Politique de confidentialité

La présente politique de confidentialité explique comment DiagTertiaire collecte, utilise, conserve, sécurise et, le cas échéant, transmet des données personnelles dans le cadre du site public DiagTertiaire, du service de pré-diagnostic énergétique, des demandes de contact et de mise en relation, de l'espace professionnel DiagTertiaire Pro et, le cas échéant, des futures déclinaisons professionnelles ou marque blanche du service.

Cette politique a pour objet d'informer les personnes concernées de manière claire sur les traitements réalisés.

Le responsable du traitement est :

Exploitant : Yannis CHERCHALI
Nom commercial : Diag-tertiaire
Forme juridique : Entreprise individuelle (micro-entreprise)
Siège social : Halle de l'Innovation, place Françoise Héritier, 34000 Montpellier, France
SIREN : 932 862 519
RCS : Montpellier

Adresse e-mail de contact : contact@diag-tertiaire.fr
Téléphone : +33 7 69 81 07 93

Compte tenu de la nature et de l'échelle des traitements réalisés, la désignation d'un délégué à la protection des données (DPO) n'est pas obligatoire au sens de l'article 37 du RGPD. Le contact unique pour toute question relative aux données personnelles est l'adresse e-mail ci-dessus.

Lorsque la présente politique mentionne « DiagTertiaire », « nous », « notre » ou « nos », elle désigne l'entité ci-dessus.

La présente politique s'applique aux visiteurs du site, aux utilisateurs du pré-diagnostic public, aux personnes qui remplissent un formulaire de contact ou demandent une mise en relation, aux utilisateurs de l'espace professionnel et, plus largement, aux personnes dont certaines données peuvent être renseignées dans l'espace professionnel, lorsque ces données constituent des données à caractère personnel.

Données fournies dans le cadre du pré-diagnostic public

• adresse e-mail ;
• numéro de téléphone, lorsqu'il est renseigné ;
• nom du site ou du bâtiment ;
• adresse ou localisation du site ;
• code postal ;
• activité du site ;
• surface ;
• année ou période de construction ;
• type d'énergie utilisée ;
• données de consommation et de dépenses énergétiques ;
• informations sur les travaux déjà réalisés ;
• objectif principal, horizon de projet, rôle dans la décision ;
• consentements exprimés par l'utilisateur ;
• contenu du rapport généré à partir des données saisies.

Données fournies dans le cadre d'une demande de contact ou d'intérêt Pro

• prénom et nom ;
• adresse e-mail professionnelle ;
• société ;
• message libre ;
• informations liées à la demande.

Données liées à l'espace professionnel

• prénom et nom ;
• adresse e-mail professionnelle ;
• société ou organisation ;
• rôle ou métier ;
• identifiants techniques de compte ;
• informations liées à l'authentification ;
• paramètres du workspace ;
• identité visuelle chargée par l'utilisateur, notamment logo et éléments de branding ;
• dossiers, rapports, notes, documents, fichiers et métadonnées associés ;
• données relatives à l'usage du service, à la sécurité, à la maintenance et à l'administration technique.

Données de navigation et données techniques

• adresse IP ;
• journaux techniques ;
• événements de sécurité ;
• informations liées au navigateur et au terminal ;
• données de session ;
• données stockées localement sur le navigateur lorsque cela est nécessaire au fonctionnement du service, à la continuité d'usage, à la sécurité ou à la restauration locale d'un rapport.

Fourniture du pré-diagnostic et du rapport

Finalités : permettre à l'utilisateur de renseigner les informations nécessaires ; produire une estimation énergétique indicative ; générer, afficher, télécharger ou transmettre le rapport correspondant ; conserver temporairement les données nécessaires à la continuité du service et au support.

Base légale : exécution de mesures précontractuelles ou d'un service demandé par l'utilisateur.

Gestion des demandes de contact et d'intérêt commercial

Finalités : répondre à une demande entrante ; recontacter un utilisateur au sujet de sa demande ; organiser un échange commercial ou une démonstration du service ; suivre les demandes reçues et leur traitement.

