Politique de confidentialité

1. Responsable du traitement

La société Permis Clair, Société par actions simplifiée à associé unique (SASU), immatriculée au RCS de La Roche-sur-Yon sous le numéro 105 578 389, représentée par son Président Baptiste Dubreil, agit en qualité de responsable du traitement des données personnelles collectées sur ce site. Contact : contact@permisclair.fr.

2. Données collectées et finalités

Nous collectons les données suivantes pour les finalités indiquées :

• Création de compte et authentification (base légale : exécution du contrat, art. 6.1.b RGPD) : adresse e-mail, nom (optionnel), avatar (si connexion sociale Google ou Apple).
• Analyse de faisabilité et constitution du dossier (base légale : exécution du contrat) : adresse du projet, description, surfaces SDP, type de projet.
• Paiement (base légale : exécution du contrat) : données de paiement traitées par Stripe — nous ne stockons pas vos numéros de carte.
• Communications marketing(base légale : consentement, art. 6.1.a RGPD) : e-mail, uniquement si vous avez confirmé l'opt-in lors de l'inscription.
• Mesure d'audience publicitaire et conversion (base légale : consentement, art. 6.1.a RGPD) : données de navigation, identifiants de cookies de mesure (_ga, _ga_*, _gcl_*) et, le cas échéant, adresse e-mail chiffrée de manière irréversible (hachage SHA-256)pour améliorer la mesure des conversions sans transmettre votre e-mail en clair. Ces traceurs ne sont déposés qu'après votre consentement via le bandeau cookies. Détail dans notre politique des cookies.

3. Sous-traitants et transferts de données

Vos données sont susceptibles d'être transmises aux sous-traitants suivants dans le cadre de nos services. Chaque sous-traitant a signé ou est en cours de signature d'un Accord de traitement de données (DPA) conforme au RGPD.

Hébergement et infrastructure

• Vercel (hébergement, Edge Network) — Union européenne
• Supabase (base de données, stockage) — région eu-west-3 Paris

Authentification — Transfert hors UE

Nous utilisons Clerk(Clerk.com, Inc., États-Unis) pour l'authentification de vos comptes (connexion par e-mail, Google ou Apple). Clerk n'offre pas de résidence des données en Union européenne sur ses plans actuels.

Vos données d'authentification (adresse e-mail, métadonnées de session) sont donc transférées et traitées aux États-Unis par Clerk. Ces transferts sont encadrés par :

• Le Data Privacy Framework (DPF)UE–États-Unis — certification Clerk (juillet 2023), décision d'adéquation de la Commission européenne.
• Des Clauses Contractuelles Types (CCT / SCCs) en tant que garantie contractuelle subsidiaire, applicables si le DPF venait à être invalidé.
• Un Accord de traitement de données (DPA) — signature en cours avec Clerk (BLK-015 — bloquant publish public).

Pour toute question sur ces transferts ou pour exercer vos droits, contactez-nous à contact@permisclair.fr.

Paiement

• Stripe (paiement CB, Apple Pay, PayPal, Klarna) — États-Unis, CCT applicables

Communication

• Resend (emails transactionnels) — Union européenne

Observabilité

• Sentry (monitoring erreurs) — données anonymisées, sans PII

Mesure d'audience

• Plausible(mesure d'audience sans cookie, données agrégées et anonymes) — Union européenne. Base légale : intérêt légitime. Actif sans consentement, indépendant des cookies publicitaires ci-dessous (canal de repli, DEC-003).

Mesure publicitaire et conversion — Transfert hors UE

Pour mesurer l'efficacité de nos campagnes publicitaires, nous faisons appel aux services suivants. Ils ne sont activés qu'après votre consentement (base légale : consentement, art. 6.1.a RGPD). Vous pouvez le retirer à tout moment via le bandeau cookies.

• Google— Google Analytics 4 et Google Ads (Google Ireland Limited et Google LLC, États-Unis). Finalités : mesure d'audience publicitaire, attribution des conversions, optimisation des campagnes (y compris « Enhanced Conversions » via e-mail haché SHA-256).
• Stape (Stape Inc.) — conteneur serveur de gestion de balises (server-side tagging), hébergé en Union européenne (Francfort). Finalité : relai des mesures de conversion vers Google de façon maîtrisée.

Transfert hors Union européenne (Google, États-Unis): ces transferts sont encadrés par la décision d'adéquation Data Privacy Framework (DPF) UE–États-Unis (Google y est certifié) et, à titre subsidiaire, par des Clauses Contractuelles Types (CCT / SCCs) de la Commission européenne. Un Accord de traitement de données (DPA) est en place avec Google. Stape héberge ses données en Union européenne (Francfort).

Le détail des cookies déposés (noms, finalités, durées) figure dans notre politique des cookies.

4. Durée de conservation

• Données de compte : durée de la relation contractuelle + 5 ans (obligations légales)
• Données de paiement : 10 ans (obligations comptables, art. L.123-22 Code de commerce)
• Données marketing : jusqu'à retrait du consentement
• Mesure d'audience publicitaire (cookies Google) : 13 mois maximum, ou jusqu'au retrait du consentement
• Logs techniques anonymisés : 12 mois
• Journal d'audit des actions utilisateur (table technique intake_audit_log) : 5 ansen mode append-only. Base légale : obligation légale au sens de l'art. 6.1.c RGPD (art. L.221 Code de la consommation — charge de la preuve exercice du droit de rétractation L.221-26) et intérêt légitime au sens de l'art. 6.1.f RGPD (prescription quinquennale commerciale, art. L.110-4 Code de commerce). Cette conservation est techniquement garantie par une contrainte d'immutabilité (aucune modification ou suppression possible). En cas de demande d'effacement (art. 17 RGPD), les données sont pseudonymisées dans les limites imposées par ces obligations légales.

5. Vos droits

Conformément au RGPD (art. 15 à 22), vous disposez des droits suivants :

• Droit d'accès à vos données personnelles
• Droit de rectification
• Droit à l'effacement (« droit à l'oubli », art. 17 RGPD)
• Droit à la limitation du traitement
• Droit à la portabilité
• Droit d'opposition au traitement
• Droit de retrait du consentement (marketing)

Pour exercer ces droits : contact@permisclair.fr. Réponse sous 30 jours. Vous disposez également du droit d'introduire une réclamation auprès de la CNIL (cnil.fr).

6. Cookies et traceurs

Notre site utilise trois catégories de traceurs :

• Traceurs strictement nécessaires(sans consentement, art. 82 loi Informatique et Libertés) : session d'authentification (Clerk), sécurité, et le cookie de consentement pc_consent qui mémorise vos choix pendant 13 mois.
• Mesure d'audience sans cookie: Plausible Analytics, sans cookie et sans suivi inter-sites, fondée sur l'intérêt légitime — active sans consentement.
• Mesure publicitaire et conversion (Google Analytics 4, Google Ads) : cookies _ga, _ga_*, _gcl_* déposés uniquement après votre consentement. Refus aussi simple que l'acceptation ; consentement conservé 13 mois (recommandation CNIL).

Le détail complet des cookies, finalités, durées et la gestion du consentement figure dans notre politique des cookies.