Politique de confidentialité
Périmètre de cette politique
La présente politique s'applique aux données personnelles que Vitru'home collecte et traite en qualité de responsable du traitement, notamment les données des utilisateurs professionnels inscrits sur la plateforme.
Elle ne s'applique pas aux données personnelles de tiers (propriétaires, occupants, architectes, intervenants, etc.) contenues dans les documents, plans ou informations que vous traitez via Vitru'home dans le cadre de vos activités professionnelles. Dans ce cas, vous êtes le responsable du traitementau sens de l'article 4 du RGPD et Vitru'home agit en qualité de sous-traitantau sens de l'article 28. Un accord de traitement de données (Data Processing Agreement, DPA) peut être conclu sur demande à team@vitruhome.com.
1. Qui collecte vos données ?
Dans le cadre de la présente politique, Vitru'home agit en qualité de responsable du traitement au sens de l'article 4 du RGPD : nous déterminons les finalités et les moyens du traitement de vos données personnelles.
Vitruhome, société par actions simplifiée au capital de 1 000 euros
Siège social : 16 rue du Citis, 13140 Miramas, France
RCS Salon-de-Provence : 994 224 715
Représentée par Maxime Gilquin, Directeur Technique et Directeur de la publication.
Contact : team@vitruhome.com
Vitru'home n'a pas désigné de Délégué à la Protection des Données (DPO) au sens de l'article 37 du RGPD, la désignation n'étant pas obligatoire compte tenu de la nature et du volume des traitements. Toute demande relative à vos données personnelles peut être adressée à l'adresse ci-dessus.
2. Quelles données collectons-nous ?
2.1 Données que vous nous fournissez directement
| Catégorie de données | Quand les collectons-nous ? |
|---|---|
| Identité civile (nom, prénom) | Création du compte Vitru'home |
| Données de compte (email, mot de passe haché, moyens de récupération) | Création du compte et sécurisation |
| Organisation (raison sociale, SIRET, fonction, adresse de facturation) | Souscription à une offre payante |
| Données de paiement (facture, historique) — les numéros de carte sont traités uniquement par Stripe | Souscription à une offre payante |
| Documents téléversés (plans, PDF, études techniques) | Utilisation des analyses et de l'OCR |
| Données d'entrée (requêtes IA, adresses à analyser, paramètres de rapport) | Utilisation des services |
| Retours utilisateurs (évaluations, signalements, messages au support) | Évaluation d'une sortie IA ou contact support |
| Contact (email uniquement) | Inscription à la newsletter |
2.2 Données générées par votre utilisation
| Catégorie de données | Quand les collectons-nous ? |
|---|---|
| Données techniques (adresse IP, user-agent, type de navigateur, journaux de connexion) | Lors de chaque session |
| Cookies et traceurs (voir section 4) | Selon vos préférences de consentement |
| Données d'utilisation (fonctionnalités employées, temps passé, parcours) | Navigation sur la plateforme |
| Données de sortie (résultats d'analyses, rapports générés, réponses IA) | Production d'un livrable |
| Historique des analyses et conversations IA | Au fil de l'usage du service |
2.3 Données obtenues auprès de sources tierces
- ●Données géographiques et cadastrales publiques : enrichies à partir des adresses que vous renseignez, via des APIs publiques (IGN, Géorisques, INSEE, BRGM, data.gouv.fr, etc.)
- ●Données de paiement : statut de transaction, date, montant transmis par Stripe après paiement, sans données bancaires sensibles
- ●Contenus tiers affichés dans les analyses : liens, vignettes ou extraits provenant d'API publiques, affichés pour contextualiser les résultats. Ces contenus ne sont pas utilisés pour entraîner nos modèles.
Nous n'entraînons pas de modèles d'intelligence artificielle sur vos données personnelles ni sur les documents que vous téléversez. Voir la section 9 et notre Charte IA.
