de mesurer l'audience du Site et d'analyser les parcours de navigation. Ils ne sont déposés qu'après recueil du consentement explicite de l'utilisateur via le bandeau cookies, conformément à la délibération CNIL n° 2020-091. L'utilisateur peut retirer son consentement à tout moment.

7.3. Gestion des préférences

L'utilisateur peut gérer ses préférences en matière de cookies à tout moment en cliquant sur le lien « Gérer mes cookies » en pied de page, ou en configurant son navigateur. La suppression des cookies nécessaires peut altérer le fonctionnement du Site.

Article 8 — Droits des personnes concernées

Conformément aux articles 15 à 22 du RGPD et aux articles 48 à 56 de la Loi Informatique et Libertés, vous disposez des droits suivants :

  • Droit d'accès (art. 15 RGPD) : obtenir la confirmation que vos données sont ou ne sont pas traitées, et en recevoir une copie ;
  • Droit de rectification (art. 16 RGPD) : demander la correction de données inexactes ou incomplètes ;
  • Droit à l'effacement (art. 17 RGPD) : demander la suppression de vos données dans les conditions prévues par le RGPD, sous réserve des obligations légales de conservation ;
  • Droit à la limitation du traitement (art. 18 RGPD) : obtenir la limitation du traitement dans certains cas ;
  • Droit à la portabilité (art. 20 RGPD) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine ;
  • Droit d'opposition (art. 21 RGPD) : vous opposer au traitement fondé sur l'intérêt légitime, y compris le profilage ;
  • Droit de retirer votre consentement (art. 7.3 RGPD) : à tout moment, sans que cela ne compromette la licéité du traitement effectué avant le retrait ;
  • Droit de définir des directives post-mortem (art. 85 Loi Informatique et Libertés) : définir des directives relatives à la conservation, à l'effacement et à la communication de vos données après votre décès.

Exercice de vos droits

Vous pouvez exercer l'ensemble de ces droits en nous contactant :

  • Par email : dpo@certibail.fr
  • Par courrier : BPM — DPO — 53 rue Saint-Antoine, 75004 Paris

Conformément à l'article 12.3 du RGPD, nous nous engageons à répondre à votre demande dans un délai maximum d'un (1) mois à compter de sa réception. Ce délai peut être prolongé de deux (2) mois supplémentaires si la complexité ou le nombre de demandes le justifie, et vous en serez informé.

Afin de vérifier votre identité, nous pourrons vous demander la production d'un justificatif d'identité conformément à l'article 77 du décret n° 2019-536 du 29 mai 2019.

Article 9 — Réclamation auprès de la CNIL

Si vous estimez que le traitement de vos données personnelles constitue une violation du RGPD, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

  • En ligne : www.cnil.fr
  • Par courrier : CNIL — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
  • Par téléphone : 01 53 73 22 22

Article 10 — Notification des violations de données

Conformément aux articles 33 et 34 du RGPD, en cas de violation de données à caractère personnel susceptible d'engendrer un risque pour les droits et libertés des personnes physiques, la société BPM :

  • Notifiera la CNIL dans les 72 heures suivant la prise de connaissance de la violation ;
  • Informera les personnes concernées dans les meilleurs délais si la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés.

Article 11 — Données des mineurs

Le service CertiBail n'est pas destiné aux personnes de moins de 16 ans. Nous ne collectons pas sciemment de données personnelles concernant des mineurs de moins de 16 ans conformément à l'article 8 du RGPD. Si nous apprenons que des données concernant un mineur de moins de 16 ans ont été collectées sans le consentement du titulaire de l'autorité parentale, nous procéderons à leur suppression dans les meilleurs délais.

Article 12 — Modification de la politique

La société BPM se réserve le droit de modifier la présente politique de confidentialité à tout moment. Toute modification substantielle sera notifiée aux utilisateurs inscrits par email et/ou par un avertissement visible sur le Site au moins quinze (15) jours avant son entrée en vigueur. La version applicable est celle en ligne au moment de la consultation du Site.

Article 13 — Contact

Pour toute question relative à la présente politique de confidentialité ou à la protection de vos données personnelles :

  • Email du DPO : dpo@certibail.fr
  • Courrier : BPM — Délégué à la Protection des Données — 53 rue Saint-Antoine, 75004 Paris