Lystimmo
Politique de confidentialité
Dernière mise à jour: 9 avril 2026
1. Préambule et périmètre
La présente politique de confidentialité (la "Politique") explique comment Lystimmo traite les données personnelles dans le cadre de la fourniture du Service (SaaS B2B destiné aux professionnels de l'immobilier). Elle s'applique aux visiteurs du site, aux Utilisateurs disposant d'un compte, et au traitement des Données Clients importées par les Utilisateurs.
Cette Politique doit être lue conjointement avec les CGU/CGV.
2. Identité du responsable de traitement / sous-traitant
Responsable du traitement (données de compte, facturation, sécurité)
Alexandre LEVIEUX — Entrepreneur individuel — SIRET : 94129392000018
E‑mail : contact.lystimmo@gmail.com
Contact RGPD : Alexandre LEVIEUX
Pour les Données Clients (vendeurs/acquéreurs, prospects, etc.) importées/saisies par l'Utilisateur, l'Utilisateur est responsable de traitement et Lystimmo agit en qualité de sous‑traitant (article 28 du RGPD), conformément aux instructions de l'Utilisateur.
3. Données traitées (catégories)
Selon votre usage du Service, nous pouvons traiter les catégories de données suivantes :
Conformément au principe de minimisation, Lystimmo ne collecte que les données strictement nécessaires aux finalités décrites.
- Données de compte et de profil (Utilisateur) : identité et coordonnées professionnelles (nom, e‑mail, téléphone si renseigné), informations de compte (identifiants, authentification gérée par Supabase), agence/société, paramètres et historiques d'actions.
- Données de consentement et de certification professionnelle : horodatage et version des CGU/CGV et de la Politique acceptées, ainsi que la certification d'usage professionnel lors de l'inscription.
- Preuves de génération documentaire : pour certains documents générés (ex. bon de visite, Tracfin), nous conservons un snapshot logique (payload utilisé, version de template, hash d'intégrité), associé à un audit de génération (horodatage, identifiant utilisateur, adresse IP, user-agent, request-id). Le PDF n'est pas stocké au titre de cette preuve.
- Données d'abonnement et facturation : statut d'abonnement, identifiants Stripe (customer/subscription), historique de paiement, factures et reçus (via Stripe).
- Données liées aux intégrations : jetons/identifiants techniques nécessaires au fonctionnement des connecteurs (ex. Google Workspace : Gmail, Agenda) et données synchronisées selon les autorisations accordées, ainsi que les numéros de téléphone des contacts pour l'envoi de rappels SMS via le module Bons de visite (plan Élite uniquement).
- Données Clients (tiers) : données relatives aux vendeurs/acquéreurs/prospects gérés par l'Utilisateur (identité, coordonnées, critères de recherche, informations sur biens/mandats, échanges, notes, etc.), selon les champs renseignés par l'Utilisateur.
- Données des visiteurs (pages partagées) : lorsque l'Utilisateur partage une fiche/annonce, les visiteurs peuvent saisir des informations (ex. nom, coordonnées, message, disponibilités) pour envoyer une demande à l'Utilisateur.
- Données liées à l'assistant IA : messages et contenus que l'Utilisateur choisit d'envoyer à l'assistant, ainsi que les réponses générées.
- Données techniques : type d'appareil, logs, identifiants de session/cookies nécessaires au fonctionnement, et mesures de sécurité.
Lors de l'acceptation des CGU/CGV et de la présente Politique, un horodatage ainsi que la version des documents acceptés sont enregistrés à des fins de preuve contractuelle. Ces preuves d'acceptation incluent également l'adresse IP et le user-agent au moment de l'acceptation ; elles sont conservées pendant toute la durée de votre compte (preuve contractuelle au sens de l'article 2224 du Code civil) et supprimées automatiquement, en cascade, si vous demandez la suppression de votre compte.
4. Finalités et bases légales
Nous traitons vos données personnelles pour les finalités suivantes, sur les bases légales correspondantes :
- Fourniture du Service (gestion de compte, accès, fonctionnalités CRM/mandats/buyers/matching) — exécution du contrat (article 6(1)(b) RGPD).
- Fonctionnalités IA (assistant, génération de contenus) — exécution du contrat (article 6(1)(b) RGPD).
- Facturation et gestion des abonnements — exécution du contrat et obligations légales comptables/fiscales (articles 6(1)(b) et 6(1)(c) RGPD).
- Notifications et e-mails transactionnels — exécution du contrat (article 6(1)(b) RGPD).
