Politique de confidentialité
Dernière mise à jour : 2026-05-13
La présente Politique de confidentialité décrit la manière dont Steven MORVAN, entrepreneur individuel (EI) exerçant sous la marque Scenimmo, collecte, utilise et protège vos données personnelles dans le cadre de l’utilisation du service accessible à l’adresse scenimmo.fr (ci-après le « Service »).
Elle est rédigée en application du Règlement général sur la protection des données (Règlement UE 2016/679, ci-après le « RGPD ») et de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi « Informatique et Libertés »).
1. Identité et coordonnées du Responsable de traitement
| Champ | Valeur |
|---|---|
| Responsable de traitement | Steven MORVAN, entrepreneur individuel (EI) |
| Forme | Micro-entreprise |
| SIREN | 849 623 863 |
| Siège | Rue de la Vallée, 78970 Mézières-sur-Seine, France |
| Contact RGPD | contact@scenimmo.fr |
| Directeur de la publication | Steven MORVAN |
1.1. Délégué à la protection des données (DPO)
Aucun délégué à la protection des données n’est désigné. Le traitement opéré n’entre pas dans les cas de désignation obligatoire prévus à l’article 37 du RGPD : absence de traitement à grande échelle de données sensibles au sens de l’article 9, absence de profilage systématique au sens de l’article 22, absence de surveillance régulière et systématique de personnes à grande échelle.
Cette analyse est réévaluée périodiquement et au moins une fois par an. Toute question relative aux données personnelles peut être adressée directement au Responsable de traitement à contact@scenimmo.fr.
2. Données collectées, finalités, bases légales et durées de conservation
Les traitements mis en œuvre dans le cadre du Service sont les suivants :
| Catégorie | Données collectées | Finalité | Base légale | Durée de conservation |
|---|---|---|---|---|
| Compte utilisateur | Adresse e-mail, codes OTP générés, identifiants techniques de session | Authentification, gestion du Compte, identification du Client | Exécution du contrat — art. 6(1)(b) RGPD | Durée de l’abonnement actif + 3 ans (prescription des actions commerciales — art. L110-4 du Code de commerce) |
| Facturation | Nom commercial / raison sociale, adresse de facturation, SIREN, montants payés, factures émises, mode de paiement (carte, via Stripe — Scenimmo ne stocke pas le numéro de carte) | Émission des factures, recouvrement, conformité comptable et fiscale | Obligation légale — art. 6(1)© RGPD + exécution du contrat — art. 6(1)(b) RGPD | 10 ans à compter de la clôture de l’exercice (art. L123-22 du Code de commerce et art. L102 B du Livre des procédures fiscales) |
| Images sources | Photos immobilières téléversées par le Client | Exécution du Service de traitement par IA commandé par le Client | Exécution du contrat — art. 6(1)(b) RGPD | Conservation pendant toute la durée du Compte actif. Suppression définitive à l’issue d’un délai de 30 jours à compter de la résiliation, conformément à l’article 15.5 des CGU |
| Résultats IA | Images, vidéos ou contenus produits par les modèles d’IA à partir des Images sources | Mise à disposition au Client de ses créations | Exécution du contrat — art. 6(1)(b) RGPD | Identique aux Images sources (durée du Compte + délai de récupération de 30 jours après résiliation) |
| Logs techniques | Adresse IP, User-Agent, horodatage, identifiants de requête | Sécurité du Service, prévention des accès frauduleux et abusifs, audit, lutte contre la fraude | Intérêt légitime — art. 6(1)(f) RGPD | 1 an maximum à compter de la création du log (recommandation CNIL) |
| Cookies essentiels | Cookies de session, préférence de thème, mémorisation du choix de consentement | Fonctionnement du Service, mémorisation des préférences indispensables | Intérêt légitime / dispense de consentement — art. 82 loi 78-17 | Durée de la session ou 13 mois maximum pour la mémorisation du consentement |
| Communications support | E-mails échangés via contact@scenimmo.fr, contenu des messages, pièces jointes éventuelles |
Traitement des demandes du Client, gestion des réclamations, exercice des droits RGPD | Intérêt légitime — art. 6(1)(f) + exécution du contrat — art. 6(1)(b) | Durée d’utilité de la demande + 3 ans après le dernier contact |
2.1. Données non collectées
Aucune donnée des catégories suivantes n’est collectée : opinions politiques, religieuses ou philosophiques, données de santé, données biométriques d’identification au sens de l’article 9 du RGPD, données relatives à la vie sexuelle, origine raciale ou ethnique, appartenance syndicale.
