Politique de Confidentialité

LYANE by BATILIAN — Plateforme d'apporteurs d'affaires en rénovation énergétique
Mise à jour : 25 avril 2026

Article 1 — Responsable du traitement

La plateforme LYANE est exploitée par BATILIAN SAS, société par actions simplifiée au capital de 10 000 €, immatriculée au Registre du Commerce et des Sociétés de Nanterre sous le numéro 978 695 781.

Adresse : 7 Allée Robert Doisneau, 92100 Boulogne-Billancourt, France

Président : ERE Experts (personne morale)

Responsable données personnelles : admin@batilian.fr

Article 2 — Données collectées

2.1 Données des Apporteurs de recommandations

  • Identité : nom, prénom, email, téléphone
  • Statut juridique : SIREN, SIRET, forme juridique (micro-entrepreneur, EIRL, SARL, EURL, SAS, SCI, autre)
  • Coordonnées bancaires : RIB/IBAN pour les virements de commissions
  • Adresse personnelle : adresse postale, code postal, ville
  • Engagements : acceptation Bloctel (engagement lutte contre démarchage abusif)
  • Métadonnées : dates d'inscription et dernière connexion, cercle de recommandation dans le réseau

2.2 Données des prospects (clients potentiels)

  • Identité : nom, prénom, email, téléphone
  • Adresse : adresse du bien à rénover, code postal
  • Projet : type de travaux, montant estimé HT, diagnostic énergétique (DPE)
  • Consentement RGPD : acceptation traitement de données, date consentement
  • Dossier : statut progression (recommandé → visite → devis → signature → démarrage)

2.3 Données de connexion et d'accès

  • Adresse IP : à chaque authentification
  • Navigateur : type, version, appareil (à titre informatif)
  • Journalisation : dates et heures de connexion, actions sensibles

⚠️ Important : LYANE ne collecte aucune donnée sensible au sens de l'article 9 du RGPD (données génétiques, biométriques, données de santé, données raciales ou ethniques, opinions politiques, convictions religieuses, données d'adhésion syndicale ou données relatives à la vie sexuelle).

Article 3 — Finalités et bases légales du traitement

3.1 Exécution du contrat (article 6.1.b du RGPD)

  • Gestion du compte personnel des Apporteurs
  • Calcul et versement des commissions (directes et primes de recommandation)
  • Suivi du réseau de recommandation
  • Traitement des recommandations de prospects
  • Gestion des dossiers de rénovation

3.2 Obligation légale (article 6.1.c du RGPD)

  • Conservations comptables et fiscales (articles L123-1 et suivants du Code de commerce)
  • Établissement de la déclaration DAS2 (impôt sur le revenu, commissions versées)
  • Respect des obligations sociales et de prévoyance
  • Conformité avec la loi Bloctel (n° 2014-344 du 17 mars 2014) contre le démarchage téléphonique

3.3 Intérêt légitime (article 6.1.f du RGPD)

  • Amélioration de la plateforme (user experience, performances, sécurité)
  • Prévention de la fraude et des abus (validation des commissions, détection anomalies réseau)
  • Archivage et audit interne (traçabilité légale)

3.4 Consentement (article 6.1.a du RGPD)

  • Données des prospects : consentement explicite et préalable obligatoire avant toute recommandation
  • Collecte par l'Apporteur via case de confirmation « J'ai recueilli le consentement du prospect »

Article 4 — Consentement des prospects

4.1 Consentement préalable obligatoire

Aucune recommandation de prospect ne peut être effectuée sans son consentement explicite et préalable. L'Apporteur s'engage à recueillir ce consentement et à cocher la case de confirmation dans le formulaire de recommandation.

4.2 Information RGPD automatisée

Après validation de la recommandation, un email automatique est adressé au prospect contenant :

  • L'identité du responsable de traitement (BATILIAN SAS)
  • Les finalités du traitement (gestion du dossier rénovation)
  • Les droits du prospect (accès, rectification, effacement, etc.)
  • Le formulaire de contact pour exercer ces droits

4.3 Droit de retrait du consentement

Le prospect peut retirer son consentement à tout moment en contactant admin@batilian.fr avec la mention « Retrait consentement ». Ce retrait n'affecte pas la licéité du traitement effectué avant le retrait.

