Aller au contenu

Protection des données

Politique deconfidentialité.

La présente politique informe les personnes concernées des traitements de données à caractère personnel mis en œuvre par VISION Signature, en application du Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (« Loi Informatique et Libertés »).

Dernière mise à jour : [À COMPLÉTER]

01

Responsable du traitement

Le responsable du traitement des données collectées via le site https://vision-signature.com (ci-après le « Site ») est :

Dénomination sociale
[À COMPLÉTER]
Forme juridique
[À COMPLÉTER]
Siège social
[À COMPLÉTER]
RCS / SIRET
[À COMPLÉTER]
Représentant légal
[À COMPLÉTER]
Contact RGPD
contact@vision-signature.com

En application de l'article 37 du RGPD, la désignation d'un Délégué à la Protection des Données (DPO) n'est pas obligatoire compte tenu de l'activité actuelle. Un référent à la protection des données est néanmoins désigné en interne, joignable à l'adresse indiquée ci-dessus, afin d'assurer la conformité continue des traitements et de répondre aux demandes des personnes concernées.

02

Périmètre de la politique

La présente politique s'applique à l'ensemble des traitements de données mis en œuvre par VISION Signature à l'occasion :

  • Navigation publique. Consultation des pages du Site, formulaire de contact, demande d'étude de projet.
  • Espace artisan. Candidature au réseau de partenaires, création de compte, dépôt de pièces de conformité, suivi de chantiers, messagerie support.
  • Espace administrateur. Gestion du réseau, instruction des dossiers, modération, médiation, journal de sécurité.
  • Communications. Envoi de courriers électroniques transactionnels et, le cas échéant, d'informations relatives à l'activité.
03

Catégories de données traitées

Identification
Civilité, nom, prénom, adresse électronique, numéro de téléphone, photographie de profil (administrateurs uniquement et à titre facultatif).
Identification entreprise artisan
Raison sociale, forme juridique, capital, SIRET, code APE, date de création, métier principal, statut juridique, coordonnées professionnelles.
Pièces de conformité artisan
Extrait Kbis, attestation de responsabilité civile professionnelle, attestation de garantie décennale, attestation URSSAF de vigilance, pièce d'identité du représentant légal, carte professionnelle BTP le cas échéant.
Données projet
Nature des travaux envisagés, surface, localisation indicative, budget estimatif, échéance, contenu libre des messages.
Données de connexion
Adresse IP, identifiant de session, agent utilisateur (navigateur, système d'exploitation), horodatage des authentifications, événements d'audit de sécurité.
Données d'usage
Tickets de support, fil de messages échangés, pièces jointes, historique d'actions sur les dossiers, préférences d'affichage.
Données techniques sensibles
Aucune donnée relevant des catégories particulières au sens de l'article 9 du RGPD (santé, opinions, origines, etc.) n'est sciemment collectée.

VISION Signature respecte le principe de minimisation prévu à l'article 5.1.c du RGPD : seules les données strictement nécessaires aux finalités décrites en section 04 sont collectées.

04

Finalités et bases légales

Chaque traitement repose sur une base légale identifiée au sens de l'article 6 du RGPD :

Exécution du contrat (art. 6.1.b RGPD)
Création et gestion des comptes utilisateurs, traitement des candidatures partenaires, mise en relation, suivi des chantiers, médiation amiable, communications de service.
Obligation légale (art. 6.1.c RGPD)
Conservation des pièces justificatives de l'activité artisanale (Kbis, attestations), tenue de la comptabilité, lutte contre le travail dissimulé (Code du travail, articles L.8222-1 et suivants), obligations fiscales.
Intérêt légitime (art. 6.1.f RGPD)
Sécurisation des accès, prévention de la fraude et des abus, lutte contre l'usurpation d'identité, amélioration continue du service, gestion des incidents techniques. Cet intérêt est mis en balance avec les droits et libertés des personnes concernées, et ne prévaut pas lorsqu'il y porte atteinte.
Consentement préalable (art. 6.1.a RGPD)
Envoi de communications non strictement liées au dossier de l'utilisateur, dépôt de cookies non essentiels (hors mesure d'audience anonymisée exemptée). Le consentement est recueilli de manière libre, spécifique, éclairée et univoque, et peut être retiré à tout moment.
05

Destinataires et sous-traitants

Les données traitées sont accessibles aux seuls administrateurs habilités de VISION Signature, dans la limite des accès strictement nécessaires à l'accomplissement de leurs missions (principe du moindre privilège). Elles peuvent également être communiquées :

  • Aux sous-traitants techniques. Liés par un contrat conforme à l'article 28 du RGPD, garantissant un niveau de protection équivalent.
  • Aux autorités administratives ou judiciaires. Sur réquisition régulière, dans les conditions prévues par la loi (procédure pénale, contrôle URSSAF, contrôle fiscal, demande de la CNIL).
  • Au médiateur de la consommation. En cas de saisine, dans la stricte mesure nécessaire à l'instruction du litige.

