Casavendre.
Vendre un bien

Données personnelles

Politique de confidentialité.

Version 2 — dernière mise à jour : 13 mai 2026.

1. Responsable du traitement

Le responsable du traitement est Casavendre [SARL/EURL], dont les coordonnées figurent dans les mentions légales.

Référent RGPD : David Massiani — contact@casavendre.fr.

Casavendre n'est pas tenue de désigner un délégué à la protection des données (DPO) au sens de l'article 37 du RGPD : ses traitements ne portent pas sur des catégories particulières à grande échelle et ne consistent pas en une surveillance systématique. Cette analyse est revue annuellement.

2. Données collectées

  • Données de compte : email, mot de passe (hashé), numéro de téléphone, type de compte (Particulier / Agent / Agence).
  • Données de bien immobilier : photographies, description, surface, nombre de pièces, prix, étages, terrain, DPE, GES, adresse, notes éditoriales.
  • Données de déposant non-authentifié : avant la création d'un compte, le service collecte les photographies et informations renseignées et les associe à un identifiant temporaire (token). Ces données sont automatiquement supprimées après quarante-cinq (45) jours en l'absence de finalisation.
  • Données de paiement : traitées et conservées exclusivement par Stripe. Casavendre ne stocke qu'un identifiant client Stripe et l'historique de facturation associé.
  • Données techniques : logs serveur (adresse IP, user-agent, horodatage et identifiants des requêtes).
  • Statistiques de visite : Vercel Web Analytics, fonctionnant en mode anonyme et sans cookie ; aucune donnée directement identifiante n'est conservée.
  • Données de contact : messages envoyés via les formulaires de contact sur les pages de biens (nom, email, téléphone, message).
  • Données de signalement : informations transmises lors d'un signalement de contenu illicite (nom, email, URL, motifs).
  • Données d'emails transactionnels : métadonnées de remise (identifiant Resend, date de remise, ouverture, rebond) pour assurer la délivrabilité.

3. Finalités et bases légales

  • Exécution du contrat (art. 6.1.b RGPD) : création et gestion du compte, fourniture du Service, génération des pages de biens, mise en relation avec les acquéreurs, facturation.
  • Intérêt légitime (art. 6.1.f RGPD) : sécurité du Service, prévention et lutte contre la fraude, mesure d'audience anonyme, amélioration du Service, suivi de délivrabilité des emails transactionnels, conservation des informations relatives à un signalement de contenu illicite.
  • Obligation légale (art. 6.1.c RGPD) : conservation des factures (10 ans), réponse aux réquisitions des autorités compétentes, conservation des données d'identification des contributeurs au titre de l'article 6-II de la LCEN.
  • Consentement (art. 6.1.a RGPD) : envoi éventuel de communications marketing (le cas échéant et toujours révocable).

4. Destinataires et sous-traitants

Nous faisons appel aux sous-traitants suivants, tous engagés contractuellement par un accord de traitement (DPA) respectueux du RGPD :

  • Supabase Inc. — base de données et stockage des photographies (Singapour). Transfert encadré par les clauses contractuelles types de la Commission européenne (décision 2021/914).
  • Vercel Inc. — hébergement de l'application et mesure d'audience anonyme (États-Unis). Transfert encadré par le Data Privacy Framework (DPF).
  • Stripe Payments Europe Ltd — traitement des paiements (Irlande, UE). Aucun transfert hors UE.
  • Google LLC (API Gemini) — traitement par IA des photographies (États-Unis). Transfert encadré par le Data Privacy Framework (DPF). Les images sont transmises pour traitement uniquement et ne sont pas utilisées pour entraîner les modèles, conformément aux conditions de l'API.
  • Resend Inc. — émission et suivi des emails transactionnels (États-Unis). Transfert encadré par le Data Privacy Framework (DPF).

Les données ne sont jamais cédées ni vendues à des tiers à des fins commerciales.

