Aller au contenu
RetourArvens

Politique de confidentialité

Mise à jour le 3 mai 2026

La présente politique décrit les traitements de données à caractère personnel mis en œuvre par ARVENS dans le cadre de son service de partage Off-Market sécurisé. Elle est rédigée en application du Règlement (UE) 2016/679 (RGPD) et de la loi française n° 78-17 dite « Informatique et Libertés ».

Responsable de traitement

ARVENS est une marque de QUASARIA, micro-entreprise. Responsable de traitement : Eliott Faivre, Entrepreneur Individuel, 6 rue d'Armaillé, 75017 Paris, France. Contact RGPD : contact@arvens.app.

Catégories de personnes concernées

Les traitements opérés par ARVENS concernent deux catégories distinctes : · Les Agents : professionnels de l'immobilier inscrits, contractuellement liés à ARVENS et titulaires d'un compte authentifié. · Les Acheteurs : tiers identifiés par les Agents, recevant un lien partagé et acceptant l'NDA digital. Les Acheteurs ne disposent pas de compte ; aucune donnée d'identification directe (nom, email) n'est collectée à leur sujet — uniquement les éléments techniques liés à l'acceptation du NDA, à des fins de preuve juridique.

Données collectées — Agents

Lors de la création d'un compte agent, sont collectés : · l'adresse email professionnelle ; · le nom complet ; · le mot de passe (stocké hashé via bcrypt, jamais en clair) ; · le cas échéant, le nom de l'agence et l'identifiant client de paiement Stripe. Base légale : exécution du contrat (art. 6.1.b RGPD). Durée de conservation : durée de la relation contractuelle, puis trois (3) ans aux fins de prospection commerciale ou d'obligations comptables, sauf opposition de votre part.

Données collectées — Acheteurs

Lorsqu'un acheteur clique sur « J'accepte » dans le sas NDA, sont enregistrés : · son adresse IP publique ; · son agent utilisateur (navigateur, système d'exploitation) ; · sa localisation approximative déduite de l'IP (ville et pays) ; · l'horodatage exact de l'acceptation. Base légale : intérêt légitime de l'agent à conserver une preuve juridique de l'acceptation du NDA (art. 6.1.f RGPD), expressément porté à la connaissance de l'acheteur sur la page du sas avant son clic. Durée de conservation : cinq (5) ans à compter de la date d'acceptation, conformément aux délais de prescription civile applicables.

Stockage des photographies

Les photographies déposées par les agents sont stockées sur Cloudflare R2, sous-traitant lié par contrat conformément à l'article 28 du RGPD. Elles ne sont jamais rendues publiques. L'accès n'est possible qu'au moyen d'URL signées à durée limitée, après acceptation du NDA par l'acheteur.

Profilage et décisions automatisées

ARVENS ne procède à aucune décision automatisée produisant des effets juridiques au sens de l'article 22 du RGPD. Aucune donnée n'est utilisée à des fins de profilage marketing, publicitaire ou de scoring. La consultation des journaux NDA par l'agent constitue une simple lecture de fait, sans algorithme d'évaluation.

Mineurs

ARVENS est un service strictement réservé aux professionnels de l'immobilier majeurs et exerçant une activité régulière. Aucune donnée n'est sciemment collectée auprès de personnes mineures. Le service n'est en aucun cas destiné aux moins de 18 ans. Toute découverte d'un compte appartenant à un mineur entraînera sa suppression immédiate.

Cookies

Le service utilise exclusivement des cookies strictement nécessaires : · cookies de session Supabase, pour maintenir l'authentification de l'agent ; · cookie nda_accepted_[id], signé par HMAC SHA-256, pour mémoriser l'acceptation du NDA par un acheteur (durée 30 jours, par dossier) ; · cookies techniques de Cloudflare pour la sécurité et la prévention des attaques. Aucun cookie publicitaire, de profilage ou de mesure d'audience tierce n'est posé.

Sous-traitants et destinataires

Vos données sont communiquées aux seuls sous-traitants suivants, liés par engagement contractuel : · Supabase Inc. (Singapour / Union européenne) — base de données et authentification ; · Cloudflare, Inc. (États-Unis / Union européenne) — hébergement applicatif et stockage des fichiers ; · Stripe Payments Europe Ltd (Irlande) — traitement des paiements par carte bancaire ; · le cas échéant, un prestataire d'envoi d'emails transactionnels. Aucune donnée n'est transmise à un tiers à des fins commerciales ou publicitaires.

Transferts hors Union européenne

Certains sous-traitants opèrent depuis les États-Unis (Cloudflare, Stripe). Ces transferts sont encadrés par les Clauses Contractuelles Types adoptées par la Commission européenne (décision 2021/914), conformément à l'article 46 du RGPD.

Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez à tout moment des droits suivants : droit d'accès, de rectification, d'effacement, de limitation du traitement, de portabilité, d'opposition, et droit de retirer votre consentement. Vous pouvez exercer ces droits en écrivant à : contact@arvens.app. Une réponse vous sera apportée dans le délai d'un mois. Vous disposez également du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL — cnil.fr).

Procédure d'exercice des droits

Pour garantir la sécurité de vos données, toute demande d'exercice de vos droits devra être accompagnée d'éléments permettant d'authentifier le demandeur : · copie d'une pièce d'identité en cours de validité (le document sera détruit dès la vérification effectuée) ; · précision du droit invoqué et des données concernées. Délai de réponse : un (1) mois à compter de la réception de la demande complète, prolongeable de deux mois pour les demandes complexes (art. 12 RGPD). En cas de refus motivé, ARVENS vous indiquera les voies de recours possibles. Aucun frais ne sera demandé, sauf demande manifestement abusive ou répétitive.

Sécurité

ARVENS met en œuvre les mesures techniques et organisationnelles suivantes : · chiffrement TLS 1.3 de bout en bout ; · hashage des mots de passe (bcrypt) ; · isolation par Row Level Security au niveau de la base de données ; · signature HMAC SHA-256 des cookies sensibles ; · journalisation horodatée des accès ; · contrôle d'origine des requêtes (anti-CSRF) ; · limitation du débit (rate limiting) sur les endpoints sensibles ; · headers HTTP de sécurité (X-Frame-Options, HSTS, COOP, etc.).

Notification de violation de données

Conformément aux articles 33 et 34 du RGPD, en cas de violation de données à caractère personnel susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, ARVENS s'engage à : · notifier la CNIL dans un délai de soixante-douze (72) heures après en avoir pris connaissance ; · informer sans délai les personnes concernées lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés ; · documenter toute violation, ses effets et les mesures correctrices, dans un registre interne tenu à disposition de la CNIL.

Mises à jour de la présente politique

La présente politique peut être mise à jour pour refléter des évolutions légales, techniques ou organisationnelles. La date de dernière mise à jour figure en tête du présent document. En cas de modification substantielle, les agents inscrits seront informés par email.