Politique de confidentialité

Bienvenue chez Vitru'home ! Nous savons que votre vie privée est importante et nous nous engageons à la protéger. La présente politique de confidentialité explique, de manière claire et simple, comment nous collectons, utilisons et protégeons vos données personnelles lorsque vous utilisez notre suite d'applications Vitru'home.

Périmètre. Cette politique de confidentialité ne s'applique pas si vous utilisez notre suite d'applications Vitru'home pour traiter des données à caractère personnel dans le cadre de vos activités professionnelles. Dans ce cas, vous êtes le responsable du traitement des données et Vitru'home est le sous-traitant.

1. Qui collecte vos données ?

Vitru'home. Dans le contexte de cette politique de confidentialité, Vitru'home est le responsable du traitement de vos données personnelles. Cela signifie que Vitru'home est l'entité qui décide comment et pourquoi vos données personnelles sont collectées et utilisées.

Qui sommes-nous. Vitruhome, société par actions simplifiée au capital de 1 000 euros, immatriculée au Registre du Commerce et des Sociétés de Salon-de-Provence sous le numéro 994 224 715, dont le siège social est situé au 16 rue du Citis, 13140 Miramas (ci-après « Vitru'home », « nous » ou « notre société »), est représentée par Maxime Gilquin en qualité de Directeur de la publication. Vitru'home est la marque commerciale sous laquelle Vitruhome exploite sa plateforme.

Comment nous contacter. Par email à team@vitruhome.com, ou par courrier à l'adresse ci-dessus.

Délégué à la Protection des Données (DPO). Après analyse menée au regard de l'article 37.1 du RGPD et des lignes directrices WP243 du Comité européen de la protection des données (« CEPD »), Vitru'home n'est pas légalement tenude désigner un DPO :

Art. 37.1.a— Vitru'home n'est pas une autorité ni un organisme public.
Art. 37.1.b— Les activités de base de Vitru'home ne consistent pas en un « suivi régulier et systématique à grande échelle » des personnes concernées, au sens des critères WP243 (nombre de personnes concernées, volume et variété des données, durée et permanence du traitement, étendue géographique). Vitru'home exploite une plateforme B2B destinée aux professionnels de l'immobilier avec une base de clientèle restreinte et un traitement limité aux seules données nécessaires à la fourniture du service.
Art. 37.1.c— Vitru'home ne traite pas à grande échelle de catégories particulières de données au sens de l'article 9 du RGPD (origine raciale ou ethnique, opinions politiques, convictions religieuses, santé, orientation sexuelle…) ni de données relatives à des condamnations pénales (art. 10).

Cette analyse est réévaluée à chaque évolution matérielle de nos traitements (volume de clients, nouvelles fonctionnalités, nouvelles catégories de données). Si les seuils de l'article 37 venaient à être franchis, Vitru'home procéderait sans délai à la désignation d'un DPO et mettrait à jour la présente politique.

Contact privacy. Pour toute question relative à la protection de vos données personnelles ou pour exercer vos droits, écrivez à team@vitruhome.com. Nous vous répondons dans un délai maximal d'un mois conformément à l'article 12.3 du RGPD.

2. Quelles données collectons-nous ?

2.1 Données que vous nous fournissez directement

Catégorie de données personnelles	Quand collectons-nous vos données personnelles ?
Données d'identité civile (prénom, nom), données de compte (email, mot de passe haché, moyens de récupération et de vérification), données de contact (email), organisation (raison sociale, SIRET, fonction, adresse de facturation), données relatives à votre contrat (catégorie d'abonnement).	Lorsque vous créez votre compte Vitru'home et que vous souscrivez à une offre.
Données de contact (email).	Lorsque vous vous inscrivez à notre newsletter.
Données de paiement et de facturation (factures, historique, adresse de facturation) — les numéros de carte sont traités uniquement par Stripe.	Lorsque vous souscrivez à une offre payante.
Données d'entrée: requêtes adressées à l'IA (« prompts »), adresses à analyser, paramètres de rapport, documents téléversés (plans, PDF, études techniques) et, le cas échéant, données de mise au point (« fine-tuning »). Évaluations: toute information que vous nous fournissez lorsque vous évaluez une sortie IA (pouce vers le haut/bas, signalement, message au support), ainsi que les données d'entrée et de sortie associées.	Lorsque vous utilisez Vitru'home.