Aucun outil analytique (Google Analytics, Matomo, PostHog ou équivalent) n’est actuellement déployé sur le Service. Aucune donnée comportementale n’est collectée à des fins de mesure d’audience.
2.2. Données issues de tiers
Aucune donnée vous concernant n’est collectée auprès de tiers ni issue de courtage de données. Toutes les données traitées sont fournies directement par vous lors de la création du Compte ou de l’utilisation du Service.
3. Recommandation de minimisation aux Clients
Le Service est destiné au traitement de photographies de biens immobiliers. Il ne nécessite pas, pour fonctionner, la présence de personnes physiques identifiables, de plaques d’immatriculation lisibles ou de numéros d’adresse visibles.
Au titre du principe de minimisation des données (art. 5(1)© du RGPD), nous recommandons au Client, avant tout téléversement, de :
- masquer ou flouter les visages des personnes identifiables présentes sur les photos (occupants, voisins, passants),
- masquer ou flouter les plaques d’immatriculation des véhicules,
- masquer ou flouter les numéros de rue ou panneaux d’adresse lisibles si la confidentialité de l’adresse est souhaitée.
Une fonctionnalité de prétraitement automatique est à l’étude et sera déployée dans une version ultérieure du Service afin d’automatiser ces masquages côté client avant transmission aux sous-traitants techniques.
4. Destinataires et sous-traitants techniques
Vos données sont accessibles aux sous-traitants techniques strictement nécessaires à la fourniture du Service. Chaque sous-traitant est lié par un contrat de sous-traitance conforme à l’article 28 du RGPD.
4.1. Liste des sous-traitants
| Sous-traitant | Finalité | Localisation des données | Cadre du transfert hors UE |
|---|---|---|---|
| OVH SAS (Roubaix, France) | Hébergement applicatif (front Nuxt, API serveur, base de données PostgreSQL auto-hébergée et orchestration interne des jobs asynchrones) | France (Gravelines) | Sans objet (intra-UE) |
| Cloudflare, Inc. (service Cloudflare R2) | Stockage objet des Images sources et des Résultats IA | Restriction juridictionnelle « Union européenne » activée | Sans objet (restriction UE active) |
| Stripe Payments Europe Limited | Traitement des paiements, facturation, gestion des abonnements et des données de carte bancaire | Irlande, UE | Sans objet (intra-UE) |
| Brevo (Sendinblue SAS) | Envoi des e-mails transactionnels (codes OTP, confirmations, reçus, factures) | France | Sans objet (intra-UE) |
| Sous-traitant spécialisé en génération de textes par intelligence artificielle (modèle de langage) | Génération des textes d’annonces immobilières à partir des extraits du mandat, après scrubbing des données personnelles directement identifiantes côté serveur. Analyse vision optionnelle des Images sources lorsque la fonctionnalité est activée. Opt-out d’entraînement activé par défaut conformément au DPA conclu avec ce sous-traitant | États-Unis | Clauses Contractuelles Types + DPA |
| Outil d’observabilité erreurs serveur et front-end | Suivi des erreurs (stack traces, contexte technique). Le scrubbing des données personnelles est activé dans le SDK avant capture | États-Unis | Clauses Contractuelles Types |
| Sous-traitant spécialisé en génération d’images par intelligence artificielle, situé hors Union européenne | Génération et retouche d’Images par IA (remplacement de ciel, anonymisation, home staging virtuel) à partir des Images sources transmises pour le temps strictement nécessaire à la production du Résultat. Les Images ne sont pas conservées par ce sous-traitant au-delà du traitement | Hors Union européenne | Clauses Contractuelles Types approuvées par la Commission européenne et analyse d’impact des transferts (TIA) en cours de formalisation par le Responsable de traitement |
4.2. Identification individuelle du sous-traitant IA
Conformément à l’arrêt de la Cour de justice de l’Union européenne du 12 janvier 2023 dans l’affaire C-154/21, Österreichische Post, le nom commercial du sous-traitant spécialisé en génération d’images par IA ainsi que celui des autres sous-traitants techniques mentionnés au § 4.1 peuvent vous être communiqués individuellement, sur demande d’accès formulée au titre de l’article 15 du RGPD à l’adresse contact@scenimmo.fr.