Base légale : exécution de mesures précontractuelles prises à la demande de la personne concernée ; et, selon les cas, intérêt légitime de DiagTertiaire à gérer les demandes adressées au service.

Mise en relation avec des partenaires

Finalités : transmettre les coordonnées de l'utilisateur et les éléments utiles à son projet à un ou plusieurs partenaires qualifiés ; permettre à ces partenaires de recontacter l'utilisateur ; tracer la preuve du consentement donné à cette transmission.

Base légale : consentement de la personne concernée.

Aucune transmission à un partenaire au titre de cette finalité n'est effectuée sans action positive explicite de l'utilisateur lorsque le service prévoit une case ou un mécanisme de consentement dédié.

Création, gestion et sécurisation de l'espace professionnel

Finalités : créer et administrer un compte utilisateur ; authentifier l'utilisateur ; fournir le workspace Pro ; enregistrer les paramètres de l'organisation ; stocker les dossiers, rapports, fichiers et éléments de branding ; permettre la génération et l'archivage de rapports ; administrer, sécuriser, maintenir et améliorer le service.

Base légale : exécution du service ou de mesures précontractuelles ; intérêt légitime de DiagTertiaire à assurer la sécurité, la maintenance, la prévention des abus et la continuité du service ; respect des obligations légales applicables, lorsqu'elles existent.

Mesure d'audience du site

Finalités : mesurer la fréquentation du site, comprendre les parcours utilisateurs, suivre les performances des pages et identifier les axes d'amélioration du service au moyen de l'outil Google Analytics 4.

Base légale : consentement de la personne concernée (article 6.1.a du RGPD et article 82 de la loi Informatique et Libertés). Le script de mesure d'audience n'est chargé qu'après recueil d'un consentement explicite via le bandeau cookies. Ce consentement peut être retiré à tout moment depuis le lien « Gestion des cookies » du pied de page.

Sécurité, prévention de la fraude et gestion des preuves

Finalités : détecter les usages abusifs, frauduleux ou automatisés ; protéger l'intégrité du site, des comptes et des données ; conserver des preuves techniques en cas d'incident, litige, suppression, restauration ou exercice de droits ; gérer la traçabilité minimale nécessaire à l'administration du service.

Base légale : intérêt légitime de DiagTertiaire à sécuriser ses services, prévenir les abus et défendre ses droits.

Respect des obligations légales

Finalités : répondre aux demandes d'exercice des droits ; respecter les obligations comptables, fiscales, judiciaires, réglementaires ou de sécurité ; coopérer avec les autorités habilitées lorsque la loi l'impose.

Base légale : obligation légale.

Les champs strictement nécessaires à la fourniture d'un service ou d'une fonctionnalité peuvent être signalés comme obligatoires.

En particulier : une adresse e-mail peut être nécessaire pour accéder à un rapport ou créer un compte ; certaines informations techniques sur le site ou le bâtiment sont nécessaires pour générer un pré-diagnostic pertinent ; certaines données sont nécessaires pour créer et exploiter un espace professionnel.

Si les données marquées comme obligatoires ne sont pas fournies, certaines fonctionnalités peuvent ne pas être accessibles ou ne pas fonctionner correctement.

Les données facultatives demeurent facultatives, mais leur absence peut limiter la précision, la fluidité ou la personnalisation du service.

Les données personnelles sont accessibles, dans la limite de leurs attributions respectives, aux seules personnes habilitées.

Peuvent notamment être destinataires des données : les membres autorisés de l'équipe DiagTertiaire ; les prestataires techniques intervenant pour l'hébergement, l'authentification, la base de données, le stockage, la maintenance, l'envoi d'e-mails transactionnels et la sécurité ; les partenaires professionnels, uniquement lorsque l'utilisateur a expressément demandé ou accepté une mise en relation ; les autorités administratives, judiciaires ou organismes habilités, lorsque la loi l'impose.