Les sous-traitants intervenant dans le traitement sont les suivants :

Hébergement applicatif et base de données
Hetzner Online GmbH — serveurs situés en Allemagne (Union européenne).
Stockage de fichiers et documents
Cloudflare R2 — région européenne (EU). Données chiffrées au repos.
Acheminement des courriers électroniques
Resend Inc. (États-Unis) — sous Data Processing Agreement et clauses contractuelles types adoptées par la Commission européenne.
Authentification fédérée Google
Google LLC (États-Unis) — uniquement lorsque l'utilisateur choisit ce mode de connexion. Encadrée par clauses contractuelles types.
Sécurité anti-automate
Cloudflare Inc. (États-Unis) — service Turnstile, encadré par clauses contractuelles types.
Supervision technique des erreurs
Instance GlitchTip auto-hébergée par la société éditrice (UE). Aucune donnée transmise à un tiers.
Mesure d'audience
Instance Umami auto-hébergée par la société éditrice (UE). Statistiques agrégées et anonymisées, sans cookie de pistage transverse.
Reconnaissance vocale (visites chantier)
Groq Inc. (États-Unis) — modèle OpenAI Whisper Large v3 hébergé sur infrastructure LPU. Audio transmis à des fins de transcription uniquement, non conservé par le sous-traitant au-delà du traitement. Encadré par clauses contractuelles types.
Structuration des comptes-rendus (visites chantier)
OpenAI, L.L.C. (États-Unis) — modèle GPT-4o-mini. Transcription transmise pour extraction structurée. Données non utilisées pour l'entraînement des modèles (politique API par défaut). Encadré par clauses contractuelles types.

En aucun cas les données ne sont vendues, louées, cédées ou échangées à des tiers à des fins commerciales ou publicitaires.

06

Transferts hors Union européenne

Certains sous-traitants (Resend, Google, Cloudflare, Groq, OpenAI) sont susceptibles d'héberger ou de traiter des données aux États-Unis. Ces transferts sont encadrés par les Clauses Contractuelles Types adoptées par la Commission européenne le 4 juin 2021 (Décision 2021/914), assorties, lorsque pertinent, de mesures supplémentaires (chiffrement de bout en bout, pseudonymisation).

La société éditrice a par ailleurs vérifié l'adhésion de ces sous-traitants au cadre dit Data Privacy Frameworkentre l'Union européenne et les États-Unis, là où il leur est applicable, conformément à la décision d'adéquation de la Commission européenne du 10 juillet 2023.

Aucun transfert vers un pays tiers ne bénéficiant pas d'une décision d'adéquation ou de garanties appropriées n'est mis en œuvre.

07

Durées de conservation

Les durées de conservation sont fixées en fonction des finalités, dans le respect des obligations légales et du principe de limitation de la conservation (article 5.1.e du RGPD) :

Compte utilisateur actif
Pendant toute la durée de la relation contractuelle, à compter de la dernière connexion ou interaction.
Compte clôturé (initiative de l'utilisateur ou inactivité prolongée)
Anonymisation immédiate. Conservation en archivage intermédiaire pendant 3 ans à des fins de preuve, conformément à la prescription quinquennale civile (article 2224 du Code civil).
Pièces comptables et factures
10 ans à compter de la clôture de l'exercice, conformément à l'article L.123-22 du Code de commerce.
Pièces de conformité artisan (Kbis, attestations)
Durée de la relation contractuelle, augmentée de 5 ans à compter de sa fin, aux fins de preuve en cas de mise en cause de la responsabilité.
Données liées à un chantier livré
10 ans à compter de la réception des travaux, en cohérence avec la garantie décennale (article 1792 du Code civil).
Journaux de sécurité (audit log)
12 mois, conformément à la doctrine CNIL (délibération du 28 juin 2018). Purge automatique programmée.
Tickets de support clôturés
5 ans à compter de la dernière interaction.
Cookies de session
7 jours glissants au maximum.
Données de prospection (consentement)
3 ans à compter du dernier contact actif de la personne concernée, conformément à la doctrine CNIL.
08

