Politique de Confidentialité

Dernière mise à jour : mai 2025

1. Responsable du traitement

La société SASU BAFTER, immatriculée au RCS sous le numéro SIREN 987 546 058, dont le siège social est situé en France, est responsable du traitement de vos données personnelles collectées via l'espace client dashboard.bafter.fr.

Contact : contact@bafter.fr

2. Données collectées

Dans le cadre de l'utilisation du dashboard, nous collectons les données suivantes :

• Données d'identification : nom, prénom, adresse email, numéro de téléphone
• Données de connexion : adresse IP, logs de connexion, identifiants d'authentification
• Données relatives aux dossiers d'urbanisme : adresse du bien, nature des travaux, pièces justificatives téléchargées
• Données de facturation : montants, références de paiement (les données de carte bancaire sont traitées directement par Stripe et ne nous sont pas transmises)
• Données de communication : échanges de messages via le formulaire de contact

3. Finalités et bases légales

Vos données sont traitées pour les finalités suivantes :

• Exécution du contrat : gestion de votre dossier d'urbanisme, accès à l'espace client, suivi des démarches
• Obligation légale : conservation des documents comptables et fiscaux
• Intérêt légitime : sécurisation de la plateforme, prévention de la fraude, amélioration des services
• Consentement : envoi de communications non strictement nécessaires à l'exécution du contrat (le cas échéant)

4. Durée de conservation

• Données clients actifs : pendant toute la durée de la relation contractuelle
• Données après résiliation : 3 ans à compter de la fin du contrat (prescription civile de droit commun)
• Données de facturation : 10 ans (obligation comptable légale)
• Logs de connexion : 12 mois maximum

5. Destinataires des données

Vos données peuvent être transmises aux sous-traitants suivants dans le cadre strict de la prestation :

• Supabase Inc. (UE) — hébergement de la base de données et authentification — politique de confidentialité
• Stripe Inc. (États-Unis) — traitement des paiements en ligne — politique de confidentialité
• Prestataire SMTP — envoi d'emails transactionnels

Ces sous-traitants agissent exclusivement sur instruction de BAFTER et ne peuvent utiliser vos données à d'autres fins.

6. Transferts hors Union Européenne

Certains de nos sous-traitants (Supabase, Stripe) sont établis aux États-Unis. Les transferts de données sont encadrés par des garanties appropriées : clauses contractuelles types de la Commission européenne (CCT) et/ou certification au Data Privacy Framework (DPF). Vous pouvez demander communication de ces garanties à l'adresse contact@bafter.fr.

7. Vos droits

Conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés, vous disposez des droits suivants :

• Droit d'accès : obtenir une copie des données vous concernant
• Droit de rectification : corriger des données inexactes ou incomplètes
• Droit à l'effacement : demander la suppression de vos données (sous réserve des obligations légales de conservation)
• Droit à la limitation : suspendre temporairement le traitement
• Droit à la portabilité : recevoir vos données dans un format structuré
• Droit d'opposition : vous opposer à un traitement fondé sur l'intérêt légitime

Pour exercer ces droits, adressez votre demande à contact@bafter.fr. Nous répondrons dans un délai maximum d'un mois. En cas de réponse insatisfaisante, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) sur www.cnil.fr.

8. Cookies

L'espace client utilise uniquement des cookies strictement nécessaires au fonctionnement de la session d'authentification (cookie de session Supabase). Ces cookies sont indispensables et ne nécessitent pas de consentement au sens de la directive ePrivacy. Aucun cookie publicitaire ou de traçage tiers n'est déposé.

9. Sécurité

BAFTER met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données : chiffrement en transit (HTTPS/TLS), chiffrement au repos, authentification par mot de passe haché, accès restreint aux données par rôle.

10. Modifications

La présente politique peut être mise à jour à tout moment. En cas de modification substantielle, vous serez informé par email. La date de dernière mise à jour figure en haut du document.