Politique de Confidentialité

🔒 Protection de vos données personnelles

SENARI s'engage à protéger la vie privée de ses utilisateurs conformément au Règlement Général sur la Protection des Données (RGPD) et aux exigences des Google API Services User Data Policy.

La présente politique décrit quelles données nous collectons, comment nous les utilisons, comment nous les protégeons, et quels sont vos droits à leur égard.

Dernière mise à jour : Mars 2026 — Responsable du traitement : DGD SAS, 26 Av. Reine Victoria, 64200 Biarritz.

Conformité & Standards

RGPD (UE) 2016/679

Loi Informatique & Libertés

Google API Services Policy

CNIL

ePrivacy Directive

1. Données collectées

i Principe de minimisation : Nous ne collectons que les données strictement nécessaires au fonctionnement de la plateforme.

Catégorie	Données collectées	Source	Obligatoire
Compte Google (OAuth 2.0)	Adresse email, nom, prénom, photo de profil (avatar), identifiant unique Google (sub)	Google Sign-In (OAuth)	Oui
Compte email/mot de passe	Adresse email, mot de passe haché (non lisible)	Inscription manuelle	Oui
Données de profil	Nom de l'entreprise, téléphone, rôle (promoteur, architecte, etc.)	Saisie utilisateur	Optionnel
Données de projet	Coordonnées géographiques, surfaces, paramètres de faisabilité, résultats de calcul	Utilisation de la plateforme	Oui
Données de facturation	Nom, adresse de facturation, 4 derniers chiffres carte (tokenisés via Stripe)	Abonnement payant	Oui (abonnés)
Données techniques	Adresse IP, type de navigateur, pages visitées, durée de session, logs d'erreur	Navigation (automatique)	Oui
Cookies & traceurs	Cookies de session, Google Analytics (GA4), Google Ads (avec consentement)	Navigateur	Selon consentement

                    Données Google spécifiques : Lorsque vous vous connectez via Google, nous recevons uniquement les données que vous avez autorisées via l'écran de consentement OAuth Google. Nous ne demandons pas d'accès à vos emails, agenda, Drive ou autres services Google.
                

2. Utilisation des données

Finalité	Données utilisées	Base légale (RGPD)
Authentification & gestion du compte	Email, nom, identifiant Google (sub), photo de profil	Exécution du contrat (Art. 6.1.b)
Fourniture du service SENARI	Données de projet, calculs de faisabilité, géolocalisation	Exécution du contrat (Art. 6.1.b)
Facturation & paiement	Données de facturation (traitées par Stripe)	Obligation légale (Art. 6.1.c)
Support client	Email, données du projet concerné	Intérêt légitime (Art. 6.1.f)
Amélioration du produit	Données d'utilisation anonymisées, logs techniques	Intérêt légitime (Art. 6.1.f)
Communication marketing	Email (newsletter, mises à jour produit)	Consentement (Art. 6.1.a)
Mesure d'audience & publicité	Cookies Google Analytics, Google Ads	Consentement (Art. 6.1.a)

🚫 Ce que nous ne faisons PAS avec vos données Google

Nous n'utilisons pas vos données Google à des fins publicitaires ou de profilage commercial.
Nous ne revendons pas, ne louons pas et ne partageons pas vos données Google avec des tiers à des fins lucratives.
Nous ne croisons pas vos données Google avec d'autres bases de données tierces.
Nous ne stockons pas votre token d'accès Google au-delà de la durée de la session d'authentification.

3. Partage avec des tiers

i Principe : Nous ne vendons jamais vos données. Le partage est limité aux sous-traitants techniques indispensables au service.

Prestataire	Rôle	Données transmises	Localisation
Supabase	Base de données & authentification (backup email/password)	Données de compte, données de projet	🇪🇺 Europe (AWS eu-west-3)
Clerk	Gestion des identités & authentification OAuth	Email, nom, identifiant Google, sessions	🇺🇸 États-Unis (clauses contractuelles UE)
Stripe	Traitement des paiements	Données de facturation uniquement (tokenisées)	🇺🇸 États-Unis / 🇪🇺 Europe (SCCs)
OVH Cloud	Hébergement web & serveurs	Données de navigation, logs techniques	🇫🇷 France (Roubaix / Gravelines)
Google (Analytics, Ads, GTM)	Mesure d'audience & suivi conversions	Données de navigation anonymisées (avec consentement)	🇺🇸 États-Unis (Adequacy Decision / SCCs)

⚠️ Transferts hors UE : Certains prestataires sont basés aux États-Unis. Ces transferts sont encadrés par des Clauses Contractuelles Types (SCCs) approuvées par la Commission Européenne, conformément à l'Art. 46 du RGPD.