- Envoi de rappels SMS (bons de visite, plan Élite) — exécution du contrat (article 6(1)(b) RGPD).
- Sécurité, prévention de la fraude, journalisation — intérêt légitime (article 6(1)(f) RGPD).
- Intégrations tierces (ex. Google Workspace) — exécution du contrat et/ou consentement selon le connecteur (article 6(1)(b) et/ou 6(1)(a) RGPD).
- Mesure d'audience (pages publiques) — consentement (traceur) et/ou intérêt légitime selon le cas (article 6(1)(a) et/ou 6(1)(f) RGPD).
5. Services tiers et intégrations (Google, IA, e-mails, cartographie)
Lorsque vous connectez un compte Google, l'application peut accéder uniquement aux autorisations validées : lecture seule des emails entrants (gmail.readonly) pour la détection automatique de leads, et accès au calendrier Google (calendar) pour deux usages : lecture des événements existants afin d'afficher une vue unifiée agenda dans le CRM, et création automatique d'événements de relance client ([CRM] Relance) lors de la pose d'alertes ou de l'acceptation d'une offre. Aucun email n'est modifié, supprimé ou partagé. Cette connexion est facultative, dissociable à tout moment depuis les paramètres, et indépendante du login principal.
Les données accessibles via l'intégration Google (emails, agenda) sont utilisées exclusivement pour fournir les fonctionnalités du Service à l'utilisateur. Elles ne sont en aucun cas utilisées à des fins publicitaires, de profilage, de revente, ou d'entraînement de modèles d'intelligence artificielle.
Lorsque vous utilisez les fonctionnalités d'assistant/génération assistée par IA, certains contenus que vous envoyez peuvent être transmis à un prestataire d'IA (ex. OpenAI) afin de générer une réponse. Vous restez responsable des informations que vous choisissez de soumettre (notamment, éviter d'y inclure des données inutiles ou sensibles).
Lystimmo peut également recourir à des prestataires d'envoi d'e-mails (ex. Resend) pour l'envoi d'e‑mails transactionnels (création de compte, notifications, demandes de visite, etc.). Lystimmo peut également recourir à Brevo pour l'envoi de SMS transactionnels (rappels de rendez-vous de visites). Seul le numéro de téléphone du destinataire et le contenu du rappel sont transmis à Brevo.
Certaines pages peuvent afficher des cartes via des services tiers (ex. tuiles OpenStreetMap) ; ces services peuvent recevoir des données techniques de navigation nécessaires à l'affichage.
Le module Inter-agences permet l'échange de messages entre professionnels de l'immobilier utilisant Lystimmo. Les messages échangés sont traités aux seules fins de permettre cette communication professionnelle entre agents, et ne sont ni analysés ni transmis à des tiers.
6. Sous-traitants et destinataires
Nous pouvons partager des données avec des sous‑traitants strictement nécessaires au fonctionnement du Service, dans la limite de leurs missions, et sous obligations de confidentialité et de sécurité.
| Sous‑traitant | Rôle | Données concernées |
|---|---|---|
| Vercel | Hébergement applicatif (frontend / fonctions) | Données techniques (journaux d'accès et d'erreurs) |
| Supabase | Base de données, stockage, authentification | Données de compte, Données Clients, stockage, et journaux techniques |
| Stripe | Paiement et gestion des abonnements | Données de paiement (tokenisées), facturation, statut |
| OAuth/Workspace (si activé) | Données d'intégration Google selon les autorisations accordées (ex. Gmail, Agenda) | |
| OpenAI | Fournisseur IA (assistant / génération) | Contenus soumis à l'assistant IA (messages, contexte) |
| Resend | Envoi d'e-mails transactionnels | Destinataires, contenu des e-mails et métadonnées d'envoi |
| Brevo | Envoi de SMS transactionnels (rappels de visites) | Numéro de téléphone du destinataire, contenu du SMS |
| OpenStreetMap (tuiles) | Affichage cartographique (si utilisé) | Données techniques de navigation nécessaires à l'affichage |
La liste ci‑dessus présente les principaux sous‑traitants utilisés à la date de mise à jour.
7. Transferts hors Union Européenne
Certains prestataires peuvent être situés en dehors de l'Union européenne et/ou de l'Espace économique européen. Lorsque des transferts hors EEE sont nécessaires, ils sont encadrés conformément au RGPD.
