Politique de confidentialité

Dernière mise à jour : 11 mai 2026

1. Responsable du traitement

Le responsable du traitement des données personnelles est la société Enquête d'immo, SAS au capital de 1 000 €, immatriculée au RCS Nanterre sous le numéro 994 523 264, dont le siège social est situé 14 Rue des Pavillons, 92800 Puteaux.
Représentée par Benjamin Dulieu, Président.
Contact : [email protected]

2. Personnes concernées

La présente politique s'applique à deux catégories de personnes :

• Prospects et clients : personnes physiques qui prennent contact via le site, paient des honoraires de service ou confient une mission d'accompagnement à Enquête d'immo.
• Utilisateurs du CRM : commerciaux et administrateurs disposant d'un compte pour gérer la relation prospect / client.

Une partie des prospects nous est transmise par des commercialisateurs partenaires (sociétés qui commercialisent des programmes immobiliers neufs) dans le cadre d'un mandat d'agent indépendant signé entre Enquête d'immo et le partenaire. Dans ce cas :

• Le commercialisateur partenaire reste responsable du recueil du consentement à la source (formulaire d'origine sur sa plateforme).
• Enquête d'immo agit comme prestataire mandataire et reprend contact avec le prospect en s'identifiant explicitement comme mandataire du commercialisateur (mention dans le premier message).
• La base légale du traitement par Enquête d'immo est l'exécution du contrat de mandat (art. 6.1.b RGPD) combinée au consentement recueilli en amont par le partenaire.
• Le prospect peut à tout moment exercer ses droits (opt-out, accès, effacement) directement auprès d'Enquête d'immo, qui les fera également respecter chez le partenaire si la demande s'étend à lui.

3. Données collectées

Prospects et clients :

• Identification : nom, prénom, email, téléphone
• Projet immobilier : ville, code postal, secteur, budget, type de bien, délai d'achat
• Interactions : historique des messages WhatsApp / email / SMS, appels, RDV planifiés, comptes-rendus de visioconférence
• Paiements : statut, montant et date des honoraires (les données de carte bancaire sont gérées par Stripe et ne transitent jamais par nos serveurs)
• Consentement RGPD : horodatage et nature des consentements donnés / retirés

Utilisateurs du CRM :

• Identification : nom, prénom, email professionnel
• Données de connexion : adresse IP, logs d'authentification, horodatage
• Données d'utilisation : actions effectuées dans le CRM

4. Finalités et bases légales

Finalité	Base légale
Prospection commerciale, prise de RDV, mission d'accompagnement immobilier	Consentement explicite (case à cocher) ou exécution du contrat
Envoi de notifications WhatsApp / email de suivi	Consentement (révocable à tout moment via le lien d'opt-out présent dans chaque message)
Facturation, comptabilité, lutte contre la fraude	Obligation légale
Authentification, sécurité, audit interne	Intérêt légitime
Scoring automatisé des leads, séquences automatisées	Intérêt légitime (cf. section 8)

5. Durées de conservation

• Prospects sans suite : 3 ans à compter du dernier contact actif (article 5 du RGPD, position CNIL).
• Clients ayant signé une mission : durée de la relation puis 5 ans (prescription civile), 10 ans pour les pièces comptables (Code de commerce art. L 123-22).
• Paiements et factures : 10 ans.
• Logs techniques et d'audit : 12 mois.
• Opt-out : conservation permanente du marqueur d'opt-out pour respecter le retrait du consentement.

6. Destinataires et sous-traitants

Les données peuvent être transmises aux sous-traitants suivants, strictement pour les besoins du service :

• Cloudflare, Inc. (États-Unis) : hébergement, base de données D1, stockage R2, sécurité réseau, protection DDoS.
• Twilio, Inc. (États-Unis / Irlande) : envoi de messages WhatsApp et SMS, téléphonie.
• Vapi.ai (États-Unis) : moteur d'appels téléphoniques automatisés par IA, utilisé uniquement après consentement.
• Anthropic, Inc. (États-Unis) : modèle Claude pour le scoring qualitatif des leads, l'analyse de transcriptions et la recherche assistée de programmes (aucun apprentissage sur les données client).
• Fireflies.ai (États-Unis) : enregistrement et transcription des visioconférences de RDV (uniquement quand la fonctionnalité est activée).
• Stripe Payments Europe Ltd. (Irlande) : encaissement des honoraires et gestion des remboursements.
• Brevo (Sendinblue) (France) : envoi d'emails transactionnels.
• Google Ireland Ltd. (Irlande) : synchronisation de l'agenda commercial via Google Calendar (uniquement pour les utilisateurs du CRM).

