Politique de confidentialité

1. Responsable du traitement

• Identité : Antoine Lopez-Mallen, auto-entrepreneur
• SIRET : 882 148 737 00019
• Contact RGPD : privacy@coprospace.fr

2. Données collectées

Dans le cadre de l'utilisation de CoproSpace, les données personnelles suivantes sont collectées :

3. Base légale du traitement

• Exécution du contrat (art. 6.1.b RGPD) : données de compte, prestataires, interventions — nécessaires à la fourniture du service.
• Intérêt légitime (art. 6.1.f RGPD) : sécurité de la plateforme, MFA, journaux de session.
• Consentement (art. 6.1.a RGPD) : collecte de données de géolocalisation lors des pointages. Ce consentement peut être retiré à tout moment.

4. Durée de conservation

• Données de compte : jusqu'à la suppression du compte ou 3 ans après la dernière connexion.
• Données prestataires : durée de la relation contractuelle + 5 ans (obligations légales comptables).
• Logs de pointage : 2 ans à compter de l'intervention (purge automatique mensuelle).
• Logs d'export : 3 ans (purge automatique mensuelle).
• Journal d'audit administrateur plateforme : 5 ans (purge automatique mensuelle). Trace les actions sensibles de l'administrateur de la plateforme (CoproSpace) ; l'email de l'administrateur est conservé de manière dénormalisée pour permettre l'identification de l'auteur même si son compte est supprimé entre-temps. Base légale : article 5.2 RGPD (responsabilité — accountability).
• Historique des demandes d'exercice de droits RGPD : 5 ans (purge automatique mensuelle). Inclut l'email du demandeur conservé de manière dénormalisée afin de pouvoir répondre à un contrôle CNIL sur la suite donnée à votre demande, même si votre compte a été supprimé après traitement. Le fichier d'export lui-même est supprimé sous 30 jours après mise à disposition. Base légale : article 5.2 RGPD (responsabilité).
• Documents : durée définie par l'organisation, supprimés à la clôture du compte.
• Données de connexion / sécurité : 1 an.

5. Sous-traitants et transferts

Les données sont hébergées et traitées par les sous-traitants suivants, avec lesquels un Contrat de Traitement des Données (DPA) est en vigueur :

• Supabase Inc. (base de données, authentification, stockage de fichiers) — hébergement dans la région Union Européenne. DPA disponible sur supabase.com/legal.
• Vercel Inc. (hébergement de l'application, États-Unis) — transfert hors UE encadré par des clauses contractuelles types (SCC) conformes à la décision UE 2021/914. Certifié SOC 2 Type II. DPA disponible sur vercel.com/legal/dpa.
• Resend Inc. (envoi d'emails transactionnels : invitations, notifications, États-Unis) — transfert hors UE encadré par des clauses contractuelles types (SCC). DPA disponible sur resend.com/legal. Seules l'adresse email et le contenu du message sont transmis ; aucune autre donnée personnelle.

Aucune donnée personnelle n'est vendue ou partagée avec des tiers à des fins publicitaires.

6. Vos droits

Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :

• Droit d'accès (art. 15) : obtenir une copie de vos données.
• Droit de rectification (art. 16) : corriger des données inexactes.
• Droit à l'effacement (art. 17) : demander la suppression de vos données. Vous pouvez l'exercer en self-service depuis Mon compte › Supprimer mon compte. Vos contributions (commentaires, documents versés, décisions) sont alors anonymisées (votre nom est remplacé par Membre supprimé) afin de préserver l'historique de la copropriété pour les autres membres, sans conserver de PII vous identifiant.
• Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré.
• Droit d'opposition (art. 21) : vous opposer à certains traitements.
• Droit à la limitation (art. 18) : limiter temporairement le traitement.

À noter — « retrait » vs « suppression » : Si l'administrateur de votre copropriété vous retire de la liste de ses membres, vous perdez l'accès à cette organisation mais votre compte CoproSpace reste actif et vos contributions passées (votes, décisions, documents versés, commentaires) restent visibles avec votre nom — base légale : intérêt légitime de la copropriété et obligations légales liées à la conservation des PV (loi ALUR/ELAN). Pour effacer ces traces personnelles, exercez votre droit à l'effacement via Mon compte › Supprimer mon compte.

Pour exercer ces droits, contactez : privacy@coprospace.fr. Nous répondons dans un délai maximum de 30 jours. En cas de réponse insatisfaisante, vous pouvez saisir la CNIL (cnil.fr).

7. Sécurité des données

CoproSpace met en œuvre les mesures techniques et organisationnelles suivantes pour protéger vos données : chiffrement des communications (TLS), authentification forte (MFA TOTP), contrôle d'accès par organisation (Row Level Security), mots de passe stockés sous forme hachée (bcrypt via Supabase Auth).

8. Cookies et stockage local

CoproSpace utilise uniquement des cookies strictement nécessaires : un cookie de session HTTP-only pour maintenir votre connexion. Aucun cookie tiers, publicitaire ou de traçage n'est utilisé. Ce cookie ne nécessite pas de consentement préalable (directive ePrivacy, article 5.3, exception « strictly necessary »).

Stockage local (page de pointage prestataire) — Sur la page de pointage anonyme accessible via QR code, nous pouvons enregistrer localement dans le navigateur de votre appareil votre profil de prestataire (identifiant et nom), uniquement si vous acceptez explicitement la proposition affichée après votre premier pointage. Cette donnée ne quitte jamais votre appareil et n'est ni transmise à nos serveurs, ni à un tiers. Vous pouvez la supprimer à tout moment via le lien « Ce n'est pas moi » affiché sur la page, ou en vidant les données de site de votre navigateur. Ce mécanisme relève de la préférence utilisateur (directive ePrivacy, article 5.3) et ne doit pas être activé sur un appareil partagé.