Politique de confidentialité | icitoo — Annonces immobilières France

Article 1 — Identité du responsable de traitement

Le responsable du traitement des données à caractère personnel collectées sur le site icitoo.com (ci-après le « Site ») est :

ICITOO — Entreprise individuelle
SIRET : 897 622 999
Siège social : 25 rue Garibaldi, 94100 Saint-Maur-des-Fossés
Email : contact@icitoo.com
Délégué à la protection des données (DPO) : dpo@icitoo.com

Article 2 — Données collectées

ICITOO collecte les catégories de données personnelles suivantes :

2.1. Données fournies lors de l'inscription :

Nom et prénom
Adresse email
Numéro de téléphone (optionnel)
Mot de passe (stocké sous forme hashée exclusivement)
En cas d'authentification via Google OAuth : identifiant Google, nom, adresse email et photo de profil transmis par Google

2.2. Données liées à la publication d'annonces :

Caractéristiques du bien immobilier (type, surface, nombre de pièces, adresse, prix, DPE)
Photographies, vidéos et visites virtuelles du bien
Coordonnées de contact de l'annonceur
Pour les professionnels : raison sociale, numéro de carte professionnelle, numéro RCS, montant des honoraires

2.3. Données de navigation :

Adresse IP
Type et version du navigateur, système d'exploitation
Pages visitées, durée de visite, parcours de navigation
Données de géolocalisation approximative (via l'adresse IP)
Données collectées par les cookies et traceurs (voir Article 8)

2.4. Données liées aux contacts et à la messagerie :

Nom, email et contenu des messages envoyés via les formulaires de contact ou la messagerie interne
Historique des échanges entre utilisateurs

2.5. Données liées au service d'estimation :

Adresse du bien à estimer, caractéristiques, coordonnées de l'utilisateur

2.6. Données liées aux alertes email :

Critères de recherche sauvegardés, fréquence d'envoi souhaitée

Article 3 — Finalités et bases légales des traitements

Finalité	Base légale
Création et gestion des comptes utilisateurs	Exécution du contrat (CGU)
Publication et diffusion des annonces	Exécution du contrat
Mise en relation vendeurs/acheteurs/locataires	Exécution du contrat
Messagerie interne entre utilisateurs	Exécution du contrat
Service d'estimation (mise en relation avec agences)	Consentement
Envoi d'alertes email personnalisées	Consentement
Modération des contenus et lutte contre la fraude	Intérêt légitime
Amélioration du Site et statistiques d'audience	Intérêt légitime
Affichage de publicités personnalisées	Consentement
Conservation des données de connexion	Obligation légale (LCEN)
Réponse aux demandes et réclamations	Intérêt légitime

Article 4 — Durée de conservation

Les données personnelles sont conservées pendant les durées suivantes :

Données de compte : pendant toute la durée d'existence du compte, puis 3 ans à compter de la dernière activité du compte (prescription commerciale)
Annonces : pendant la durée de publication, puis 1 an après dépublication à des fins de preuve
Données de navigation et logs de connexion : 12 mois (obligation légale, article 6-II de la LCEN et décret n° 2011-219 du 25 février 2011)
Cookies : 13 mois maximum conformément aux recommandations de la CNIL
Messages et correspondances : 3 ans après le dernier échange
Données de facturation (le cas échéant) : 10 ans (obligation comptable, article L. 123-22 du Code de commerce)
Demandes d'exercice de droits : 5 ans à compter du traitement de la demande

À l'expiration de ces délais, les données sont supprimées ou anonymisées de manière irréversible.

Article 5 — Destinataires des données

Les données personnelles collectées sont susceptibles d'être communiquées aux catégories de destinataires suivantes :

Personnel habilité d'ICITOO : dans la stricte mesure nécessaire à l'accomplissement de leurs missions
Sous-traitants techniques : hébergement, envoi d'emails, analytique (voir Article 6)
Autres utilisateurs : dans le cadre de la mise en relation (coordonnées de contact figurant sur les annonces, messagerie)
Professionnels partenaires : dans le cadre du service d'estimation, avec le consentement préalable de l'utilisateur
Régies publicitaires : données de navigation anonymisées ou pseudonymisées, sous réserve du consentement de l'utilisateur
Autorités compétentes : en cas de réquisition judiciaire ou d'obligation légale

ICITOO ne vend en aucun cas les données personnelles de ses utilisateurs à des tiers.