Droits des personnes concernées

Conformément aux articles 12 à 22 du RGPD, vous disposez des droits suivants sur les données vous concernant :

  • Droit d'accès (art. 15). Obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie, accompagnée des informations relatives au traitement.
  • Droit de rectification (art. 16). Faire corriger toute donnée inexacte et faire compléter toute donnée incomplète.
  • Droit à l'effacement (art. 17). Obtenir l'effacement de vos données dans les cas prévus par le RGPD (retrait du consentement, opposition légitime, traitement illicite, obligation légale, fin de la finalité).
  • Droit à la limitation (art. 18). Demander la suspension temporaire du traitement, notamment en cas de contestation de l'exactitude des données.
  • Droit à la portabilité (art. 20). Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine, ou les faire transmettre directement à un autre responsable de traitement, lorsque cela est techniquement possible.
  • Droit d'opposition (art. 21). Vous opposer à un traitement fondé sur l'intérêt légitime, sauf motifs légitimes et impérieux contraires. Vous pouvez à tout moment vous opposer sans motif à un traitement à des fins de prospection.
  • Droit de retirer votre consentement (art. 7.3). À tout moment et sans formalisme, sans que ce retrait remette en cause la licéité des traitements antérieurs.
  • Droit de définir des directives post-mortem (art. 85 LIL). Préciser le sort de vos données après votre décès.
  • Droit de ne pas faire l'objet d'une décision automatisée (art. 22). VISION Signature ne met en œuvre aucune décision produisant des effets juridiques fondée exclusivement sur un traitement automatisé.

Ces droits s'exercent gratuitement par courrier électronique à contact@vision-signature.com, ou par voie postale à l'adresse du siège social. Une réponse motivée vous est apportée dans un délai d'un mois à compter de la réception de la demande, susceptible d'être prolongé de deux mois en cas de complexité ou de pluralité des demandes (article 12.3 du RGPD).

Une justification d'identité pourra vous être demandée en cas de doute raisonnable sur l'identité du demandeur, dans la stricte mesure nécessaire (article 12.6 du RGPD).

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, ou en ligne à l'adresse cnil.fr/fr/plaintes.

09

Sécurité des traitements

Conformément à l'article 32 du RGPD, VISION Signature met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté aux risques :

  • Chiffrement en transit. Protocole TLS 1.3 obligatoire sur l'ensemble des échanges, en-tête HSTS preload activé.
  • Stockage sécurisé des secrets. Mots de passe hashés par algorithme bcrypt avec un facteur de coût élevé, jamais stockés en clair, jamais transmis.
  • Contrôle d'accès. Système d'authentification multi-instance avec isolation stricte des espaces utilisateur et administrateur, claim d'audience, revalidation à chaque requête.
  • Permissions granulaires. Modèle RBAC limitant l'accès aux données aux seuls administrateurs habilités selon leur périmètre d'intervention.
  • Journalisation. Audit log de toutes les actions sensibles (connexions, modifications de rôles, accès documentaires), conservé 12 mois puis purgé automatiquement.
  • Anti-automate. Protection Cloudflare Turnstile sur tous les formulaires sensibles (inscription, connexion, contact, réinitialisation de mot de passe).
  • Validation des fichiers déposés. Contrôle des en-têtes binaires (magic bytes) pour empêcher l'usurpation du type de fichier.
  • Headers de sécurité. Content-Security-Policy stricte, X-Frame-Options DENY, Permissions-Policy restrictive, Referrer-Policy minimal.
  • Sauvegardes. Sauvegardes quotidiennes chiffrées des données, conservées 30 jours, restauration testée régulièrement.
  • Réversibilité. Procédures documentées de portabilité et d'effacement à la demande des personnes concernées.
10

Violations de données

En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, VISION Signature procédera à la notification à la CNIL dans les meilleurs délais et au plus tard dans les 72 heures suivant la prise de connaissance, conformément à l'article 33 du RGPD.

Lorsque la violation est susceptible d'engendrer un risque élevé, les personnes concernées seront informées dans les meilleurs délais conformément à l'article 34 du RGPD, par courrier électronique adressé à l'adresse renseignée dans leur compte.