Article 5 — Durées de conservation des données

Type de données Durée de conservation Justification
Apporteur actif (inscription) Durée d'inscription + 5 ans après clôture du compte Obligations fiscales, comptables, et légales
Prospect Durée du dossier + 3 ans après dernier contact Suivi légal du projet, garantie constructeur
Données de prospect anonymisées Purge automatique après 3 ans Conformité RGPD, Article 17 (droit à l'oubli)
Données comptables et DAS2 10 ans Code de commerce, fiscalité
Journaux de connexion (logs) 1 an Recommandation CNIL, sécurité informatique
Commissions versées (factures) 5 ans Preuve de paiement, contentieux

Purge automatique : Un processus automatisé exécuté trimestriellement dépersonnalise (anonymise) les données des prospects 3 ans après leur dernier contact. Les données ne peuvent plus être liées à une personne physique.

Article 6 — Destinataires des données

6.1 Destinataires internes

  • Équipes BATILIAN : administration, comptabilité, support client (accès restreint, authentification individuelle)

6.2 Destinataires externes (sous-traitants)

  • Hébergement frontend : Cloudflare, Inc. (San Francisco, USA) — diffusion des pages web statiques, encadrement par Clauses Contractuelles Types (CCT) conformes RGPD
  • Hébergement backend : Railway Corporation (USA) — exécution de l'API, encadrement par CCT conformes RGPD
  • Base de données : Supabase Inc. — base PostgreSQL hébergée sur infrastructure européenne (région UE)
  • Signature électronique : Yousign SAS (France) — signature électronique eIDAS qualifiée des contrats
  • Envois transactionnels : Resend, Inc. — envoi d'emails transactionnels (confirmations, notifications), encadrement par CCT conformes RGPD
  • Mesure d'audience : Google Ireland Limited (Dublin, Irlande) — Google Analytics 4 en mode consentement, données anonymisées
  • Prise de rendez-vous : Calendly LLC (USA) — planification des entretiens d'adhésion, encadrement par CCT conformes RGPD

6.3 Tiers destinataires légaux

  • Autorités fiscales : DAS2 annuelle (commissions versées aux apporteurs)
  • Autorités compétentes : si obligation légale (police, justice, CNIL) — transmission sur demande justifiée uniquement

6.4 Interdiction de vente ou location

LYANE ne vend, ne loue, et ne cède à aucun tiers les données personnelles des Apporteurs et prospects (sauf obligation légale ou instruction du Data Protection Officer). Les données ne sont utilisées que pour les finalités déclarées.

Article 7 — Transferts de données hors de l'Union Européenne

7.1 Principe — Minimisation des transferts hors UE

LYANE privilégie les sous-traitants implantés ou opérant en Union Européenne lorsque cela est techniquement possible (Supabase et Yousign notamment). Toutefois, certains sous-traitants utilisés sont des sociétés de droit étranger (Cloudflare, Railway, Calendly, Resend) ou bien des filiales européennes de groupes hors UE (Google Ireland pour GA4).

Pour tous ces transferts, BATILIAN SAS s'assure que des garanties appropriées au sens des articles 44 à 49 du RGPD sont en place — principalement les Clauses Contractuelles Types (CCT) approuvées par la décision d'exécution (UE) 2021/914 de la Commission européenne du 4 juin 2021, complétées le cas échéant par des mesures techniques supplémentaires (chiffrement, anonymisation, pseudonymisation).

7.2 Si transfert hors UE

En cas de recours à un sous-traitant situé hors UE (ex. Stripe pour les paiements, établi aux USA) :

  • Application des Clauses Contractuelles Types (CCT) approuvées par la Commission européenne
  • Ou décision d'adéquation de la Commission (ex. pour certains pays)
  • Ou Binding Corporate Rules (BCR) si groupe multinational
  • Mesures supplémentaires : chiffrement bout-à-bout, anonymisation si possible

7.3 Transparence

LYANE s'engage à informer l'Apporteur en cas de transfert de ses données hors UE et à recueillir son accord si le droit français l'exige.