Aucune donnée personnelle n'est vendue, louée ou échangée avec des tiers à des fins commerciales.

7. Transferts hors Union européenne

Certains sous-traitants (Cloudflare, Twilio, Vapi, Anthropic, Fireflies) sont situés aux États-Unis. Les transferts vers ces destinataires sont encadrés par le Data Privacy Framework (décision d'adéquation de la Commission européenne du 10 juillet 2023) et / ou par les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne.

La base de données principale (Cloudflare D1) est hébergée dans la région Europe de l'Ouest (WEUR) du fournisseur depuis le 11 mai 2026 (datacenter Londres / Amsterdam / Paris / Francfort). Les sauvegardes quotidiennes sont stockées sur Cloudflare R2, également dans l'Union européenne.

8. Prise de décision automatisée et profilage

Le CRM met en œuvre les traitements automatisés suivants :

• Scoring de qualification : un score qualitatif est calculé après chaque RDV à partir du compte-rendu et des informations transmises. Ce score oriente la priorité de relance mais ne décide pas seul du sort du prospect : toute décision (refus de mission, transfert, archivage) est revue par un humain.
• Séquences automatisées : envoi planifié de messages WhatsApp / email / SMS en fonction du statut du prospect. Le contenu suit des modèles validés et chaque message contient un lien d'opt-out fonctionnel.
• Détection de doublons : rapprochement automatique sur téléphone ou email pour éviter les sollicitations redondantes.

Conformément à l'article 22 du RGPD, vous pouvez à tout moment demander une intervention humaine, exprimer un point de vue ou contester une décision automatisée en écrivant à [email protected].

9. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

• Droit d'accès à vos données personnelles
• Droit de rectification des données inexactes
• Droit à l'effacement (« droit à l'oubli »)
• Droit à la limitation du traitement
• Droit à la portabilité des données
• Droit d'opposition au traitement et au profilage
• Droit de retirer votre consentement à tout moment (sans effet rétroactif)
• Droit de définir des directives post-mortem

Pour exercer ces droits, écrivez à [email protected] en précisant l'objet de votre demande. Nous répondons sous un délai d'un mois maximum à compter de la réception.

Pour révoquer immédiatement le consentement à recevoir des messages, utilisez le lien « Plus d'envois » présent dans chaque WhatsApp ou email, ou répondez STOP à un SMS.

10. Cookies

Le CRM Quête utilise uniquement des cookies strictement nécessaires au fonctionnement du service (authentification, session, préférences). Aucun cookie publicitaire, de mesure d'audience ou de profilage tiers n'est déposé. Ces cookies fonctionnels ne nécessitent pas de consentement préalable conformément à la position de la CNIL.

11. Sécurité

Les mesures techniques et organisationnelles mises en œuvre comprennent :

• Chiffrement TLS / HTTPS de toutes les communications
• Chiffrement au repos des bases de données (Cloudflare D1)
• Authentification forte avec verrouillage en cas d'échecs répétés
• Cloisonnement des accès administrateur
• Journalisation et audit des actions sensibles
• Protection DDoS et pare-feu applicatif (Cloudflare)
• Sauvegardes et capacité de restauration ponctuelle (Time Travel D1)

12. Réclamation

Si vous estimez que vos droits ne sont pas respectés, vous pouvez à tout moment adresser une réclamation auprès de la CNIL : www.cnil.fr.

---

Consultez également nos mentions légales et notre FAQ. Retour à l'accueil ou voir les tarifs et la démo.