2.2 Données générées par votre utilisation de nos services

Catégorie de données personnelles	Quand collectons-nous vos données personnelles ?
Données techniques : journaux de connexion et données que votre navigateur ou votre équipement envoient automatiquement (adresse IP, user-agent, type de navigateur, type de protocole réseau). Cookies : voir section 4. Données d'utilisation : fonctionnalités employées, temps passé, parcours de navigation, historique des analyses et conversations IA. Données de sortie: tout contenu généré par Vitru'home sur la base de vos données d'entrée (résultats d'analyses, rapports générés, réponses IA).	Lorsque vous utilisez Vitru'home.

Catégorie de données personnelles

Quand collectons-nous vos données personnelles ?

Données techniques : journaux de connexion et données que votre navigateur ou votre équipement envoient automatiquement (adresse IP, user-agent, type de navigateur, type de protocole réseau).
Cookies : voir section 4.
Données d'utilisation : fonctionnalités employées, temps passé, parcours de navigation, historique des analyses et conversations IA.
Données de sortie: tout contenu généré par Vitru'home sur la base de vos données d'entrée (résultats d'analyses, rapports générés, réponses IA).

Lorsque vous utilisez Vitru'home.

2.3 Données personnelles qui nous sont fournies indirectement

●Données géographiques et cadastrales publiques. Enrichies à partir des adresses que vous renseignez, via des APIs publiques (IGN, Géorisques, INSEE, BRGM, data.gouv.fr, etc.).
●Données de paiement. Statut de transaction, date, montant transmis par Stripe après paiement, sans données bancaires sensibles.
●Contenus tiers affichés dans les analyses. Liens, vignettes ou extraits provenant d'API publiques, affichés pour contextualiser les résultats. Si vos données d'entrée contiennent des données personnelles, celles-ci peuvent apparaître dans ce contenu tiers. Nous n'utilisons pas ce contenu tiers pour entraîner nos modèles, et plus généralement nous n'entraînons pas de modèles d'intelligence artificielle sur vos données personnelles ni sur les documents que vous téléversez (voir la section 9 et notre Charte IA).

3. Pourquoi utilisons-nous vos données ?

Nous traitons vos données personnelles pour les finalités suivantes, en application des bases légales prévues à l'article 6 du RGPD :

Finalité	Catégories de données	Base légale
Créer, administrer et sécuriser votre compte	Identité, compte, authentification	Exécution du contrat
Fournir les services (analyses, IA, OCR, rapports)	Documents, données d'entrée et de sortie, usage	Exécution du contrat
Traiter les paiements et la facturation	Identité, organisation, paiement	Contrat + obligation légale
Communications transactionnelles (confirmations, alertes sécurité, notifications produit)	Email, compte	Exécution du contrat
Communications commerciales (newsletter, nouveautés)	Email	Consentement
Support client et correction d'erreurs	Identité, contact, données liées à la demande	Exécution du contrat
Débogage, supervision technique, observabilité	Logs techniques, données d'usage	Intérêt légitime
Sécurité, prévention de la fraude, rate-limiting, anti-bot	IP, logs, empreintes techniques	Intérêt légitime + obligation légale
Amélioration du service et statistiques anonymisées	Données d'usage agrégées	Intérêt légitime
Mesure d'audience et analytics	Données de navigation	Consentement
Application des Conditions Générales (modération, lutte contre les abus)	Compte, usage, données d'entrée et de sortie	Exécution du contrat
Gestion des litiges et défense de nos droits	Toute donnée nécessaire au litige	Intérêt légitime + contrat
Exercice des droits RGPD (réponse à vos demandes)	Identité, contact, données de la demande	Obligation légale
Respect des obligations légales et fiscales	Facturation, logs	Obligation légale

Vitru'home ne met en œuvre ni profilage, ni décision entièrement automatisée produisant des effets juridiques ou significatifs au sens de l'article 22 du RGPD : les analyses générées par nos systèmes d'IA constituent une aide à la décision et ne remplacent pas l'appréciation d'un professionnel qualifié. Les limitations et usages attendus propres à chacun de nos systèmes d'IA sont détaillés dans notre Charte IA.

4. Cookies

Lorsque vous visitez notre site web, nous utilisons des cookies (petits fichiers texte stockés sur votre appareil) pour le fonctionnement, la sécurité et, sous réserve de votre consentement, la mesure d'audience. Vous pouvez gérer vos préférences à tout moment via le lien « Gérer les cookies » en bas de page. Pour en savoir plus, consultez notre Politique Cookies.