5. Transferts internationaux

Certains sous-traitants étant établis hors Union européenne, les transferts correspondants sont encadrés par :

  • le Data Privacy Framework (DPF) pour les transferts vers les États-Unis, en application de la décision d'adéquation de la Commission européenne du 10 juillet 2023 : Vercel, Google, Resend ;
  • les clauses contractuelles types de la Commission européenne pour les transferts hors zones bénéficiant d'une décision d'adéquation : Supabase (Singapour).

Vous pouvez demander copie des garanties applicables en écrivant à contact@casavendre.fr.

6. Décisions automatisées et IA

Le traitement IA appliqué aux photographies (nettoyage, restaging) constitue un traitement automatisé au sens technique, mais ne produit aucune décision juridique ni effet significatif sur les personnes concernées au sens de l'article 22 du RGPD. Aucune décision automatisée portant sur le maintien ou le retrait d'un Contenu n'est prise sans intervention humaine.

Les Contenus utilisateurs ne sont pas utilisés pour entraîner les modèles d'IA — qu'ils soient développés par Casavendre ou par ses sous-traitants. Cette interdiction est également matérialisée par la clause anti-IA des CGU (article 11) et par les fichiers /robots.txt et /.well-known/tdmrep.json.

7. Durées de conservation

  • Compte actif : tant que le compte existe.
  • Compte supprimé : suppression sous 30 jours, sauf obligations légales (factures conservées 10 ans, identifiants de connexion conservés 12 mois au titre de la LCEN).
  • Données de déposant non-auth : 45 jours en l'absence de finalisation.
  • Photographies : conservées tant que la page bien reste publiée. Suppression sous 30 jours après dépublication.
  • Messages de contact : 3 ans à compter du dernier échange.
  • Signalements et décisions de modération : 5 ans (intérêt légitime, défense en justice).
  • Métadonnées d'emails transactionnels : 13 mois.
  • Logs techniques : 12 mois.
  • Données en cas de fraude avérée ou suspectée : 5 ans à compter de la dernière action (intérêt légitime, prévention de la fraude).

8. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

  • droit d'accès à vos données (art. 15) ;
  • droit de rectification (art. 16) ;
  • droit à l'effacement ou « droit à l'oubli » (art. 17) ;
  • droit à la limitation du traitement (art. 18) ;
  • droit à la portabilité de vos données (art. 20) ;
  • droit d'opposition, notamment au traitement fondé sur l'intérêt légitime (art. 21) ;
  • droit de retirer votre consentement à tout moment (art. 7) ;
  • droit de définir des directives relatives au sort de vos données après votre décès (art. 85 loi 78-17).

Pour exercer ces droits, écrivez-nous à contact@casavendre.fr. Une pièce d'identité pourra vous être demandée en cas de doute raisonnable sur votre identité. Nous répondons sous un mois maximum, ce délai pouvant être prolongé de deux mois compte tenu de la complexité ou du nombre de demandes.

Vous pouvez également introduire une réclamation auprès de la CNIL : cnil.fr.

9. Cookies et traceurs

Casavendre utilise uniquement des cookies strictement nécessaires au fonctionnement du Service (authentification, sécurité). Ces cookies sont exemptés de consentement préalable, conformément à la délibération CNIL n° 2020-091.

La mesure d'audience est assurée par Vercel Web Analytics, qui fonctionne sans cookie et sans identifiant persistant. Aucune donnée directement identifiante n'est collectée à cette fin, ce qui dispense Casavendre du recueil d'un consentement.

Aucun cookie publicitaire, ni traceur tiers à finalité analytique avec consentement, n'est utilisé.

10. Sécurité

Les données sont stockées sur des serveurs sécurisés. Les communications sont chiffrées en transit (TLS 1.2+) et au repos. Les mots de passe sont hashés via l'algorithme bcrypt opéré par Supabase Auth. L'accès aux données est strictement limité aux personnes habilitées.

En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes, Casavendre s'engage à notifier la CNIL dans les soixante-douze (72) heures et, le cas échéant, à informer les personnes concernées dans les meilleurs délais, conformément aux articles 33 et 34 du RGPD.

11. Modification

Nous nous réservons le droit de modifier la présente politique. Toute modification substantielle est notifiée par email aux Utilisateurs titulaires d'un compte au moins trente (30) jours avant son entrée en vigueur.