Politique de confidentialité

Le présent document est rédigé par Applyze SAS dans une démarche de transparence et de conformité au RGPD. Il est destiné à être validé par un conseil juridique avant la mise en production réelle du service. Si une stipulation devait être jugée invalide, les autres demeureraient applicables.

Préambule

Applyze SAS attache une importance fondamentale à la protection des données personnelles. La présente politique décrit, de manière claire et exhaustive, comment nous collectons, utilisons, partageons et protégeons les données à caractère personnel sur le site applyze.dev (« le Site ») ainsi que dans le logiciel AGENCYA (« le Service »), conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (« RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée (« Loi Informatique et Libertés »).

Trois grandes catégories de données coexistent et obéissent à des règles distinctes :

• Données du Site — visiteurs du site marketing applyze.dev (formulaires démo et contact, cookies).
• Données des Agences clientes — comptes administrateurs, managers, agents au sein du Service AGENCYA.
• Données des Clients finaux des Agences — vendeurs, acquéreurs et apporteurs d'affaires saisis par les Agences dans le Service.

1. Responsable de traitement et qualité de sous-traitant

Pour les données du Site (visiteurs applyze.dev), le responsable de traitement est :

Applyze SAS
60 Chemin du Trastour, Cidex 420 bis
06330 Roquefort-les-Pins, France
SIRET : à renseigner après immatriculation
Email : contact@applyze.dev

Pour les données saisies dans le Service AGENCYA par les Agences clientes (données concernant les vendeurs, acquéreurs, apporteurs d'affaires, mandats, offres, documents…), Applyze SAS agit en qualité de sous-traitant au sens de l'article 28 du RGPD. Chaque Agence cliente conserve la qualité de responsable de traitement vis-à-vis de ses propres clients finaux. Les conditions de ce traitement sont précisées dans un contrat de sous-traitance (DPA) annexé aux Conditions Générales de Vente.

Applyze a désigné un Délégué à la Protection des Données (DPO), joignable à dpo@applyze.dev.

2. Catégories de données collectées

2.1. Sur le Site applyze.dev

• Formulaire de demande de démo : prénom, nom, fonction, téléphone, email professionnel, nom de l'agence, ville, site web, nombre d'agents, logiciel actuel, message libre, créneaux de disponibilité, consentements RGPD.
• Formulaire de contact général : nom complet, email, sujet, message libre.
• Données techniques : adresse IP (anonymisée par troncature), type de navigateur, pages consultées, pays, horodatage. Ces données alimentent des logs de sécurité et une mesure d'audience anonyme.
• Cookies : un cookie de consentement (`applyze.cookie.consent`) et, après acceptation, un cookie d'audience anonyme (cf. section 11).

2.2. Dans le Service AGENCYA — comptes Agences

• Comptes administrateurs / managers / agents : prénom, nom, email, téléphone, photo de profil (optionnelle), genre déclaratif (optionnel), rôle, agence d'appartenance, journal d'activité, jeton push (notifications mobiles), préférences de notification.
• Données d'authentification : empreinte du mot de passe (jamais en clair, hash bcrypt), historique de connexion (IP, user-agent, horodatage), jeton de session, OTP de vérification téléphone et email.
• Données de facturation Agence : raison sociale, SIRET, RCS, TVA intra, capital, identifiant client Stripe, identifiant d'abonnement, statut d'abonnement, montants facturés, événements de facturation à l'usage.

2.3. Dans le Service AGENCYA — clients finaux des Agences

Les Agences clientes saisissent, dans le périmètre de leur activité (mandats immobiliers loi Hoguet), des données concernant leurs propres vendeurs, acquéreurs et apporteurs d'affaires :

• Identité civile : prénom, nom, date de naissance, lieu de naissance, profession, situation matrimoniale, régime matrimonial, conjoint, nationalité, type de pièce d'identité (numéro et photos pour la vérification d'identité KYC), adresse postale, email, téléphone.
• Données financières : capacité d'emprunt déclarée, type de financement (cash, prêt, prêt-relais, mixte), apport personnel, banque, attestations de fonds, relevés, simulations de prêt, IBAN/BIC pour les apporteurs d'affaires.
• Données métier : biens immobiliers, mandats, offres, contre-offres, comptes rendus de visite, documents signés (eIDAS), conversations entre l'Agence et son client, étapes du dossier, notes privées de l'agent, sentiment et scoring du copilote IA (cf. section 8).
• Données de signature électronique : OTP par SMS validé, hashes SHA-256 avant et après scellement, horodatages, IP, user-agent, vidéo d'engagement (lorsqu'activée par l'Agence).
• Données concernant les vendeurs uniquement : titre de propriété, taxe foncière, diagnostics, règlement de copropriété, comptes rendus d'assemblée générale, mandat de vente.
• Données concernant les acquéreurs uniquement : critères de recherche, mandat de recherche, dossier financier, justificatifs de solvabilité.
• Données concernant les apporteurs d'affaires : identité, RIB, IBAN/BIC, CNI, Kbis le cas échéant, adresse de facturation, niveau de partenariat.