5. Combien de temps conservons-nous vos données ?

Nous conservons vos données personnelles uniquement aussi longtemps que nécessaire aux finalités décrites à la section 3 de la présente politique.

5.1 Durées opérationnelles (liées à l'usage du service)

Catégorie	Durée
Compte actif et données associées	Durée de la relation contractuelle
Analyses, rapports, documents téléversés	Durée de la souscription + 30 jours de restitution
Conversations avec l'assistant IA	Durée de la souscription (suppression possible à tout moment)
Données d'entrée/sortie des APIs IA (hors fine-tuning)	Jusqu'à 30 jours (modération) puis suppression
Cookies et traceurs non essentiels	Durée de votre consentement (13 mois maximum)
Données de contact newsletter	Tant que vous êtes inscrit
Données de prospection commerciale	3 ans à compter du dernier contact

Nous pouvons conserver les données plus longtemps si la loi l'exige ou dans le cadre d'un litige ou d'une procédure judiciaire. Pendant la période d'archivage, les catégories concernées ne sont pas consultées par un membre de notre équipe, sauf pour remplir nos obligations légales ou en cas de contentieux (par exemple, pour recouvrer une facture impayée). Une fois les délais légaux expirés, ces données sont supprimées ou anonymisées de manière irréversible.

5.2 Durées d'archivage (obligations légales et défense)

Catégorie	Durée
Identité civile	5 ans après la suppression du compte
Données de récupération de compte (email, téléphone)	1 an après la suppression du compte
Journaux de connexion	12 mois (Art. L34-1 CPCE, LCEN)
Factures et pièces comptables	10 ans (Art. L123-22 Code de commerce)
Contrats et documents commerciaux	Durée du contrat + 5 ans
Demandes d'exercice des droits RGPD	Durée de traitement + 6 ans
Correspondances support client	Résolution + 5 ans d'archivage
Données liées à un litige	Jusqu'à expiration des voies de recours
Preuve du consentement	5 ans
Données anonymisées (statistiques)	Sans limite

6. Qui a accès à vos données ?

Nous ne vendons, n'échangeons ni ne louons vos données personnelles. Nous sommes susceptibles de les partager avec les parties suivantes, uniquement dans la mesure où elles ont besoin d'y accéder pour exercer leur mission :

●Les membres de notre équipe. Les membres autorisés de nos équipes (produit, technique, support, comptabilité) qui ont besoin d'un accès pour effectuer leurs missions, dans le respect de règles internes de confidentialité et de sécurité.
●Institutions financières. Banques et prestataires de services de paiement (Stripe), dans le cadre du traitement des paiements et du recouvrement.
●Autorités de régulation et publiques. CNIL, administrations fiscales, autorités judiciaires ou administratives compétentes, sur réquisition légale et dans la stricte mesure requise par la loi.
●Services juridiques et professionnels. Le cas échéant, tribunaux compétents, médiateurs, experts-comptables, commissaires aux comptes, avocats, huissiers de justice et agences de recouvrement de créances.

En outre, nous pouvons partager tout ou partie de vos données personnelles avec nos sous-traitants techniques. Avant de nous engager avec un sous-traitant, nous réalisons les vérifications nécessaires pour nous assurer qu'il respecte nos exigences de confidentialité et de sécurité, et nous signons avec lui un contrat de sous-traitance conforme à l'article 28 du RGPD. Nos principaux sous-traitants sont listés ci-dessous.

Sous-traitant	Finalité	Localisation
Supabase	Base de données, authentification, stockage	UE (AWS Paris, eu-west-3)
Vercel	Hébergement applicatif et CDN	US / régions edge
Amazon Web Services (AWS)	Bedrock (IA), S3 (stockage), ECS/Lambda (calcul)	UE (Paris, eu-west-3) et US
Anthropic (via AWS Bedrock)	Modèles d'IA conversationnelle (Claude)	UE (eu-west-3)
Stripe	Traitement des paiements	US (filiale irlandaise pour l'UE)
Resend	Envoi des emails transactionnels	US
PostHog	Mesure d'audience (avec consentement)	UE
Sentry	Suivi des erreurs techniques	US
Cloudflare	Protection anti-bot (Turnstile) et CDN	US / réseau global
Mapbox	Fond de carte et tuiles vectorielles	US
Google Maps Platform	Géocodage et cartographie	US

7. Où sont stockées vos données ?

Nous sélectionnons en priorité des fournisseurs établis dans l'Union européenne. Nos bases de données principales, nos traitements d'intelligence artificielle et notre stockage de documents sont hébergés en région Paris (AWS eu-west-3).