Sous-traitants et prestataires techniques

À la date de la présente politique, DiagTertiaire fait appel aux prestataires suivants :

• Vercel Inc. (États-Unis) - hébergement du site et exécution des fonctions serverless. Transfert encadré par les clauses contractuelles types et le Data Privacy Framework.
• Supabase Inc. (États-Unis) - authentification, base de données et stockage de fichiers de l'Espace Pro. Transfert encadré par les clauses contractuelles types et le Data Privacy Framework.
• Google LLC / Google Ireland Ltd - mesure d'audience via Google Analytics 4, chargée uniquement après consentement explicite de l'utilisateur. Transfert encadré par le Data Privacy Framework.

Lorsqu'un utilisateur demande à être mis en relation avec un partenaire, DiagTertiaire peut transmettre aux partenaires concernés les informations strictement utiles au traitement de cette demande, notamment : identité ou coordonnées de contact ; informations sur le site ou le bâtiment ; contexte du besoin ; éléments utiles au premier niveau de qualification du projet.

Cette transmission ne vaut ni recommandation personnalisée, ni garantie de disponibilité, ni garantie de résultat, ni validation de l'offre ou de la qualité du partenaire.

Les partenaires destinataires deviennent ensuite responsables des traitements qu'ils réalisent pour leur propre compte à partir des données qui leur ont été transmises.

L'espace Pro peut permettre à un utilisateur professionnel de renseigner, organiser, stocker, traiter ou partager certaines données relatives à ses propres prospects, clients, contacts, sites, dossiers ou projets.

Dans un tel cas :

• l'utilisateur Pro demeure responsable de la licéité des données qu'il renseigne dans le service et, le cas échéant, de l'information des personnes concernées ;
• DiagTertiaire agit, selon les cas d'usage et la documentation contractuelle applicable, soit comme responsable de traitement pour l'administration et la sécurité du service, soit comme prestataire technique traitant certaines données pour le compte de l'utilisateur Pro ;
• lorsque DiagTertiaire intervient en qualité de sous-traitant pour un client Pro, un cadre contractuel spécifique pourra préciser les instructions, les finalités, les catégories de données, les sous-traitants ultérieurs et les mesures de sécurité applicables.

En l'absence d'instruction contraire ou de cadre spécifique plus précis, DiagTertiaire limite ses opérations sur ces données à ce qui est nécessaire au fonctionnement, à l'hébergement, à la sécurité, à la maintenance, à la sauvegarde, à la restauration et au support technique du service.

Certains des sous-traitants listés à la section « Destinataires des données » sont établis aux États-Unis (Vercel Inc., Supabase Inc., Google LLC).

Ces transferts sont encadrés au moyen des mécanismes prévus par les articles 44 et suivants du RGPD : adhésion au Data Privacy Framework (UE - États-Unis) lorsqu'elle est applicable, et, à défaut, clauses contractuelles types de la Commission européenne, complétées le cas échéant par des mesures techniques et organisationnelles supplémentaires.

Aucun transfert n'est réalisé en l'absence d'un mécanisme reconnu valable au jour du transfert.

Site public et pré-diagnostic

Les données issues du pré-diagnostic, des demandes de contact et des demandes entrantes de prospection sont conservées pendant une durée maximale de 18 mois à compter du dernier échange utile, sauf obligation légale particulière, nécessité de conservation probatoire, ou poursuite d'une relation contractuelle ou précontractuelle.

Consentement de mise en relation partenaire

La preuve du consentement et les éléments liés à la demande de mise en relation peuvent être conservés pendant la durée nécessaire à la gestion de la demande, à la traçabilité du consentement et à la défense des droits de DiagTertiaire, dans la limite des durées légalement applicables.

Compte et espace Pro

Les données liées au compte Pro et au workspace sont conservées pendant la durée d'existence du compte, puis pendant une durée de 3 ans après fermeture ou suppression du compte pour permettre la gestion des demandes résiduelles, sauvegardes, incidents, litiges et obligations légales ; les données nécessaires aux obligations comptables et fiscales (factures, justificatifs) sont conservées 10 ans conformément à l'article L.123-22 du Code de commerce.