3. Finalités et bases légales du traitement

Chaque finalité est rattachée à une base légale parmi les six prévues à l'article 6 RGPD :

Aucune décision juridiquement significative n'est prise de manière exclusivement automatisée par le copilote IA Léo (cf. section 8 et art. 22 RGPD).

4. Durées de conservation

• Demandes de démo non transformées : 3 ans après le dernier contact actif (recommandation CNIL B2B), puis archivage en base intermédiaire 5 ans pour preuves.
• Newsletter : jusqu'au retrait du consentement ou 3 ans après le dernier clic.
• Comptes Agences clientes : pendant la durée du contrat, puis 90 jours d'export à la résiliation, puis suppression définitive (sauf obligations légales).
• Données des clients finaux saisies par les Agences : pendant la durée du mandat ou de la relation contractuelle, puis selon les durées légales applicables au métier d'agent immobilier.
• Mandats immobiliers (loi Hoguet) : 10 ans à compter de la fin d'exécution du mandat (article 76 du décret n° 72-678 du 20 juillet 1972).
• Comptabilité et factures : 10 ans à compter de la clôture de l'exercice (article L. 123-22 du Code de commerce).
• Données d'authentification (logs de connexion) : 1 an (recommandation CNIL).
• Logs techniques de sécurité : 6 mois à 1 an selon nature.
• Cookies : 13 mois maximum pour le cookie de consentement, durée de session pour le reste.
• Dossier de preuve eIDAS de signature électronique : pendant la durée d'opposabilité du document signé (typiquement 10 ans pour les actes immobiliers).

5. Sous-traitants et destinataires des données

Applyze SAS fait appel à des sous-traitants techniques pour la fourniture du Service. Tous sont liés par un contrat de sous-traitance conforme à l'article 28 du RGPD, avec engagement de confidentialité, mesures de sécurité techniques et organisationnelles, obligation d'information en cas de violation, et garanties de transfert lorsqu'applicables.

Aucun autre destinataire n'a accès aux données, à l'exception :

• Des autorités compétentes sur réquisition judiciaire, administrative ou en réponse à une obligation légale.
• De conseils externes (avocats, experts-comptables, commissaires aux comptes) tenus au secret professionnel, dans la stricte limite nécessaire à leur mission.
• D'éventuels acquéreurs en cas de cession totale ou partielle d'Applyze SAS, sous réserve d'une information préalable des personnes concernées.

6. Hébergement des données

Le cœur des données du Service AGENCYA est hébergé sur les datacenters Supabase à Frankfurt (Allemagne, eu-central-1), au sein de l'Espace économique européen. Les Agences en plan Dédié bénéficient en complément d'un hébergement isolé sur OVHcloud à Roubaix ou Strasbourg (France). Le site marketing statique applyze.dev est servi par Vercel à partir d'un réseau de diffusion de contenu mondial.

Les sauvegardes quotidiennes de la base de données sont conservées 30 jours. Une réplication temps réel est mise en place vers une zone de secours européenne. Un plan de reprise d'activité est testé chaque trimestre.

7. Transferts de données hors Union européenne

Certaines données peuvent être transmises à des sous-traitants situés hors de l'Espace économique européen, notamment aux États-Unis (Anthropic, Vercel, Resend) ou faire l'objet de transferts intra-groupe vers les États-Unis (Stripe, Twilio).

Tous ces transferts sont encadrés par les clauses contractuelles types (CCT) de la Commission européenne du 4 juin 2021. Lorsque le sous-traitant est certifié sous le Data Privacy Framework UE-USA (Vercel, Resend, Anthropic), cette adhésion s'ajoute aux CCT comme garantie complémentaire.

Pour le copilote IA Léo, les données envoyées à Anthropic sont préalablement anonymisées en sortie de plateforme : les noms, prénoms, adresses postales et coordonnées sont remplacés par des identifiants techniques avant la requête API ; la substitution inverse est appliquée localement à la réception. Anthropic souscrit par ailleurs à un engagement contractuel de zéro-rétention et de non-utilisation des données pour l'entraînement de modèles.