Lorsque, pour des raisons fonctionnelles, certains prestataires sont établis hors de l'Union européenne (notamment aux États-Unis), les transferts sont encadrés par les garanties appropriées prévues au chapitre V du RGPD :

●Clauses contractuelles types (CCT) adoptées par la Commission européenne (décision 2021/914)
●Certification EU-US Data Privacy Framework pour les prestataires américains éligibles
●Mesures techniques et organisationnelles complémentaires : chiffrement en transit (TLS 1.2+), chiffrement au repos, cloisonnement logique, pseudonymisation lorsque cela est possible

Nous joignons systématiquement la version la plus récente des Clauses contractuelles types à nos contrats de sous-traitance avec les prestataires concernés.

8. Vos droits

Conformément aux articles 15 à 22 du RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants :

●Droit d'accès : obtenir la confirmation que vos données sont traitées et en recevoir une copie.
●Droit de rectification : corriger vos données inexactes ou incomplètes.
●Droit à l'effacement : demander la suppression de vos données, sous réserve des obligations légales de conservation.
●Droit à la limitation : geler temporairement le traitement.
●Droit à la portabilité : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable de traitement.
●Droit d'opposition : vous opposer au traitement fondé sur l'intérêt légitime.
●Droit de retrait du consentement : à tout moment, sans affecter la licéité du traitement antérieur.
●Droit de ne pas faire l'objet d'une décision entièrement automatisée (Art. 22 RGPD) : Vitru'home n'a pas recours au profilage ni à la prise de décision entièrement automatisée produisant des effets juridiques ou significatifs.
●Directives post-mortem : relatives à la conservation, à l'effacement et à la communication de vos données après votre décès (Art. 85 de la loi Informatique et Libertés).

Vous pouvez exercer ces droits :

●directement depuis votre espace personnel (rubrique « Paramètres du compte ») : modification du profil, export des données, suppression du compte ;
●par email à team@vitruhome.com ;
●par courrier à Vitru'home, à l'attention de l'équipe chargée de la protection des données, 16 rue du Citis, 13140 Miramas, France.

Une pièce justificative d'identité peut être demandée en cas de doute raisonnable sur votre identité. Nous nous engageons à répondre dans un délai maximal d'un mois à compter de la réception d'une demande complète, prolongeable de deux mois en cas de complexité particulière (Art. 12.3 RGPD).

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez adresser une réclamation à la Commission Nationale de l'Informatique et des Libertés (CNIL), www.cnil.fr/fr/plaintes.

9. Intelligence artificielle

Vitru'home intègre plusieurs systèmes d'intelligence artificielle pour l'assistant conversationnel, l'analyse de documents, la vision par ordinateur et les analyses automatiques de site.

●Les modèles utilisés sont fournis par Anthropic (Claude, via AWS Bedrock en région eu-west-3).
●Vos données et documents ne sont pas utilisés pour entraîner les modèles des fournisseurs tiers, ni par Vitru'home.
●Les réponses générées peuvent contenir des erreurs, des imprécisions ou des hallucinations ; elles constituent une aide à la décision et ne se substituent pas à l'appréciation d'un professionnel qualifié.
●Vous pouvez supprimer vos conversations et documents téléversés à tout moment depuis votre espace personnel.

Les systèmes d'IA déployés, les modèles utilisés et les obligations applicables au titre du Règlement (UE) 2024/1689 (« AI Act ») sont détaillés dans notre Charte IA.

10. Modifications de la politique

La présente politique de confidentialité peut être modifiée à tout moment pour refléter l'évolution de nos services, de nos obligations légales ou de nos sous-traitants.

En cas de modification substantielle, nous vous en informerons par email et/ou par une notification visible sur la plateforme au moins trente (30) jours avant son entrée en vigueur. La date de dernière mise à jour figure en bas de cette page.

Historique des mises à jour

21 avril 2026 — Publication initiale de la Politique de confidentialité.

Dernière mise à jour : 21 avril 2026