3. Pourquoi utilisons-nous vos données ?
Nous traitons vos données personnelles pour les finalités suivantes, en application des bases légales prévues à l'article 6 du RGPD :
| Finalité | Catégories de données | Base légale |
|---|---|---|
| Créer, administrer et sécuriser votre compte | Identité, compte, authentification | Exécution du contrat |
| Fournir les services (analyses, IA, OCR, rapports) | Documents, données d'entrée et de sortie, usage | Exécution du contrat |
| Traiter les paiements et la facturation | Identité, organisation, paiement | Contrat + obligation légale |
| Communications transactionnelles (confirmations, alertes sécurité, notifications produit) | Email, compte | Exécution du contrat |
| Communications commerciales (newsletter, nouveautés) | Consentement | |
| Support client et correction d'erreurs | Identité, contact, données liées à la demande | Exécution du contrat |
| Débogage, supervision technique, observabilité | Logs techniques, données d'usage | Intérêt légitime |
| Sécurité, prévention de la fraude, rate-limiting, anti-bot | IP, logs, empreintes techniques | Intérêt légitime + obligation légale |
| Amélioration du service et statistiques anonymisées | Données d'usage agrégées | Intérêt légitime |
| Mesure d'audience et analytics | Données de navigation | Consentement |
| Application des Conditions Générales (modération, lutte contre les abus) | Compte, usage, données d'entrée et de sortie | Exécution du contrat |
| Gestion des litiges et défense de nos droits | Toute donnée nécessaire au litige | Intérêt légitime + contrat |
| Exercice des droits RGPD (réponse à vos demandes) | Identité, contact, données de la demande | Obligation légale |
| Respect des obligations légales et fiscales | Facturation, logs | Obligation légale |
Vitru'home ne met en œuvre ni profilage, ni décision entièrement automatisée produisant des effets juridiques ou significatifs au sens de l'article 22 du RGPD : les analyses générées par nos systèmes d'IA constituent une aide à la décision et ne remplacent pas l'appréciation d'un professionnel qualifié.
5. Combien de temps conservons-nous vos données ?
Nous conservons vos données personnelles uniquement pour la durée nécessaire à la réalisation des finalités décrites à la section 3, augmentée, le cas échéant, des délais légaux d'archivage. Pendant la période d'archivage, ces données ne sont consultées qu'en cas de nécessité légale ou contentieuse.
5.1 Durées opérationnelles (liées à l'usage du service)
| Catégorie | Durée |
|---|---|
| Compte actif et données associées | Durée de la relation contractuelle |
| Analyses, rapports, documents téléversés | Durée de la souscription + 30 jours de restitution |
| Conversations avec l'assistant IA | Durée de la souscription (suppression possible à tout moment) |
| Données d'entrée/sortie des APIs IA (hors fine-tuning) | Jusqu'à 30 jours (modération) puis suppression |
| Cookies et traceurs non essentiels | Durée de votre consentement (13 mois maximum) |
| Données de contact newsletter | Tant que vous êtes inscrit |
| Données de prospection commerciale | 3 ans à compter du dernier contact |
5.2 Durées d'archivage (obligations légales et défense)
| Catégorie | Durée |
|---|---|
| Identité civile | 5 ans après la suppression du compte |
| Données de récupération de compte (email, téléphone) | 1 an après la suppression du compte |
| Journaux de connexion | 12 mois (Art. L34-1 CPCE, LCEN) |
| Factures et pièces comptables | 10 ans (Art. L123-22 Code de commerce) |
| Contrats et documents commerciaux | Durée du contrat + 5 ans |
| Demandes d'exercice des droits RGPD | Durée de traitement + 6 ans |
| Correspondances support client | Résolution + 5 ans d'archivage |
| Données liées à un litige | Jusqu'à expiration des voies de recours |
| Preuve du consentement | 5 ans |
| Données anonymisées (statistiques) | Sans limite |
À l'expiration de ces délais, les données sont supprimées ou anonymisées de manière irréversible.
6. Qui a accès à vos données ?
Nous ne vendons, n'échangeons ni ne louons vos données personnelles. L'accès est limité aux personnes ou entités qui en ont besoin dans le cadre de leurs missions respectives :
6.1 Au sein de Vitru'home
Les membres de nos équipes (produit, technique, support, comptabilité) accèdent à vos données uniquement sur la base du besoin d'en connaître, dans la limite de leurs missions et dans le respect de règles internes de confidentialité et de sécurité.
6.2 Partenaires externes (hors sous-traitants techniques)
- ●Institutions financières : banques, prestataires de services de paiement (Stripe), dans le cadre du traitement des paiements et du recouvrement.
- ●Autorités publiques : CNIL, administrations fiscales, autorités judiciaires ou administratives compétentes, sur réquisition légale et dans la stricte mesure requise par la loi.
- ●Professionnels du droit et de la comptabilité : avocats, huissiers, experts-comptables, commissaires aux comptes, médiateurs et tribunaux, lorsque cela est nécessaire à la défense de nos droits ou au respect de nos obligations.
6.3 Sous-traitants techniques
Nos principaux sous-traitants sont énumérés ci-dessous. Ils interviennent sur la base d'un contrat de sous-traitance conforme à l'article 28 du RGPD et sont tenus à des obligations de confidentialité et de sécurité.