11

Cookies et traceurs

Conformément à l'article 82 de la Loi Informatique et Libertés et à la délibération CNIL n° 2020-091 du 17 septembre 2020, le Site n'utilise que des traceurs strictement nécessaires à la fourniture du service, exemptés de consentement préalable :

Cookies de session (authjs.user-session-token, authjs.admin-session-token)
Maintien de l'authentification de l'utilisateur. Marqués HttpOnly, Secure, SameSite=Lax. Durée maximale 7 jours, expiration automatique.
Cookies Cloudflare Turnstile (cf-turnstile-*)
Vérification anti-automate lors de la soumission des formulaires sensibles. Durée de session.
Mesure d'audience (Umami auto-hébergé)
Statistiques agrégées et anonymisées, sans identifiant transverse, sans empreinte de l'utilisateur. Conforme à la doctrine CNIL relative aux outils de mesure d'audience exemptés.

Aucun cookie publicitaire, ni de profilage commercial, ni de retargeting tiers n'est déposé. Aucun consentement n'est requis pour les cookies listés ci-dessus dans la mesure où ils sont strictement nécessaires.

12

Mineurs

Le Site n'est pas destiné aux personnes de moins de 18 ans. La société éditrice ne collecte pas sciemment de données concernant des mineurs. Si vous constatez qu'un mineur a renseigné ses données sur le Site, contactez-nous immédiatement à contact@vision-signature.com afin que nous procédions à leur suppression.

13

Spécificités liées à l'activité de tiers de confiance BTP

La société éditrice exerce une activité de mise en relation entre maîtres d'ouvrage particuliers et artisans du bâtiment. À ce titre, certains traitements présentent des spécificités encadrées par le Code de la construction et de l'habitation, le Code civil et le Code du travail :

  • Pièces de conformité des artisans. La conservation prolongée (durée du contrat + 5 ans) répond à l'obligation de vigilance posée par les articles L.8222-1 et suivants du Code du travail (lutte contre le travail dissimulé), ainsi qu'à la nécessité de pouvoir attester du contrôle effectué en cas de mise en cause.
  • Données liées aux chantiers. La conservation pendant la durée de la garantie décennale (article 1792 du Code civil), soit 10 ans à compter de la réception, permet de répondre aux éventuelles actions en responsabilité dirigées contre l'artisan et auxquelles VISION Signature pourrait être appelée à témoigner en qualité de tiers de confiance.
  • Médiation de la consommation. En cas de saisine du médiateur de la consommation référencé en mentions légales, les données nécessaires à l'instruction du litige sont communiquées au médiateur, dans le strict respect de la confidentialité prévue par l'article L.612-3 du Code de la consommation.
  • Données photographiques de chantier. Les photographies déposées par les artisans dans la galerie des réalisations ne sont publiées qu'avec leur garantie expresse de disposer du consentement préalable des propriétaires des biens représentés. VISION Signature peut être amenée à les retirer sur simple demande motivée.
  • Comptes-rendus de visite (dictée vocale). Lorsqu'un administrateur réalise une visite de chantier et la dicte oralement via l'application, l'enregistrement audio est transmis à un modèle de reconnaissance vocale (Groq Whisper Large v3) et la transcription obtenue est structurée par un modèle de langage (OpenAI GPT-4o-mini). L'enregistrement audio est conservé 60 jours maximum puis supprimé automatiquement par lifecycle policy. La transcription, le compte-rendu structuré et le PDF généré sont conservés 10 ans à des fins de preuve contractuelle (Code civil art. 1792 et s.). Aucune donnée n'est utilisée pour l'entraînement des modèles d'IA.
14

Modifications de la politique

La présente politique de confidentialité peut être amendée à tout moment afin de tenir compte des évolutions techniques, légales ou opérationnelles. La date de dernière mise à jour est mentionnée en tête de document.

Toute modification substantielle de nature à affecter les droits ou les attentes raisonnables des personnes concernées fera l'objet d'une information préalable, par courrier électronique adressé à l'adresse renseignée dans le compte de l'utilisateur et par publication sur le Site, dans un délai raisonnable avant son entrée en vigueur.

15

Contact

Courrier électronique
contact@vision-signature.com
Support utilisateurs
vision-signature-support@googlegroups.com
Voie postale
[Adresse du siège social — à compléter]
Autorité de contrôle (CNIL)
3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
Plateforme européenne de litiges
ec.europa.eu/consumers/odr
16

Documents associés

La présente politique s'articule avec les documents suivants, accessibles depuis chaque page du Site et formant ensemble le cadre légal et contractuel applicable :

  • Mentions légales — Identification complète de la société éditrice, du directeur de la publication et de l'hébergeur, en application de l'article 6-III de la LCEN.
  • Conditions générales d'utilisation — Cadre contractuel régissant l'accès au Site et l'utilisation des Services.
  • Charte du réseau — Engagements qualitatifs et déontologiques des Artisans partenaires sélectionnés.