4.3. Évolution du panel de sous-traitants
Le Responsable de traitement peut faire évoluer la liste des sous-traitants pour des raisons techniques, économiques ou de sécurité, sous réserve d’un niveau de protection équivalent. Cette évolution n’a pas pour effet de modifier les finalités ni les bases légales décrites au point 2.
4.4. Aucune commercialisation
Aucune donnée personnelle n’est cédée, vendue ou louée à des tiers à des fins commerciales, publicitaires ou de profilage. Aucun partage de données avec des courtiers de données, plateformes publicitaires ou réseaux sociaux n’est mis en œuvre.
5. Transferts hors Union européenne
Trois sous-traitants impliquent un transfert de données hors de l’Union européenne :
- le sous-traitant spécialisé en génération de textes par IA (modèle de langage) (États-Unis) — extraits du mandat après scrubbing PII pour la génération des textes d’annonces, et Image source pour l’analyse vision optionnelle lorsqu’elle est activée,
- l’outil d’observabilité erreurs (États-Unis) — données techniques d’erreur, scrubbing PII activé,
- le sous-traitant spécialisé en génération d’images par IA (hors UE) — Images sources transmises pour le traitement par IA (génération et retouche).
5.1. Garanties applicables
Tous ces transferts sont encadrés par les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne par sa décision d’exécution (UE) 2021/914 du 4 juin 2021, conformément à l’article 46 du RGPD, et accessibles à l’adresse suivante :
5.2. Analyse d’impact des transferts (TIA)
Pour les flux les plus sensibles, et notamment pour le transfert d’Images au sous-traitant spécialisé en génération d’images par IA situé hors Union européenne, une analyse d’impact des transferts est en cours de formalisation conformément aux Recommandations 01/2020 du Comité européen de la protection des données (EDPB) sur les mesures complémentaires aux outils de transfert. Cette analyse évalue le niveau de protection effectif dans le pays de destination et les mesures complémentaires techniques, contractuelles et organisationnelles mises en œuvre.
5.3. Engagements opérationnels relatifs au sous-traitant IA
Pour le traitement par le sous-traitant spécialisé en génération d’images par IA :
- les Images sources sont transmises de manière éphémère, le temps strictement nécessaire à la production du Résultat (quelques minutes),
- les Images sources et les Résultats ne sont pas conservés par ce sous-traitant au-delà de ce traitement, conformément au DPA conclu avec ce sous-traitant,
- les Images stockées de manière persistante sur Cloudflare R2 (durée du Compte actif) ne quittent pas l’Union européenne ; seul le flux de traitement par IA transite hors UE, après quoi le Résultat est rapatrié pour stockage en UE.
5.4. Schrems II
Conformément à l’arrêt CJUE 16 juillet 2020, C-311/18, Schrems II, le Responsable de traitement reste vigilant quant à l’évolution du cadre juridique applicable aux transferts internationaux et reverra ses garanties en cas d’invalidation ou de modification des instruments utilisés.
6. Sécurité des données (article 32 du RGPD)
Les mesures techniques et organisationnelles suivantes sont mises en œuvre pour protéger les données :
6.1. Mesures techniques
- Chiffrement en transit : TLS 1.2 ou supérieur sur l’ensemble des flux entre le navigateur du Client, le Service et les sous-traitants.
- Chiffrement au repos : AES-256 par défaut sur Cloudflare R2 (stockage des Images) et chiffrement disque (LUKS / équivalent) sur l’instance PostgreSQL auto-hébergée chez OVH (base de données).
- Authentification : authentification sans mot de passe (passwordless) par code à usage unique (OTP) envoyé par e-mail. Aucun mot de passe n’est stocké.
- Sauvegardes : sauvegardes chiffrées de la base de données effectuées de manière régulière par l’Éditeur, exportées vers le stockage objet Cloudflare R2 (juridiction UE). Les fichiers d’Images stockés sur Cloudflare R2 ne font pas l’objet de sauvegardes distinctes, le Service IA pouvant régénérer un Résultat à partir de l’Image source téléversée.
- Logs de sécurité conservés 1 an maximum.
- Scrubbing des données personnelles dans les outils d’observabilité avant capture.
