Politique de confidentialité
Comment LE LAB IMMO traite vos données personnelles, conformément au Règlement (UE) 2016/679 (RGPD) et à la loi Informatique et Libertés.
Dernière mise à jour : 24/06/2026
1. Responsable du traitement
Le responsable du traitement des données personnelles est :
- LE LAB IMMO, société par actions simplifiée (SAS)
- Représentée par Maxime Renoud-Grappin, Président
- 26 Avenue Michel-Ange, 30650 Rochefort-du-Gard, France
- SIREN 106 204 654 — RCS Nîmes
- Contact : contact@lelabimmo.app
Aucun délégué à la protection des données (DPO) n'est désigné — cette désignation n'est pas obligatoire pour notre activité au sens de l'article 37 du RGPD. Toute demande relative aux données personnelles est traitée directement par le responsable de traitement.
2. Données collectées
Le Service collecte les catégories de données suivantes :
| Catégorie | Détail |
|---|---|
| Données de compte | Adresse email, prénom et nom (renseignés via Google OAuth ou volontairement) |
| Données de workspace | Nom du workspace, plan souscrit, soldes de crédits, membres et invitations (pour les comptes Agence) |
| Données de contenu | Photos uploadées, prompts saisis, textes générés, fichiers de sortie. Stockés pour fournir le service, avec purge séparée des fichiers temporaires de traitement |
| Données de paiement | Identifiant client Stripe, plan en cours, statut d'abonnement. Les données de carte bancaire sont gérées exclusivement par Stripe ; nous ne les voyons jamais |
| Données de connexion | Adresse IP (anonymisée), type de navigateur, dates et durées de session, identifiants de session |
| Données d'usage | Événements applicatifs internes (génération démarrée, paiement initié, incident technique, etc.) — sans contenu sensible brut |
3. Finalités et bases légales
| Catégorie | Détail |
|---|---|
| Création et gestion du compte | Exécution du contrat (article 6.1.b RGPD) |
| Fourniture des outils d'IA (génération de contenu, traitement d'images) | Exécution du contrat (article 6.1.b RGPD) |
| Facturation et paiement | Exécution du contrat (article 6.1.b) et obligation légale comptable (article 6.1.c) |
| Support client | Exécution du contrat (article 6.1.b RGPD) |
| Statistiques d'utilisation du service | Intérêt légitime (article 6.1.f) — amélioration du service, diagnostic technique, suivi agrégé |
| Sécurité et lutte contre la fraude | Intérêt légitime (article 6.1.f RGPD) |
| Communication service (mises à jour majeures, incidents) | Intérêt légitime (article 6.1.f) — désinscription possible à tout moment |
4. Sous-traitants et destinataires
Pour fournir le Service, nous faisons appel aux sous-traitants suivants. Chacun a signé un accord de traitement (DPA) conforme à l'article 28 du RGPD.
| Sous-traitant | Finalité — Localisation |
|---|---|
| Supabase (Supabase Inc.) | Base de données, authentification et stockage des fichiers (images, vidéos) — UE (Francfort) |
| Vercel Inc. | Hébergement de l'application — États-Unis (clauses contractuelles types) |
| Stripe Inc. | Paiement et facturation — UE/États-Unis (clauses contractuelles types) |
| Anthropic PBC | Modèles d'IA pour la génération de texte — États-Unis (clauses contractuelles types) |
| OpenAI LLC | Modèles d'IA pour la génération de texte et le traitement d'images — États-Unis (clauses contractuelles types) |
| Google LLC | Modèles d'IA pour la génération de vidéo (Veo) — États-Unis (clauses contractuelles types) |
| fal.ai (Features & Labels, Inc.) | Génération de vidéo et d'image par IA — États-Unis (clauses contractuelles types) |
| Resend (Resend Inc.) | Envoi d'emails transactionnels — UE/États-Unis |
| Upstash Inc. | Limitation de débit et file d'attente des traitements (QStash) — UE |
| Cloudflare, Inc. | Protection anti-spam des formulaires (Turnstile) — UE/Global |
| Sentry (Functional Software Inc.) | Suivi technique des erreurs — États-Unis (clauses contractuelles types) |
Les sous-traitants d'IA sont sollicités uniquement lorsque l'outil correspondant est actif et utilisé.
Les transferts de données vers les États-Unis sont encadrés par les clauses contractuelles types adoptées par la Commission européenne (article 46 RGPD) ou, le cas échéant, par le cadre EU-U.S. Data Privacy Framework lorsque le sous-traitant y est certifié.
5. Durée de conservation
| Catégorie | Détail |
|---|---|
| Données de compte | Conservées tant que le compte est actif. Suppression immédiate à la demande de l'Utilisateur (« Supprimer mon compte » dans les Réglages) |
| Contenus uploadés et générés | Contenus finaux conservés jusqu'à suppression du compte ; fichiers temporaires de traitement purgés automatiquement après 7 jours |
| Données de facturation | Conservées 10 ans à compter de l'émission de la facture (obligation légale comptable, article L.123-22 du Code de commerce) |
| Logs techniques (Sentry) | 90 jours |
6. Droits des utilisateurs
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès aux données vous concernant (article 15)
- Droit de rectification des données inexactes (article 16)
- Droit à l'effacement (« droit à l'oubli », article 17) — disponible directement depuis vos Réglages
- Droit à la limitation du traitement (article 18)
- Droit à la portabilité de vos données (article 20)
- Droit d'opposition au traitement fondé sur l'intérêt légitime (article 21)
- Droit de définir des directives sur le sort de vos données après votre décès (article 85 LIL)
Pour exercer ces droits, contactez-nous à contact@lelabimmo.app. Nous répondrons dans un délai d'un mois (article 12 RGPD), prolongeable de deux mois en cas de demande complexe.
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), 3 place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07 — cnil.fr.
7. Cookies et traceurs
Le site utilise un nombre minimal de traceurs techniques strictement nécessaires à son fonctionnement (session d'authentification, préférence de thème).
Google Analytics 4 peut être utilisé pour mesurer l'audience et les conversions du site public uniquement après consentement explicite. Vous pouvez accepter ou refuser ces traceurs non essentiels depuis le bandeau dédié ; aucun email, nom, téléphone ou contenu saisi dans le service n'est envoyé à Google Analytics.
8. Sécurité
Nous mettons en œuvre les mesures techniques et organisationnelles appropriées pour protéger vos données : chiffrement TLS de bout en bout, chiffrement au repos sur les bases de données et le stockage R2, isolation par RLS (Row-Level Security) côté Supabase, rate-limiting via Upstash, et journalisation centralisée des erreurs (Sentry).
9. Modifications
La présente politique peut être mise à jour pour refléter des évolutions légales, techniques ou service. Toute modification substantielle est notifiée par email aux utilisateurs actifs au moins 15 jours avant son entrée en vigueur.