1. Identité du responsable de traitement
Le responsable du traitement de vos données personnelles est :
GROUP AJ CALL (SASU)
27 Rue Émile Zola, 93100 Montreuil, France
RCS Bobigny 879 781 839 · Capital social 500 €
Email : contact@iso-eco.net
GROUP AJ CALL n'a pas désigné de Délégué à la Protection des Données (DPO). Le contact privilégié pour toute question relative à vos données personnelles est l'adresse email ci-dessus.
2. Données collectées
2.1 Données fournies directement par vous
Lorsque vous créez un compte ou utilisez Iso-Eco CRM, nous collectons :
- Données d'identification : nom, prénom, adresse email, mot de passe (hashé SHA-256, jamais en clair)
- Données professionnelles : raison sociale, fonction, rôle (admin / télépro)
- Données de facturation : via Stripe (notre prestataire de paiement) — nous n'avons jamais accès à vos données de carte bancaire
2.2 Données de vos prospects (que vous saisissez dans le CRM)
En tant que client utilisant notre CRM, vous saisissez des données concernant vos propres prospects. Pour ces données, vous êtes responsable de traitement et nous sommes sous-traitant au sens du RGPD.
- Identité : nom, prénom, téléphone, email, adresse
- Informations logement : type, surface, année, chauffage, statut occupant
- Informations fiscales : nombre de personnes, revenu fiscal, catégorie MaPrimeRénov'
- Documents : CNI, avis d'imposition, taxe foncière, etc. (uniquement si vous les téléversez)
- Historique : statuts, notes, dates de rendez-vous, devis
2.3 Données collectées automatiquement
- Données de connexion : adresse IP, date/heure de connexion, navigateur utilisé
- Données techniques : identifiant de session, type d'appareil, résolution écran
- Logs d'activité : actions effectuées dans le CRM (création de fiche, modification, etc.) — uniquement à des fins de sécurité et audit
3. Finalités du traitement
| Finalité | Données utilisées |
|---|---|
| Création et gestion de votre compte | Email, mot de passe, nom, prénom |
| Fourniture du service CRM | Toutes les données saisies par vous |
| Facturation et gestion des abonnements | Email, données de facturation Stripe |
| Support client | Email, historique des échanges |
| Sécurité & détection de fraudes | Logs de connexion, adresse IP, échecs d'authentification |
| Communication produit (newsletters, mises à jour) | Email — désinscription possible à tout moment |
| Obligations légales (comptabilité, fiscalité) | Données de facturation |
4. Bases légales
Conformément à l'article 6 du RGPD, nos traitements reposent sur les bases légales suivantes :
- Exécution du contrat : fourniture du service, gestion de votre abonnement, facturation
- Obligation légale : conservation des factures (10 ans), réponses aux réquisitions judiciaires
- Intérêt légitime : sécurité de la plateforme, prévention de la fraude, amélioration du service
- Consentement : envoi de newsletters et communications commerciales, dépôt de cookies non-essentiels
5. Durée de conservation
| Type de données | Durée |
|---|---|
| Compte actif (utilisateur) | Pendant toute la durée du contrat |
| Compte clôturé | Suppression dans un délai de 30 jours, sauf obligations légales |
| Données de vos prospects | Selon votre paramétrage — vous restez maître de leur durée de conservation |
| Données de facturation | 10 ans (obligation légale comptable) |
| Logs de connexion / sécurité | 12 mois maximum |
| Cookies techniques | 13 mois maximum |
6. Partage et sous-traitants
Nous ne vendons jamais vos données personnelles. Vos données peuvent être partagées avec les prestataires techniques suivants, dans la stricte limite nécessaire au fonctionnement du service :
| Prestataire | Rôle | Localisation |
|---|---|---|
| Google Firebase (Google Ireland Ltd) | Stockage base de données, authentification, hébergement application | Belgique (europe-west1) 🇪🇺 |
| Stripe Payments Europe Ltd | Traitement des paiements par carte bancaire | Irlande 🇪🇺 |
| Namecheap, Inc. | Hébergement du site vitrine iso-eco.net (pas de données personnelles utilisateurs) | États-Unis 🇺🇸 |
| Open Cadastre / API gouv.fr | Lookup des parcelles cadastrales depuis une adresse | France 🇫🇷 |
Chacun de ces prestataires est soumis à des obligations contractuelles strictes en matière de sécurité et de confidentialité, conformes au RGPD.
7. Transferts internationaux
Les données personnelles de vos prospects et de votre compte utilisateur sont stockées exclusivement dans l'Union Européenne (Belgique - Firebase europe-west1).
Site vitrine (iso-eco.net) : notre site marketing est hébergé chez Namecheap (États-Unis). Seules les données techniques de navigation (adresse IP anonymisée, type de navigateur) sont accessibles à cet hébergeur. Aucune donnée personnelle d'utilisateur ou de prospect n'est traitée par Namecheap.
Lorsqu'un transfert vers les États-Unis est strictement nécessaire (ex: lecture du site vitrine), il est encadré par les Clauses Contractuelles Types de la Commission Européenne et/ou par le Data Privacy Framework EU-US.
8. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :
Pour exercer ces droits, envoyez un email à contact@iso-eco.net en précisant la nature de votre demande. Nous vous répondrons dans un délai maximum d'un mois. Une preuve d'identité pourra vous être demandée afin de vérifier la légitimité de la demande.
9. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles strictes pour protéger vos données :
- Chiffrement en transit : toutes les communications utilisent HTTPS / TLS 1.2+
- Chiffrement au repos : les bases de données Firebase sont chiffrées automatiquement
- Mots de passe : hashés via SHA-256 avec un sel propriétaire, jamais stockés en clair
- Isolation client : chaque compte client dispose d'une base de données isolée
- Authentification : rate limiting pour bloquer les attaques par force brute (5 échecs / 5 min)
- Sauvegardes : automatiques quotidiennes, conservées 30 jours
- Audit : tous les accès et modifications sont loggés dans un historique immuable
- Accès employés : aucun employé de GROUP AJ CALL n'accède à vos données sans autorisation explicite de votre part
En cas de violation de données personnelles susceptible d'engendrer un risque élevé pour vos droits et libertés, nous nous engageons à vous en informer dans les meilleurs délais et à notifier la CNIL sous 72 heures, conformément à l'article 34 du RGPD.
10. Contact & réclamations
Pour toute question, demande d'exercice de droits ou réclamation relative au traitement de vos données personnelles :
Email : contact@iso-eco.net
Courrier : GROUP AJ CALL · 27 Rue Émile Zola · 93100 Montreuil · France
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de l'autorité de contrôle française :
Commission Nationale de l'Informatique et des Libertés (CNIL)
3 Place de Fontenoy · TSA 80715 · 75334 Paris Cedex 07
Téléphone : 01 53 73 22 22 · Site : www.cnil.fr