Politique de confidentialité
Dernière mise à jour : 1ᵉʳ juillet 2026
Atris attache une importance particulière à la protection de vos données personnelles. La présente politique décrit comment nous collectons, utilisons et conservons vos données dans le cadre du service atris.immo, en application du Règlement (UE) 2016/679 (RGPD) et de la loi Informatique et Libertés.
1. Responsable de traitement et double qualité d'Atris
Le responsable de traitement est Atris SAS, dont les coordonnées figurent dans les mentions légales. Pour toute question relative à vos données, contactez-nous à support@atris-groupe.com.
Atris intervient en deux qualités distinctes :
- Responsable de traitement pour les données de votre compte et de votre activité professionnelle (objet principal de la présente politique) ;
- Sous-traitant, au sens de l'article 28 du RGPD et pour votre compte, lorsque vous saisissez et transmettez via la plateforme les données de vos clients (acquéreurs). Vous restez alors responsable de traitement de votre relation client. Ce cadre est précisé dans la clause de sous-traitance (DPA) annexée aux Conditions Générales d'Utilisation.
2. Données collectées
Selon votre interaction avec le service, nous traitons les catégories suivantes :
- Compte professionnel (Pro) : civilité, nom, prénom, fonction, email, téléphone, mot de passe (haché), photo de profil et logo le cas échéant ; en cas de connexion « Sign in with Google », identifiant Google ; données d'authentification à double facteur si vous l'activez.
- Données professionnelles et réglementaires : cabinet, SIREN, adresse professionnelle, effectif, données d'entreprise issues du registre national (INPI, dont extrait K-bis), statuts réglementaires (Carte T, ORIAS / CIF / IOBSP), numéro de Carte T, numéro ORIAS, et les justificatifs associés (attestation RCP, Carte T, attestation ORIAS).
- Justificatif d'identité (CNI) : photo de la pièce d'identité (recto / verso), conservée chiffrée pour la vérification de votre habilitation professionnelle. Une vérification automatisée de cohérence est réalisée via un service d'analyse d'image (voir §4). Aucune décision produisant des effets juridiques n'est prise de manière entièrement automatisée : un agent Atris intervient systématiquement.
- Demande de contact : nom, prénom, email, téléphone, programme concerné, message libre.
- Données techniques : adresse IP, agent utilisateur, journaux d'accès, événements applicatifs (Sentry).
3. Finalités, bases légales et durées de conservation
| Finalité | Base légale | Durée de conservation |
|---|---|---|
| Création et gestion du compte Pro, fourniture du service | Exécution du contrat (art. 6.1.b RGPD) | Durée de la relation contractuelle, puis archivage limité jusqu'à 5 ans |
| Vérification d'habilitation (CNI, Carte T, RCP, K-bis) | Exécution du contrat, obligation légale (loi Hoguet) et intérêt légitime | CNI : supprimée dès la vérification réalisée. Autres justificatifs : durée de la relation + archivage court (preuve de la vérification) |
| Mise en relation acheteur ⇄ promoteur (formulaire de contact) | Consentement | 3 ans à compter du dernier contact |
| Facturation et obligations comptables | Obligation légale | 10 ans (Code de commerce, art. L123-22) |
| Preuve de l'acceptation des conditions et des attestations liées à une dénonciation émise | Intérêt légitime et obligation d'accountability (art. 5.2 RGPD) | Durée alignée sur la prescription applicable, y compris après suppression du compte (voir §6) |
| Sécurité, prévention des abus, journaux de connexion | Intérêt légitime | 12 mois |
4. Destinataires et sous-traitants
Vos données ne sont ni vendues ni louées. Elles sont accessibles aux seuls personnels habilités d'Atris et aux prestataires suivants, agissant comme sous-traitants au sens de l'article 28 RGPD, chacun lié à Atris par un accord de traitement des données (DPA) :
- Hetzner Online GmbH (Allemagne) — hébergement et stockage de fichiers.
- Resend Inc. (États-Unis) — envoi d'emails transactionnels.
- Google LLC (États-Unis) — connexion « Sign in with Google », si vous l'utilisez.
- Anthropic PBC (États-Unis) — vérification automatisée de cohérence de la pièce d'identité (analyse d'image).
- Functional Software, Inc. dba Sentry (États-Unis) — supervision applicative.
- BetterStack — supervision de disponibilité.
- INPI et API Adresse (data.gouv.fr / DINUM) (France) — vérification d'entreprise et géocodage d'adresse.
- Promoteurs immobiliers partenaires — destinataires de la demande de contact que vous nous adressez à leur attention, ou des données d'une dénonciation que vous émettez.
Vos données peuvent également être transmises aux autorités lorsque la loi l'exige.
5. Transferts hors Union européenne
Certains sous-traitants sont établis aux États-Unis. Les transferts vers Resend, Google et Anthropic reposent sur la décision d'adéquation de la Commission européenne du 10 juillet 2023 (EU-U.S. Data Privacy Framework), ces organismes étant certifiés à ce cadre (art. 45 RGPD). Les transferts vers les autres sous-traitants situés hors UE (Sentry, BetterStack) sont encadrés par les clauses contractuelles types adoptées par la Commission européenne (décision 2021/914, art. 46 RGPD), complétées de mesures techniques (chiffrement en transit et au repos). Vous pouvez obtenir des informations sur ces garanties à support@atris-groupe.com.
6. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès et de rectification
- Droit à l'effacement (« droit à l'oubli »)
- Droit à la limitation du traitement
- Droit à la portabilité
- Droit d'opposition
- Droit de définir des directives post-mortem
Limite au droit à l'effacement : la suppression de votre compte n'efface pas les preuves d'acceptation des conditions ni les données liées à une transaction déjà émise (par exemple une dénonciation transmise à un promoteur). Ces éléments sont conservés au titre de nos obligations légales et de l'intérêt légitime des tiers concernés (promoteur), pour les durées indiquées au §3.
Pour exercer ces droits, écrivez-nous à support@atris-groupe.com. Une preuve d'identité pourra être demandée et nous répondons dans un délai d'un mois. Vous disposez également du droit d'introduire une réclamation auprès de la CNIL.
7. Cookies
Atris utilise uniquement des cookies techniques strictement nécessaires au fonctionnement du service (authentification, tokens de session). Aucun cookie publicitaire ou de mesure d'audience n'est déposé. La mesure d'audience interne du parcours de connexion repose sur un identifiant anonyme conservé uniquement en mémoire le temps de la visite, jamais enregistré dans votre navigateur — il ne requiert donc aucun consentement.
8. Sécurité
Les mots de passe sont stockés sous forme de hash bcrypt. Les justificatifs d'identité sont stockés sur un espace privé à accès restreint, en dehors de la racine web, avec validation de signature de fichier. L'authentification à double facteur est disponible. Les secrets de production sont chiffrés au repos (dotenvx ECIES + AES-256). Les communications sont chiffrées TLS 1.2+ (HTTPS, HSTS).
9. Modifications
Cette politique peut évoluer. La date de dernière mise à jour figure en haut de page. En cas de modification substantielle, les utilisateurs actifs sont informés et invités à accepter la nouvelle version à leur prochaine connexion.