6.2. Mesures organisationnelles
- Accès administrateur restreint au seul Responsable de traitement, authentifié par OTP.
- Sous-traitants sélectionnés au regard de leurs garanties de sécurité et liés par des contrats de sous-traitance conformes à l’article 28 du RGPD.
- Revue annuelle des garanties de sécurité des sous-traitants.
6.3. Notification de violation
En cas de violation de données personnelles susceptible d’engendrer un risque pour les droits et libertés des personnes concernées, le Responsable de traitement notifie la CNIL dans un délai de 72 heures conformément à l’article 33 du RGPD et, en cas de risque élevé, informe sans délai les personnes concernées conformément à l’article 34 du RGPD.
7. Vos droits
Conformément aux articles 15 à 22 du RGPD et aux articles correspondants de la loi 78-17, vous disposez sur vos données personnelles des droits suivants :
| Droit | Description | Article RGPD |
|---|---|---|
| Droit d’accès | Obtenir confirmation que des données vous concernant sont traitées et en obtenir une copie | art. 15 |
| Droit de rectification | Faire corriger des données inexactes ou compléter des données incomplètes | art. 16 |
| Droit à l’effacement | Demander la suppression de vos données dans les cas prévus par le RGPD | art. 17 |
| Droit à la limitation | Demander la suspension temporaire d’un traitement dans les cas prévus par le RGPD | art. 18 |
| Droit à la portabilité | Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable de traitement | art. 20 |
| Droit d’opposition | Vous opposer, pour des raisons tenant à votre situation particulière, à un traitement fondé sur l’intérêt légitime | art. 21 |
| Droit de retrait du consentement | Retirer votre consentement à tout moment, sans que cela n’affecte la licéité du traitement antérieur | art. 7(3) |
| Directives post-mortem | Définir des directives relatives à la conservation, à l’effacement et à la communication de vos données personnelles après votre décès | art. 85 loi 78-17 |
7.1. Modalités d’exercice
Pour exercer l’un quelconque de ces droits, adressez votre demande par e-mail à contact@scenimmo.fr. Précisez le droit que vous souhaitez exercer et joignez, si nécessaire, un justificatif d’identité en cas de doute raisonnable sur votre identité.
7.2. Délai de réponse
Le Responsable de traitement répond à votre demande dans un délai d’un (1) mois à compter de sa réception, conformément à l’article 12(3) du RGPD. Ce délai peut être prolongé de deux mois en raison de la complexité ou du nombre de demandes, après information du demandeur.
7.3. Droit de réclamation auprès de la CNIL
Si, après nous avoir contactés, vous estimez que vos droits ne sont pas respectés, vous avez le droit d’introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) :
- 3 place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
- Site : www.cnil.fr
- Plainte en ligne : https://www.cnil.fr/fr/plaintes
8. Cookies et traceurs
Les modalités relatives aux cookies déposés sur votre terminal sont décrites dans une page dédiée : Politique de cookies.
À ce jour, aucun cookie ou traceur soumis à consentement (analytique, publicitaire, de mesure d’audience tierce) n’est déposé sur le Service. Seuls les cookies strictement nécessaires au fonctionnement du Service et à la mémorisation des préférences indispensables (session, choix de consentement, thème) sont utilisés.
9. Modifications de la présente Politique
Le Responsable de traitement peut modifier la présente Politique pour refléter une évolution du cadre légal applicable, l’ajout ou le retrait d’un sous-traitant, l’évolution des fonctionnalités du Service, ou pour clarification rédactionnelle.
- Les modifications non substantielles (corrections rédactionnelles, mises à jour de coordonnées ou de références juridiques) prennent effet à leur publication, sans notification individuelle.
- Les modifications substantielles (ajout d’une finalité, ajout d’un sous-traitant impliquant un transfert hors UE, modification des durées de conservation) sont notifiées aux Clients actifs par e-mail au moins trente (30) jours avant leur entrée en vigueur.
La date de dernière mise à jour figure en haut de la présente page.
10. Contact
Pour toute question relative à la présente Politique ou au traitement de vos données personnelles :
Steven MORVAN — entrepreneur individuel (EI)
Rue de la Vallée, 78970 Mézières-sur-Seine, France
E-mail : contact@scenimmo.fr
Dernière mise à jour : 13 mai 2026.