Politique de confidentialité.
À jour au 27 avril 2026.
1. Introduction
La présente politique de confidentialité a pour objectif d'informer les utilisateurs du site et de l'application Obercail (ci-après le « Service ») sur la manière dont leurs données personnelles sont collectées, traitées et protégées, conformément au Règlement (UE) 2016/679 du 27 avril 2016 (ci-après le « RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée dite « Informatique et Libertés ».
Elle complète les conditions générales d'utilisation et les mentions légales du Service.
2. Responsable du traitement
Le Service Obercail est exploité par WELLTEST CONSULTING, EURL (entreprise unipersonnelle à responsabilité limitée) au capital de 1 000 €, immatriculée au 918 029 521 R.C.S. Évry sous le numéro SIREN 918 029 521, dont le siège social est situé 51 rue Alexandre Dumas, 91220 Brétigny-sur-Orge, France, représentée par Rija Ralitera en qualité de gérant. Les autres informations légales figurent dans les mentions légales.
Pour toute question relative à la protection de vos données personnelles, au support technique du Service ou pour exercer vos droits RGPD, vous pouvez nous contacter à : contact@obercail.fr.
3. Catégories de données, finalités, bases légales et sous-traitants
Le tableau ci-dessous synthétise les traitements réalisés par Obercail. Seules les données strictement nécessaires à chaque finalité sont collectées.
| Catégories de données | Finalités | Base légale | Sous-traitants | Durée de conservation |
|---|---|---|---|---|
| Identification utilisateur (nom, email, mot de passe chiffré, organisation) | Création et gestion du compte, authentification, communications de service | Exécution du contrat | Vercel (hébergement), Neon (BDD), Brevo (emails) | Jusqu'à suppression du compte par l'Utilisateur, puis 30 jours en sauvegarde |
| Données des biens (adresse, surface, régime fiscal, prix, charges) | Gestion locative, simulation de rentabilité, comparaison fiscale | Exécution du contrat | Vercel, Neon | 3 ans après la fin du dernier bail rattaché |
| Données locataires (nom, email, téléphone, date de naissance, revenus, pièce d'identité) | Gestion des contrats de location, génération des baux et quittances | Exécution du contrat | Vercel, Neon, Cloudflare R2 (juridiction UE, pièces d'identité), Brevo, Yousign | 3 ans après le départ du locataire ; documents comptables 10 ans |
| Baux et états des lieux (contrats, annexes, photos) | Rédaction, signature et archivage des documents contractuels | Exécution du contrat ; obligation légale | Vercel, Neon, Cloudflare R2 (juridiction UE), Yousign | Documents signés : 10 ans (dossier de preuves Yousign) ; brouillons : 90 jours |
| Paiements & facturation (loyers, abonnement SaaS, factures) | Suivi des loyers, génération des quittances, facturation de l'abonnement | Exécution du contrat ; obligation légale (comptabilité) | Vercel, Neon, Stripe (abonnement SaaS) | 6 ans (obligation comptable française, article L.123-22 du Code de commerce) |
| Logs techniques et données de connexion (IP, dates, stack traces) | Sécurité, détection et correction des bugs, monitoring | Intérêt légitime | Vercel, Sentry (EU), Axiom, Upstash (rate limiting), UptimeRobot | 90 jours |
| Analytics produit (pages vues, événements pseudonymisés) | Amélioration du produit, mesure d'usage | Consentement (bannière cookies) | PostHog (EU Cloud) | 90 jours |
| Demandes de support et échanges par email | Assistance et traitement des demandes utilisateur | Intérêt légitime ; exécution du contrat | Brevo (emails sortants) | 3 ans après la dernière interaction |
| Tickets de support (identité, organisation, plan, métadonnées techniques, contenu du message, pièces jointes optionnelles) | Réception et traitement des demandes d'assistance et signalements de bug via Zoho Desk | Exécution du contrat (art. 6.1.b RGPD) | Zoho Corporation Pvt. Ltd. (Zoho Desk EU — datacenter Amsterdam, Union européenne) | Durée du traitement de la demande + 3 ans à des fins de preuve et d'amélioration produit |
| Codes promo et tentatives d'utilisation (code saisi, IP, horodatage) | Application de remises commerciales, accès au programme beta (codes d'invitation gratuits), détection de fraude (brute-force, codes partagés) | Exécution du contrat ; intérêt légitime (anti-fraude) | Vercel, Neon, Stripe (coupons publics) | 3 ans pour les tentatives (anti-fraude) ; durée du contrat pour les redemptions actives |
| Programme de parrainage (lien parrain/filleul, code, IP d'inscription) | Attribution des récompenses, détection de fraude (auto-parrainage, emails jetables, vitesse anormale) | Exécution du contrat ; intérêt légitime (anti-fraude) | Vercel, Neon | 3 ans après validation ou rejet du parrainage |