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| Supabase | Base de données, authentification, stockage | UE (AWS Paris, eu-west-3) |
| Vercel | Hébergement applicatif et CDN | US / régions edge |
| Amazon Web Services (AWS) | Bedrock (IA), S3 (stockage), ECS/Lambda (calcul) | UE (Paris, eu-west-3) et US |
| Anthropic (via AWS Bedrock) | Modèles d'IA conversationnelle (Claude) | UE (eu-west-3) |
| Mistral AI | Reconnaissance optique de caractères (OCR) | France / UE |
| Stripe | Traitement des paiements | US (filiale irlandaise pour l'UE) |
| Resend | Envoi des emails transactionnels | US |
| PostHog | Mesure d'audience (avec consentement) | UE |
| Sentry | Suivi des erreurs techniques | US |
| Cloudflare | Protection anti-bot (Turnstile) et CDN | US / réseau global |
| Mapbox | Fond de carte et tuiles vectorielles | US |
| Google Maps Platform | Géocodage et cartographie | US |
7. Où sont stockées vos données ?
Nous sélectionnons en priorité des fournisseurs établis dans l'Union européenne. Nos bases de données principales, nos traitements d'intelligence artificielle et notre stockage de documents sont hébergés en région Paris (AWS eu-west-3).
Lorsque, pour des raisons fonctionnelles, certains prestataires sont établis hors de l'Union européenne (notamment aux États-Unis), les transferts sont encadrés par les garanties appropriées prévues au chapitre V du RGPD :
- ●Clauses contractuelles types (CCT) adoptées par la Commission européenne (décision 2021/914)
- ●Certification EU-US Data Privacy Framework pour les prestataires américains éligibles
- ●Mesures techniques et organisationnelles complémentaires : chiffrement en transit (TLS 1.2+), chiffrement au repos, cloisonnement logique, pseudonymisation lorsque cela est possible
Nous joignons systématiquement la version la plus récente des Clauses contractuelles types à nos contrats de sous-traitance avec les prestataires concernés.
8. Vos droits
Conformément aux articles 15 à 22 du RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants :
- ●Droit d'accès : obtenir la confirmation que vos données sont traitées et en recevoir une copie.
- ●Droit de rectification : corriger vos données inexactes ou incomplètes.
- ●Droit à l'effacement : demander la suppression de vos données, sous réserve des obligations légales de conservation.
- ●Droit à la limitation : geler temporairement le traitement.
- ●Droit à la portabilité : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable de traitement.
- ●Droit d'opposition : vous opposer au traitement fondé sur l'intérêt légitime.
- ●Droit de retrait du consentement : à tout moment, sans affecter la licéité du traitement antérieur.
- ●Droit de ne pas faire l'objet d'une décision entièrement automatisée (Art. 22 RGPD) : Vitru'home ne met pas en œuvre de décision produisant des effets juridiques ou significatifs de manière entièrement automatisée.
- ●Directives post-mortem : relatives à la conservation, à l'effacement et à la communication de vos données après votre décès (Art. 85 de la loi Informatique et Libertés).
Vous pouvez exercer ces droits :
- ●directement depuis votre espace personnel (rubrique « Paramètres du compte ») : modification du profil, export des données, suppression du compte ;
- ●par email à team@vitruhome.com.
Une pièce justificative d'identité peut être demandée en cas de doute raisonnable sur votre identité. Nous nous engageons à répondre dans un délai maximal d'un mois à compter de la réception d'une demande complète, prolongeable de deux mois en cas de complexité particulière (Art. 12.3 RGPD).
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez adresser une réclamation à la Commission Nationale de l'Informatique et des Libertés (CNIL), www.cnil.fr/fr/plaintes.
9. Intelligence artificielle
Vitru'home intègre plusieurs systèmes d'intelligence artificielle pour l'assistant conversationnel, l'analyse de documents, la vision par ordinateur et les analyses automatiques de site.
- ●Les modèles utilisés sont fournis par Anthropic (Claude, via AWS Bedrock en région eu-west-3) et Mistral AI (OCR, France/UE).
- ●Vos données et documents ne sont pas utilisés pour entraîner les modèles des fournisseurs tiers, ni par Vitru'home.
- ●Les réponses générées peuvent contenir des erreurs, des imprécisions ou des hallucinations ; elles constituent une aide à la décision et ne se substituent pas à l'appréciation d'un professionnel qualifié.
- ●Vous pouvez supprimer vos conversations et documents téléversés à tout moment depuis votre espace personnel.
Les systèmes d'IA déployés, les modèles utilisés et les obligations applicables au titre du Règlement (UE) 2024/1689 (« AI Act ») sont détaillés dans notre Charte IA.
10. Modifications de la politique
La présente politique de confidentialité peut être modifiée à tout moment pour refléter l'évolution de nos services, de nos obligations légales ou de nos sous-traitants.
En cas de modification substantielle, nous vous en informerons par email et/ou par une notification visible sur la plateforme au moins trente (30) jours avant son entrée en vigueur. La date de dernière mise à jour figure en bas de cette page.
Dernière mise à jour : Avril 2026