Les contenus supprimés peuvent subsister temporairement dans des sauvegardes techniques ou dans des environnements d'archivage transitoire avant effacement définitif ou anonymisation.

Journaux de sécurité et événements techniques

Les journaux techniques et de sécurité sont conservés pendant une durée maximale de 12 mois, sauf nécessité particulière liée à un incident, à une enquête, à la prévention de la fraude ou à une obligation légale.

DiagTertiaire met en œuvre des mesures techniques et organisationnelles raisonnables destinées à protéger les données personnelles contre la destruction, la perte, l'altération, la divulgation non autorisée, l'accès non autorisé ou tout autre traitement non autorisé.

Ces mesures peuvent inclure, selon les cas : cloisonnement des accès ; authentification ; journalisation ; restrictions d'accès par organisation ; stockage privé ; limitation des accès internes ; mécanismes de suppression sécurisée ; sauvegardes et mesures de restauration ; et dispositifs de prévention des abus.

Aucune mesure de sécurité n'offrant une garantie absolue, l'utilisateur est invité à faire preuve de prudence dans les informations qu'il transmet, partage ou conserve via le service.

Pour certaines fonctionnalités, DiagTertiaire peut utiliser des mécanismes techniques locaux du navigateur, notamment du stockage local ou de session, afin de maintenir une session ou un état de formulaire, faciliter la reprise d'un parcours interrompu, restaurer localement un rapport, limiter les abus ou comportements automatisés, et améliorer la continuité d'usage du service.

Ces données peuvent être effacées par l'utilisateur depuis son navigateur ou, lorsque le service le permet, via une action dédiée dans l'interface.

Certaines fonctionnalités de partage peuvent générer un lien permettant de consulter un rapport ou un contenu sans authentification forte, lorsque ce lien est détenu.

L'utilisateur reconnaît qu'un tel lien doit être traité comme un lien de partage et non comme un coffre-fort confidentiel.

DiagTertiaire recommande de ne pas intégrer de données personnelles inutiles, excessives ou sensibles dans un contenu destiné à être partagé.

Le service n'a pas vocation à collecter des données sensibles au sens de la réglementation, ni des données sans lien direct avec les finalités décrites dans la présente politique.

Les utilisateurs s'engagent à ne pas transmettre, sauf nécessité juridique clairement identifiée et base légale appropriée, de données sensibles, de secrets non nécessaires, ou de données excessives au regard des finalités poursuivies.

Le service n'est pas destiné aux mineurs agissant seuls dans un cadre de consommation grand public.

Sous réserve des conditions prévues par la réglementation applicable, toute personne concernée dispose notamment des droits suivants : droit d'accès ; droit de rectification ; droit à l'effacement ; droit à la limitation du traitement ; droit d'opposition ; droit à la portabilité lorsque ce droit est applicable ; droit de retirer son consentement à tout moment lorsque le traitement repose sur le consentement, sans remettre en cause la licéité du traitement antérieur à ce retrait ; droit de définir des directives relatives au sort de ses données après son décès, dans les conditions prévues par le droit français.

Les demandes relatives aux données personnelles peuvent être adressées à :

contact@diag-tertiaire.fr

Afin de protéger les personnes concernées, DiagTertiaire peut demander des éléments raisonnables permettant de vérifier l'identité du demandeur avant de donner suite à une demande.

En cas de difficulté non résolue, la personne concernée peut introduire une réclamation auprès de la CNIL : 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, ou en ligne sur cnil.fr/plaintes.

Les résultats, scores, estimations, priorisations et rapports générés par DiagTertiaire ont une finalité indicative d'aide à la décision.

Ils ne constituent pas, en eux-mêmes, une décision automatisée produisant des effets juridiques sur la personne concernée au sens où ils ne remplacent ni une décision humaine, ni une instruction réglementaire, ni un audit opposable.

DiagTertiaire peut modifier la présente politique de confidentialité à tout moment pour tenir compte d'une évolution légale ou réglementaire, d'une évolution du service, d'un changement de prestataire, ou d'une évolution des traitements réalisés.

La version applicable est celle publiée sur le site à sa date de mise à jour.