| Journal d'audit des actions administratives (actor, action, cible, raison) | Traçabilité des actions sensibles (support, modifications manuelles, RGPD) | Intérêt légitime ; obligation légale | Vercel, Neon | 5 ans (conformité et preuve en cas de litige) |
| Dossier bancaire — génération ponctuelle (PDF agrégeant patrimoine, encours, situation perso/pro et projet de financement) | Permettre à l'Utilisateur de présenter un dossier de financement structuré à un banquier ou un courtier de son choix. Le PDF reste chez Obercail — aucune transmission automatique à un tiers. | Mesure pré-contractuelle prise à la demande de la personne (art. 6.1.b RGPD) | Vercel, Neon, Cloudflare R2 (juridiction UE — PDF généré) | PDF conservé 30 jours dans Cloudflare R2 puis purge automatique. Aucune valeur du formulaire n'est conservée sans consentement séparé (voir traitement suivant). |
| Profil emprunteur — données financières, professionnelles et état civil (uniquement si consentement coché) | Préremplir les prochaines simulations de dossier bancaire de l'Utilisateur. Distinct de l'exécution contractuelle — la conservation est volontaire et activable depuis le formulaire de génération. | Consentement (art. 6.1.a RGPD), retirable à tout moment depuis /settings/borrower-profile | Vercel, Neon | 12 mois après dernière mise à jour, puis purge automatique. Suppression immédiate sur retrait du consentement ou suppression du compte. |
| Emails de relance et nurturing onboarding (email, prénom, date d'inscription) | Réengager les utilisateurs récemment inscrits qui n'ont pas encore créé de bien — séquence J+1 / J+3 / J+7 après inscription. Coupure automatique dès la création du premier bien. | Intérêt légitime (art. 6.1.f RGPD) couplé à L.34-5 CPCE (B2C) — opposition simple via le lien « Se désabonner » dans chaque email (RFC 8058 one-click) ou via vos paramètres de compte. Aucune relance après opt-out. | Vercel, Neon, Brevo (envoi) | Le drapeau d'opposition (`marketingOptOut`) est conservé tant que le compte existe. La séquence elle-même est limitée à 7 jours après inscription — au-delà, plus aucun envoi. |
3.1 Programme beta — accès gratuit sur invitation
Obercail attribue, sur invitation, des codes d'accès permettant de tester le Service en plan Essentiel pendant une durée limitée, sans paiement. La saisie d'un tel code par un utilisateur connecté ne donne lieu à aucune collecte supplémentaire au-delà du tableau ci-dessus (code saisi, horodatage, IP, association avec l'Organisation). À l'expiration de la période d'essai, le compte repasse automatiquement en plan Découverte : aucune donnée n'est supprimée automatiquement, les biens, baux, locataires, paiements et prêts restent accessibles en lecture et à l'export dans les mêmes conditions de conservation que pour un compte payant.
4. Hébergement et transferts hors Union européenne
Obercail s'efforce de recourir à des prestataires localisés dans l'Union européenne. Les données sont principalement hébergées en UE :
- Vercel : fonctions déployées prioritairement en région Francfort (`fra1`). Société américaine relevant potentiellement du Cloud Act ;
- Neon : base de données PostgreSQL en région UE. Société américaine ;
- Cloudflare R2 : bucket configuré en juridiction EU (`jurisdiction: eu`) pour garantir le stockage physique en UE ;
- Brevo : entreprise française, hébergement UE ;
- Yousign : entreprise française, certifiée eIDAS ;
- Stripe Payments Europe Ltd. : entité irlandaise, DPA signé automatiquement à l'inscription ;
- PostHog : instance EU Cloud (`eu.i.posthog.com`) ;
- Sentry : instance EU (`de.sentry.io`) pour la collecte des erreurs applicatives.
Certains sous-traitants (notamment Vercel, Neon, Cloudflare, Upstash, Axiom, UptimeRobot) sont des sociétés américaines susceptibles d'être soumises au Cloud Act. Obercail met en place les garanties appropriées :
- adhésion de ces prestataires au cadre EU-US Data Privacy Framework (décision d'adéquation de la Commission européenne du 10 juillet 2023) lorsqu'ils sont certifiés ;
- à défaut, signature des clauses contractuelles types(SCCs) adoptées par la Commission européenne ;
- contrats de sous-traitance (DPA) conformes à l'article 28 du RGPD, en cours de signature ou déjà signés avec chaque prestataire.
Une migration progressive vers des prestataires européens est planifiée et documentée dans notre plan de mise en conformité interne.
4 bis. Services publics consultés (open data)
Sur action explicite de l'utilisateur (clic sur un bouton « Récupérer le DPE depuis l'ADEME »), Obercail consulte des bases publiques françaises pour pré-remplir certaines caractéristiques de votre logement. Ces consultations n'impliquent aucune transmission de données personnelles à un tiers — le service public est interrogé en lecture seule depuis nos serveurs.