8. Profilage et copilote IA Léo (RGPD art. 22)

Le copilote IA Léo réalise plusieurs traitements automatisés :

• Scoring acquéreur — probabilité d'offre 0–100, à partir du sentiment de la visite, du parcours de l'acquéreur et de critères métier.
• Scoring de facilité de vente — 0–100 sur le bien, à partir de l'écart au prix d'estimation, des visites et des avis.
• Scoring de marge de négociation — 0–100 sur l'offre reçue.
• Scoring de qualité relationnelle vendeur — 0–100 visible des seuls staffs de l'Agence.
• Scoring d'urgence baisse de prix — 0–100 sur le bien, modéré pour ne jamais harceler le vendeur.
• Génération de textes — comptes rendus, argumentaires de baisse de prix, emails notaires, annonces marketing, relances multi-tons.

Ces traitements assistent les agents de l'Agence cliente dans leur travail quotidien. Aucune décision juridiquement significative ou produisant des effets équivalents n'est prise sur la base unique d'un traitement automatisé (article 22 RGPD) : la décision finale (signer un mandat, transmettre une offre, proposer une baisse de prix) est toujours prise par un agent humain.

Les personnes concernées disposent du droit d'obtenir une intervention humaine, d'exprimer leur point de vue et de contester toute analyse les concernant. Pour exercer ces droits, contacter le DPO à dpo@applyze.dev.

Les données envoyées à Anthropic sont anonymisées (cf. section 7) et ne sont jamais utilisées pour entraîner un modèle, ni le nôtre ni celui d'Anthropic. Le scoring est conçu de manière déterministe et explicable côté plateforme : chaque score est accompagné de la liste des facteurs ayant influencé le résultat.

9. Paiement par Stripe

Le règlement des abonnements et frais d'activation s'effectue via Stripe Payments Europe Ltd. Stripe est certifié PCI-DSS niveau 1, ce qui constitue le plus haut niveau de conformité pour le traitement des données de carte bancaire. Aucune donnée de carte bancaire ne transite ni n'est stockée par les serveurs d'Applyze. Stripe agit en qualité de responsable de traitement conjoint sur les données de paiement.

Les pages de saisie de carte sont fournies par Stripe (Checkout, Customer Portal, Elements). Stripe peut également déposer des cookies tiers strictement nécessaires à la prévention de la fraude (cf. politique de confidentialité Stripe).

10. Communications transactionnelles par Resend

Les emails transactionnels (confirmations, invitations, factures, alertes notification) sont envoyés via Resend Inc. Aucune communication marketing massive n'est réalisée sans consentement explicite préalable.

Les emails sont envoyés depuis les domaines applyze.dev (par défaut) et, pour les Agences en marque blanche, depuis un sous-domaine du domaine de l'Agence cliente (configuration SPF / DKIM / DMARC partagée avec l'Agence).

11. Cookies

Le site applyze.dev utilise un nombre minimal de cookies. Pour le détail (nom, finalité, durée, base légale), consultez la page Cookies. Aucun cookie publicitaire ni de profilage tiers n'est déposé.

12. Vos droits RGPD

Conformément aux articles 12 à 23 du RGPD, vous disposez des droits suivants :

• Droit d'accès (art. 15) — obtenir copie des données vous concernant.
• Droit de rectification (art. 16) — corriger des données inexactes ou incomplètes.
• Droit à l'effacement (art. 17) — sous réserve des exceptions prévues (notamment obligations légales loi Hoguet).
• Droit à la limitation du traitement (art. 18).
• Droit à la portabilité (art. 20) — récupérer vos données dans un format structuré (JSON, CSV).
• Droit d'opposition (art. 21) — vous opposer à un traitement fondé sur l'intérêt légitime.
• Droit de retirer votre consentement à tout moment (art. 7), sans remettre en cause les traitements antérieurs.
• Droit à l'intervention humaine sur une décision algorithmique (art. 22, cf. section 8).
• Droit de définir des directives post-mortem sur le sort de vos données après décès (article 85 LIL).

13. Modalités d'exercice de vos droits

Pour exercer un droit, adressez votre demande au DPO à dpo@applyze.dev, accompagnée de tout élément permettant de vous identifier (afin de prévenir une demande frauduleuse). Une copie de pièce d'identité peut être demandée en cas de doute raisonnable sur l'identité du demandeur ; elle sera détruite après traitement.