4. Stockage & protection

🛡️ Mesures techniques de sécurité

Chiffrement en transit : Toutes les communications sont chiffrées via TLS 1.2/1.3 (HTTPS obligatoire).
Chiffrement au repos : Les données stockées en base de données (Supabase) sont chiffrées au repos (AES-256).
Mots de passe : Hachés avec bcrypt — jamais stockés en clair.
Accès restreint : Seuls les membres autorisés de l'équipe DGD SAS ont accès aux données de production, sous authentification multi-facteurs.
Row Level Security (RLS) : Chaque utilisateur ne peut accéder qu'à ses propres données (isolation par politique Supabase RLS).
Sauvegardes : Sauvegardes quotidiennes automatiques avec rétention de 7 jours, stockées en Europe.
Tokens OAuth Google : Non persistés au-delà de la session d'authentification active.

🏢 Infrastructure d'hébergement

Serveur web principal : OVH France (Roubaix / Gravelines) — données localisées en France.
Base de données : Supabase (AWS eu-west-3, Paris) — conformité ISO 27001 et SOC 2 Type II.
CDN & assets : OVH Cloud — réseau 100% européen.

5. Conservation & suppression des données

Type de données	Durée de conservation	Justification
Données de compte (email, nom, identifiants Google)	Durée de vie du compte + 30 jours après suppression	Nécessaire à la fourniture du service
Données de projet (faisabilité, géolocalisation)	Durée de vie du compte actif	Sauvegarde des travaux de l'utilisateur
Données de facturation	10 ans	Obligation légale comptable (Art. L123-22 C. Com.)
Logs techniques & sécurité	12 mois glissants	Détection d'anomalies, conformité sécurité
Données de navigation (Analytics)	14 mois (paramétrage Google Analytics)	Analyse d'audience agrégée et anonymisée
Emails de support	3 ans	Traçabilité des échanges contractuels

🗑️ Procédure de suppression de compte

Pour demander la suppression de votre compte et de l'ensemble de vos données personnelles (y compris les données issues de votre connexion Google), vous disposez de deux options :

Via l'interface SENARI : Paramètres du compte → "Supprimer mon compte" (suppression immédiate et irréversible).
Par email : Envoyez-nous une demande explicite avec pour objet "Demande de suppression de compte".

                        Délai de traitement : Nous nous engageons à traiter votre demande de suppression dans un délai maximum de 30 jours à compter de sa réception, conformément à l'Art. 17 du RGPD (droit à l'effacement). Les données de facturation sont conservées pour leur durée légale obligatoire.
                    

6. Vos droits (RGPD)

Droit	Description	Article RGPD
Droit d'accès	Obtenir une copie de toutes vos données personnelles traitées par SENARI	Art. 15
Droit de rectification	Corriger des données inexactes ou incomplètes vous concernant	Art. 16
Droit à l'effacement	Demander la suppression de vos données ("droit à l'oubli")	Art. 17
Droit à la limitation	Limiter le traitement de vos données dans certaines circonstances	Art. 18
Droit à la portabilité	Recevoir vos données dans un format structuré et lisible par machine (JSON/CSV)	Art. 20
Droit d'opposition	Vous opposer au traitement de vos données à des fins marketing	Art. 21
Retrait du consentement	Retirer votre consentement à tout moment (cookies, newsletter) sans préjudice	Art. 7.3

Exercer vos droits ou poser une question

Pour toute demande relative à vos données personnelles, contactez notre Délégué à la Protection des Données par email.

En cas de réponse insatisfaisante, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) sur www.cnil.fr

7. Cookies & traceurs

Cookie	Type	Finalité	Durée
Session SENARI	Essentiel	Maintien de la session utilisateur connecté	Durée de session
*_ga, _ga_ (Google Analytics)**	Analytique	Mesure d'audience anonymisée (GA4)	14 mois
*_gcl_ (Google Ads)**	Publicitaire	Suivi conversions campagnes Google Ads	90 jours
GTM (Google Tag Manager)	Analytique	Gestion des balises de mesure	Session

                    Gestion du consentement : Les cookies non essentiels (Analytics, Ads) ne sont déposés qu'après recueil de votre consentement explicite via notre bannière de cookies. Vous pouvez modifier vos préférences à tout moment depuis le bas de chaque page du site.
                

8. Modifications de cette politique

SENARI se réserve le droit de modifier la présente politique de confidentialité à tout moment, notamment pour s'adapter à de nouvelles obligations légales ou à des évolutions de nos services.

En cas de modification substantielle, vous serez notifié par email (si abonné) ou via une notification visible lors de votre prochaine connexion à la plateforme, au moins 30 jours avant l'entrée en vigueur des changements.

La poursuite de l'utilisation de SENARI après la date d'entrée en vigueur vaut acceptation de la politique mise à jour. L'historique des versions est disponible sur demande par email.

SENARI — Politique de Confidentialité

DGD SAS — 1B Rue Pierre Pauilhac 33740 ARES — N° SIRET : 998 992 986 00013

Version en vigueur : Mars 2026

Pour toute question relative à cette politique, contactez-nous par email.