Article 6 — Transferts de données hors Union européenne

Certains sous-traitants d'ICITOO sont situés en dehors de l'Union européenne, notamment aux États-Unis. Ces transferts sont encadrés par les garanties suivantes :

Sous-traitant	Service	Localisation	Garantie
Vercel Inc.	Hébergement du Site	USA	Data Privacy Framework (DPF) EU-US
Supabase Inc.	Base de données, authentification, stockage fichiers	UE / USA	Clauses contractuelles types (CCT) + DPF
Resend Inc.	Envoi d'emails transactionnels et alertes	USA	DPF EU-US
Google LLC	Authentification OAuth, Analytics, AdSense	USA	DPF EU-US
Upstash Inc.	Cache Redis	UE / USA	CCT + DPF

Le Data Privacy Framework (DPF) EU-US a fait l'objet d'une décision d'adéquation de la Commission européenne du 10 juillet 2023 (décision d'exécution (UE) 2023/1795). En complément, ICITOO s'assure que des clauses contractuelles types approuvées par la Commission européenne sont conclues avec l'ensemble de ses sous-traitants.

Article 7 — Droits des personnes concernées

Conformément au Règlement (UE) 2016/679 (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée, vous disposez des droits suivants sur vos données personnelles :

Droit d'accès (article 15 RGPD) : obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie
Droit de rectification (article 16 RGPD) : demander la correction de données inexactes ou incomplètes
Droit à l'effacement (article 17 RGPD) : demander la suppression de vos données dans les conditions prévues par le RGPD
Droit à la limitation du traitement (article 18 RGPD) : demander la restriction du traitement de vos données
Droit à la portabilité (article 20 RGPD) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON)
Droit d'opposition (article 21 RGPD) : vous opposer au traitement de vos données fondé sur l'intérêt légitime, y compris le profilage
Droit de retirer votre consentement à tout moment, sans que cela ne porte atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait
Droit de définir des directives relatives au sort de vos données après votre décès (article 85 de la loi Informatique et Libertés)

Comment exercer vos droits :

Par email : dpo@icitoo.com
Par courrier : ICITOO — DPO, 25 rue Garibaldi, 94100 Saint-Maur-des-Fossés

ICITOO s'engage à répondre à toute demande dans un délai d'un mois à compter de sa réception. Ce délai peut être prolongé de deux mois en cas de complexité ou de nombre élevé de demandes, après information de la personne concernée.

Une pièce d'identité pourra être demandée en cas de doute raisonnable sur l'identité du demandeur.

Réclamation auprès de la CNIL : Si vous estimez que le traitement de vos données ne respecte pas la réglementation applicable, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr.

Article 8 — Cookies et traceurs

Le Site utilise des cookies et traceurs soumis à votre consentement préalable (cookies publicitaires, analytiques) et des cookies techniques strictement nécessaires au fonctionnement du Site (exempts de consentement). Les modalités de gestion des cookies sont détaillées dans notre Politique de cookies.

Vous pouvez à tout moment modifier vos préférences en matière de cookies via le bandeau de consentement accessible sur le Site ou depuis les paramètres de votre navigateur.

Article 9 — Sécurité des données

ICITOO met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD. Ces mesures incluent notamment :

Chiffrement des communications par protocole TLS/HTTPS
Stockage des mots de passe sous forme de hash (bcrypt) — aucun mot de passe n'est stocké en clair
Contrôle strict des accès aux données (principe du moindre privilège)
Sécurisation de l'infrastructure via les standards de sécurité des prestataires d'hébergement (Vercel, Supabase)
Journalisation des accès et surveillance des anomalies
Sauvegardes régulières des données
Procédure de notification des violations de données à la CNIL et aux personnes concernées dans les délais légaux (72 heures)

Article 10 — Protection des données des mineurs

Le Site ne s'adresse pas aux personnes âgées de moins de 18 ans. ICITOO ne collecte pas sciemment de données personnelles de mineurs. Si ICITOO découvre que des données de mineurs ont été collectées, elles seront supprimées sans délai.

Article 11 — Modification de la politique de confidentialité

ICITOO se réserve le droit de modifier la présente politique de confidentialité à tout moment. Toute modification substantielle sera portée à la connaissance des utilisateurs par email ou par notification sur le Site. La date de dernière mise à jour figure en haut de la présente page.

La version en vigueur est celle accessible à tout moment à l'adresse icitoo.com/confidentialite.