8. Durées de conservation
Les durées de conservation ci-dessous sont appliquées automatiquement par des tâches planifiées (crons) et par des mécanismes de suppression en cascade. Elles sont conformes au principe de limitation de la conservation (article 5(1)(e) du RGPD).
| Catégorie | Durée | Mécanisme |
|---|---|---|
| Compte Utilisateur | Durée de la relation contractuelle | Suppression ou archivage à la clôture, sauf obligations légales |
| Données de facturation (Stripe, factures, historique d'abonnement) | Jusqu'à 10 ans | Obligation comptable (Code de commerce art. L123-22) |
| Données Clients (vendeurs, acquéreurs, mandats, matches) | Durée d'utilisation du Service par l'Utilisateur | Suppression à la demande de l'Utilisateur (sous 30 jours), sauf obligation légale |
| Preuves de génération documentaire (audit de génération : horodatage, identifiant utilisateur, IP, user-agent, hash du payload) | 12 mois | Purge automatique mensuelle (RPC run_audit_logs_purge_job) |
| Preuves d'acceptation CGU/Privacy (horodatage, version acceptée, IP, user-agent) | Durée du compte | Suppression en cascade automatique à la suppression du compte |
| Timeline d'activité admin (événements utilisateur détaillés) | 30 jours | Purge automatique quotidienne |
| Fil d'activité dashboard (suppressions, événements visibles) | 6 mois | Purge automatique quotidienne |
| Logs d'API techniques (monitoring opérationnel) | 6 mois | Purge automatique quotidienne |
| Historique des SMS de rappel de visite (numéro du destinataire) | Numéro complet conservé 24 mois, puis anonymisé par masquage partiel (format +33 6 •• •• •• 78) | Anonymisation automatique quotidienne au-delà de 24 mois |
| Snapshots logiques de documents générés | Donnée métier, conservée sans purge automatique | Supprimée à la demande de l'Utilisateur |
| Mesure d'audience "live" (pages publiques) | Jusqu'à 7 jours | Purge technique automatique |
| Messages et réponses de l'assistant IA | Jusqu'à 90 jours | Conservés à des fins de fourniture du service, support et amélioration, puis supprimés |
9. Sécurité
Lystimmo met en place des mesures techniques et organisationnelles adaptées afin de protéger les données contre l'accès non autorisé, la divulgation, l'altération ou la perte (ex. chiffrement en transit via HTTPS/TLS, contrôle d'accès, cloisonnement multi‑tenant, politiques RLS en base de données, sauvegardes, journalisation, etc.).
En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, Lystimmo notifiera l'autorité compétente et/ou les personnes concernées conformément aux obligations légales.
10. Vos droits (RGPD)
Conformément au RGPD, vous disposez (selon les conditions applicables) des droits suivants : accès, rectification, effacement, limitation, opposition, portabilité, et définition de directives post‑mortem.
Important (Données Clients) : pour les données relatives aux vendeurs/acquéreurs importées par un agent, la demande doit être adressée en priorité à l'agent immobilier (responsable de traitement). Lystimmo assistera l'agent, en qualité de sous‑traitant, dans la mesure permise par la loi et les moyens disponibles.
11. Cookies et traceurs
Le Service utilise des cookies/traceurs strictement nécessaires au fonctionnement (authentification, sécurité, sessions, anti‑abus). Par exemple : cookies de session d'authentification (Supabase), cookie technique pour l'état OAuth (Google), et cookie anti‑spam sur le formulaire de demande de visite.
Sur certaines pages publiques (ex. page d'accueil, pages partagées), un traceur de mesure d'audience peut être proposé afin d'afficher un compteur temps réel (identifiant de session anonyme côté navigateur, page consultée, référent, user‑agent). Vous pouvez accepter ou refuser ce traceur via la bannière affichée lors de votre visite (et modifier votre choix à tout moment ci‑dessous).
Aucun cookie publicitaire ou de profilage n'est utilisé.
Gérer la mesure d'audience
Choix actuel : …
12. Réclamation (CNIL)
Vous pouvez introduire une réclamation auprès de la CNIL (Commission nationale de l'informatique et des libertés) si vous estimez que vos droits ne sont pas respectés.
13. Modifications de la Politique
Nous pouvons mettre à jour la présente Politique afin de refléter les évolutions du Service, des sous‑traitants, ou de la réglementation. En cas de modification substantielle, une notification pourra être envoyée (email et/ou notification in‑app).
14. Contact
Pour toute demande liée à vos données personnelles: contact.lystimmo@gmail.com