Article 8 — Sécurité des données

8.1 Mesures techniques et organisationnelles

  • Chiffrement en transit (TLS/HTTPS 1.3) : tous les échanges de données sont chiffrés
  • Chiffrement en base : mots de passe hachés (bcrypt), données sensibles chiffrées au repos
  • Contrôle d'accès : authentification individuelle (2FA optionnelle), droits par rôle (Admin / Apporteur / Prospect)
  • Audit et journalisation : tous les accès sensibles sont enregistrés (création commission, modification dossier, etc.)
  • Sauvegardes : sauvegardes quotidiennes, stockage géographiquement distinct, tests de restauration réguliers
  • Gestion d'incidents : procédure de notification CNIL sous 72h en cas de violation (articles 33/34 RGPD)

8.2 Conformité standards

  • OWASP Top 10 (sécurité applicative)
  • CNIL : recommandations authentification forte, gestion des cookies
  • Bonnes pratiques inspirées du référentiel ISO/IEC 27001 (sécurité de l'information)

8.3 Notification de violation

En cas de violation de données pouvant créer un risque pour les droits des Apporteurs ou prospects :

  • Notification à la CNIL sous 72 heures (article 33 RGPD)
  • Communication directe aux personnes affectées si haut risque (article 34 RGPD)
  • Rapport détaillé des faits, impacts, mesures correctives

Article 9 — Cookies et technologies de suivi

Conformément à l'article 82 de la loi Informatique et Libertés et aux lignes directrices CNIL du 17 septembre 2020 (modifiées en 2022), LYANE recueille le consentement de l'utilisateur via une bannière conforme avant tout dépôt de cookie non strictement nécessaire.

9.1 Cookies strictement nécessaires (exemptés de consentement)

  • Authentification : jeton JWT (sessionStorage) et token d'accès Supabase
  • Sécurité : protection CSRF, anti-bot, gestion de session
  • Mémorisation du choix de consentement : stockage local du choix utilisateur (durée 13 mois maximum, conformité CNIL)
  • Préférences techniques : langue, thème (localStorage)

9.2 Cookies de mesure d'audience (soumis au consentement)

LYANE utilise Google Analytics 4 (GA4) pour mesurer la fréquentation et l'usage de la plateforme à des fins statistiques. GA4 est configuré en Consent Mode v2 avec anonymisation des adresses IP et désactivation par défaut tant que le consentement n'est pas accordé.

  • Finalité : statistiques d'audience anonymisées, amélioration de l'ergonomie
  • Durée de conservation : 14 mois maximum
  • Sous-traitant : Google Ireland Limited (Dublin, Irlande) — données traitées au sein de l'UE avec garanties complémentaires (Clauses Contractuelles Types)
  • Pas de croisement publicitaire : les signaux Google Ads et la personnalisation publicitaire sont désactivés

9.3 Cookies tiers fonctionnels (soumis au consentement)

Pour offrir certaines fonctionnalités, LYANE intègre des services tiers qui peuvent déposer leurs propres cookies, uniquement après consentement explicite :

  • Calendly — prise de rendez-vous en ligne (Calendly LLC, garanties CCT)
  • Yousign — signature électronique des contrats (Yousign SAS, France — eIDAS qualifié)
  • WhatsApp — bouton de contact direct (Meta Platforms Ireland)

9.4 Aucun cookie publicitaire

LYANE ne dépose aucun cookie publicitaire, de remarketing ou de profilage commercial (Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, etc.). Aucune donnée n'est partagée à des fins de publicité ciblée.

9.5 Gestion et retrait du consentement

  • Lien permanent « Gérer mes cookies » présent en pied de page de chaque page
  • Granularité par finalité (mesure d'audience / fonctionnalités tierces)
  • Retrait à tout moment — équivalence visuelle stricte des choix « Tout accepter » / « Tout refuser » (lignes directrices CNIL)
  • Configuration navigateur : possibilité complémentaire de bloquer les cookies via les paramètres Chrome, Firefox, Safari, Edge, etc.