- ADEME — Diagnostic de Performance Énergétique : base publique ouverte des DPE réalisés en France (data.ademe.fr). Adresse + code postal du logement transmis pour la recherche, aucun identifiant utilisateur. L'ADEME est destinataire technique de la requête, pas sous-traitant. Données récupérées (étiquettes DPE/GES, dates, consommations) stockées dans la fiche du logement côté Obercail.
- BAN — Base Adresse Nationale(api-adresse.data.gouv.fr, IGN/DINUM) : géocodage de l'adresse du bien (latitude, longitude, code INSEE) pour permettre les références marché. Adresse transmise en lecture seule, sans identifiant utilisateur. La BAN est destinataire technique, pas sous-traitant.
- DVF — Demandes de Valeurs Foncières (DGFiP, via data.gouv.fr) et Carte des loyers(ANIL, observatoires locaux + ministère du Logement) : jeux de données ingérés en pullcôté Obercail (téléchargement périodique). Aucune donnée utilisateur n'est transmise à la DGFiP ou à l'ANIL. Les références marché (prix médian au m², loyer marché €/m²) sont calculées localement à partir de ces datasets, dans le scope de votre seule organisation.
5. Vos droits
Conformément au RGPD, vous disposez des droits suivants sur vos données :
- Droit d'accès (article 15) : obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie ;
- Droit de rectification (article 16) : faire corriger des données inexactes ou incomplètes ;
- Droit à l'effacement (article 17) : demander la suppression de vos données. Une fonctionnalité d'auto-suppression est disponible depuis l'espace personnel ;
- Droit à la limitation (article 18) ;
- Droit à la portabilité (article 20) : recevoir vos données dans un format structuré et lisible par machine. Une fonctionnalité d'export est disponible depuis l'espace personnel ;
- Droit d'opposition (article 21) : aux traitements fondés sur l'intérêt légitime ;
- Droit de retirer votre consentement : à tout moment lorsqu'un traitement repose sur cette base légale ;
- Directives post-mortem : vous pouvez définir des directives relatives à la conservation, l'effacement et la communication de vos données après votre décès.
Les liens ci-dessus renvoient vers les pages explicatives de la CNIL, l'autorité française de protection des données.
Pour exercer ces droits, contactez-nous à contact@obercail.fr. Nous répondrons dans un délai maximal d'un (1) mois à compter de la réception de votre demande, conformément à l'article 12 du RGPD.
Vous disposez également du droit d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL) : 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — cnil.fr.
6. Sécurité
Obercail met en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre la perte, l'altération, la divulgation ou l'accès non autorisé, notamment :
- chiffrement des mots de passe avec bcrypt (salt 12) et des communications en TLS 1.2+ sur l'ensemble du Service ;
- authentification gérée par NextAuth avec jetons signés et durée de session limitée ;
- contrôle d'accès basé sur les rôles (RBAC) à 4 niveaux (Propriétaire, Administrateur, Éditeur, Lecteur) ;
- limitation du débit des requêtes (rate limiting) contre les abus et les attaques par force brute ;
- stockage des documents sensibles (pièces d'identité, baux, avis d'imposition) sur Cloudflare R2 avec URLs signées à durée de vie limitée (1 heure) ;
- monitoring des erreurs applicatives via Sentry, incluant un enregistrement de session anonymisé (texte saisi et champs de formulaire masqués, médias bloqués) à des fins de diagnostic technique ;
- sauvegardes automatiques de la base de données assurées par notre hébergeur PostgreSQL.
En cas de violation de données personnelles présentant un risque pour vos droits et libertés, Obercail notifiera la CNIL dans les 72 heures conformément à l'article 33 du RGPD et, le cas échéant, vous en informera directement.
7. Cookies et traceurs
Obercail utilise deux catégories de cookies et traceurs :
7.1 Cookies strictement nécessaires
Ces cookies sont indispensables au fonctionnement du Service : maintien de votre session d'authentification, préférence d'organisation active, protection contre les attaques CSRF. Conformément aux recommandations de la CNIL, ils ne sont pas soumis à votre consentement préalable.
7.2 Cookies de mesure d'audience (PostHog)
Obercail utilise PostHog(instance EU Cloud) pour mesurer l'utilisation du Service et en améliorer la qualité. Ces cookies ne sont déposés qu'avec votre consentement explicite, recueilli via la bannière affichée lors de votre première visite. Vous pouvez à tout moment modifier votre choix :
- en vidant les cookies d'Obercail dans les paramètres de votre navigateur ;
- ou en nous contactant à contact@obercail.fr.
Aucun cookie publicitaire, de reciblage ou de suivi intersites n'est déposé sur votre appareil.
8. Modifications
La présente politique peut être mise à jour pour refléter l'évolution du Service, de nos sous-traitants ou de la réglementation applicable. Toute modification substantielle vous sera notifiée par email ou par une bannière dans le Service, avec un préavis raisonnable.
9. Contact
Pour toute question relative à la présente politique ou pour exercer vos droits :
- par email : contact@obercail.fr ;
- par courrier postal à l'adresse du responsable de traitement indiquée dans les mentions légales.