Nous nous engageons à répondre dans un délai d'un mois à compter de la réception de la demande complète. Ce délai peut être prolongé de deux mois en cas de demande complexe ou multiple, ce dont vous serez informé.

En cas de désaccord sur le traitement de votre demande, vous disposez du droit d'introduire une réclamation auprès de la CNIL :

CNIL — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 France
Téléphone : 01 53 73 22 22 · Site : www.cnil.fr

14. Mineurs

Le Service AGENCYA est destiné à un usage professionnel. Il ne s'adresse pas aux mineurs et ne collecte pas sciemment de données concernant des personnes de moins de 15 ans (article 8 RGPD). Si nous apprenions qu'une donnée concernant un mineur a été collectée par erreur, nous procéderions à sa suppression immédiate.

15. Articulation avec la loi Hoguet

L'activité d'agent immobilier est encadrée par la loi n° 70-9 du 2 janvier 1970 (« loi Hoguet ») et par son décret d'application n° 72-678. Cette réglementation impose des obligations spécifiques en matière de :

• Conservation des mandats : 10 ans à compter de la fin d'exécution.
• Tenue d'un registre des mandats par numéro et date.
• Secret professionnel de l'agent immobilier (article L. 113 du Code de la consommation).
• Carte professionnelle CCI exigée pour exercer.

Ces obligations légales priment sur certaines demandes d'effacement : les mandats immobiliers ne peuvent être supprimés avant l'expiration de la durée de conservation légale, même sur demande. La conservation est alors fondée sur l'article 6.1.c (obligation légale) et l'article 17.3.b (motif d'intérêt général) du RGPD.

16. Export des données et suppression à la résiliation

À tout moment pendant la durée du contrat, l'Agence cliente peut exporter l'intégralité de ses données depuis l'espace administrateur, aux formats JSON, CSV et PDF. Cet export couvre les biens, mandats, offres, conversations, documents signés et données client.

À la résiliation, l'Agence dispose d'un délai de 90 jours pour récupérer ses données. À l'issue de ce délai, les données sont supprimées de tous les systèmes opérationnels d'Applyze, y compris les sauvegardes accessibles. Les sauvegardes archivées hors-ligne sont effacées au cycle de rotation suivant (au maximum 30 jours supplémentaires).

Les données soumises à conservation légale (mandats Hoguet, comptabilité, signatures eIDAS) sont conservées au-delà de cette suppression dans une archive intermédiaire chiffrée, dont l'accès est restreint à la direction d'Applyze et aux autorités habilitées.

Engagement Applyze :

• Vos données ne sont jamais revendues.
• Vos données ne sont jamais utilisées pour entraîner un modèle d'intelligence artificielle, ni le nôtre, ni celui de nos sous-traitants.
• Vos données ne sont jamais croisées avec des bases externes.
• Aucun cookie publicitaire ni pixel marketing n'est déposé.

17. Sécurité technique et organisationnelle

Les détails techniques (chiffrement, RLS Postgres, sauvegardes, MFA, plan de reprise) sont exposés sur la page Sécurité. En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, Applyze s'engage à informer la CNIL dans les 72 heures et les personnes concernées dans les meilleurs délais (articles 33 et 34 RGPD).

18. Contacter notre DPO

Applyze SAS a désigné un Délégué à la protection des données joignable :

• Par email : dpo@applyze.dev
• Par courrier : Applyze SAS — DPO, 60 Chemin du Trastour, Cidex 420 bis, 06330 Roquefort-les-Pins, France

Le DPO répond à toute question relative à la présente politique, à l'exercice de vos droits, à un éventuel incident de sécurité ou à toute interrogation sur la conformité RGPD du Service.

19. Évolutions de la politique

La présente politique peut être amendée pour tenir compte d'évolutions légales, jurisprudentielles ou techniques. Toute modification substantielle fera l'objet d'une notification préalable :

• Aux Agences clientes, par email à l'administrateur de chaque Agence et par bandeau d'information dans le Service ;
• Aux visiteurs du Site, par bandeau d'information sur la page d'accueil pendant 30 jours ;
• Aux clients finaux des Agences, par notification dans l'application AGENCYA.

L'historique des versions antérieures est conservé et disponible sur demande à dpo@applyze.dev.

Cette page a été mise à jour pour la dernière fois le 1ᵉʳ mai 2026 (version 1.2). Les versions antérieures sont conservées et disponibles sur demande.