Article 10 — Droits des personnes concernées

10.1 Droits accessibles

Droit Description (RGPD) Exercice
Accès Art. 15 — Obtenir une copie des données admin@batilian.fr
Rectification Art. 16 — Corriger les données inexactes Espace personnel ou admin@batilian.fr
Effacement Art. 17 — Droit à l'oubli (sous conditions) admin@batilian.fr
Limitation Art. 18 — Restreindre le traitement admin@batilian.fr
Portabilité Art. 20 — Recevoir ses données en format structuré admin@batilian.fr
Opposition Art. 21 — S'opposer au traitement (intérêt légitime) admin@batilian.fr
Non-profilage Art. 22 — Ne pas être soumis à une décision entièrement automatisée produisant des effets juridiques admin@batilian.fr
Retrait du consentement Art. 7.3 — Retirer le consentement à tout moment (sans effet rétroactif) admin@batilian.fr
Directives post-mortem Art. 85 Loi Informatique et Libertés — Définir le sort des données après le décès admin@batilian.fr

Absence de décision automatisée : conformément à l'article 22 du RGPD, BATILIAN SAS ne met en œuvre aucun traitement entièrement automatisé produisant des effets juridiques significatifs à l'égard des Apporteurs ou des prospects. Toute décision relative à un compte (validation, suspension, clôture) ou à un dossier fait intervenir une analyse humaine.

10.2 Procédure d'exercice des droits

  • Par email : admin@batilian.fr avec objet « [RGPD] Exercice du droit d'[accès/rectification/etc.] »
  • Par courrier : BATILIAN SAS, Référent Données Personnelles, 7 Allée Robert Doisneau, 92100 Boulogne-Billancourt
  • Preuve d'identité : joindre une copie de pièce d'identité (si doute sur l'identité de la personne)
  • Délai de réponse : 1 mois à compter de la demande (prolongeable de 2 mois si complexe)

10.3 Droit de réclamation auprès de la CNIL

Si vous considérez que vos droits RGPD ne sont pas respectés, vous pouvez adresser une réclamation à :

  • Commission Nationale de l'Informatique et des Libertés (CNIL)
  • 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, France
  • Email : plaintes@cnil.fr
  • Formulaire en ligne : www.cnil.fr

Article 11 — Modification de la politique de confidentialité

BATILIAN se réserve le droit de modifier cette Politique de Confidentialité à tout moment. Les modifications substantielles (réduction de droits, nouvelles finalités, nouveaux destinataires) seront notifiées aux Apporteurs par email au moins 30 jours avant leur entrée en vigueur.

Les modifications mineures (corrections, clarifications) prennent effet immédiatement. La date de « Mise à jour » en haut de ce document indique la dernière révision.

La poursuite de l'utilisation de LYANE après la publication des modifications vaut acceptation implicite des nouvelles conditions, sauf avis de non-acceptation adressé à admin@batilian.fr dans les 30 jours.

Article 11 bis — Transfert du responsable de traitement

En cas de cession, fusion, ou transfert d'activité de BATILIAN à une entité affiliée ou un tiers acquéreur :

  • Notification 30 jours : BATILIAN informera les Apporteurs par email au moins 30 jours avant le transfert
  • Garanties RGPD : le nouvel acquéreur devra respecter les mêmes engagements en matière de protection des données
  • Continuité des droits : les droits RGPD des personnes concernées restent inchangés
  • Droit d'opposition : l'Apporteur peut s'opposer au transfert sous 30 jours

Article 12 — Contacts

12.1 Responsable de traitement

BATILIAN SAS
7 Allée Robert Doisneau
92100 Boulogne-Billancourt
Email : admin@batilian.fr
SIREN : 978 695 781

12.2 Délégué à la Protection des Données (DPO)

Référent Données Personnelles : admin@batilian.fr
Les demandes RGPD doivent être adressées à cette adresse avec mention « [RGPD] » dans l'objet.

Dernière mise à jour : 25 avril 2026
Applicable à partir du : 25 avril 2026
Conforme au Règlement Général sur la Protection des Données (RGPD) UE 2016/679 et à la Loi française Informatique et Libertés.