Politique de confidentialité & DPA
La présente politique décrit comment ST AGENCY, éditrice du service Batilead, traite les données personnelles. Elle se compose de deux parties :
- la Politique de confidentialité destinée au grand public (Clients, Prospects, visiteurs) ;
- l'Annexe DPA (Data Processing Agreement) annexée aux CGV et opposable aux Clients souscripteurs.
1. Identité du responsable et contact
Responsable du traitement : ST AGENCY (entreprise individuelle), dont le siège est situé 62 avenue du Général de Gaulle, 94320 Thiais, immatriculée sous le SIRET 994 369 908 00011.
Contact pour toute question relative aux données personnelles : contact@bati-lead.fr.
2. Données collectées et finalités
2.1 Visiteurs du site
| Données | Finalité | Base légale | Durée |
|---|---|---|---|
| Adresse IP, user-agent, pages consultées | Mesure d'audience, sécurité | Intérêt légitime | 13 mois |
| Email (formulaire audit gratuit) | Envoi de l'audit demandé + nurturing | Consentement | 3 ans après dernier contact |
2.2 Clients (Freelances inscrits à Batilead)
| Données | Finalité | Base légale | Durée |
|---|---|---|---|
| Nom, prénom, email, téléphone, adresse pro | Création de compte, facturation, support | Exécution du contrat | Durée du contrat + 5 ans |
| Données de paiement (via Stripe) | Encaissement abonnement | Exécution du contrat | Conservées par Stripe selon ses CGV |
| Logs de connexion, usage produit | Sécurité, support, amélioration | Intérêt légitime | 13 mois |
2.3 Prospects (Artisans contactés via le Service)
L'Éditeur agit ici en qualité de sous-traitant pour le compte du Client (cf. Annexe DPA ci-dessous).
| Données | Finalité | Base légale (côté Client) | Durée |
|---|---|---|---|
| Nom de l'entreprise, ville, métier, téléphone, email pro, URL site, note Google | Génération d'un audit personnalisé et envoi B2B | Intérêt légitime B2B (lignes directrices CNIL) | 3 ans après dernier contact ou opt-out |
Conformément à la doctrine CNIL applicable au démarchage B2B :
- les données sont collectées exclusivement à partir de sources publiquement accessibles (Google Maps, registres professionnels, sites publiés par les artisans eux-mêmes) ;
- chaque message envoyé contient un lien d'opt-out fonctionnel et la mention de la source des données ;
- l'objet du message reste en lien direct avec l'activité professionnelle du destinataire.
3. Destinataires et sous-traitants
Les données sont traitées par les sous-traitants suivants, tous engagés contractuellement à respecter le RGPD :
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Airtable, Inc. | Base de données prospects et clients | USA (clauses contractuelles types) |
| Brevo (Sendinblue SAS) | Envoi email/SMS transactionnels | France / UE |
| Outscraper Ltd | Collecte sources publiques (Google Maps) | Israël (décision d'adéquation) |
| Anthropic, PBC | Génération de texte (modèle Claude) | USA (clauses contractuelles types) |
| Stripe Payments Europe Ltd | Paiement | Irlande / UE |
| Railway Corp. | Hébergement applicatif | USA (clauses contractuelles types) |
| Netlify Inc. | Hébergement landing | USA (clauses contractuelles types) |
| PDFShift | Conversion HTML→PDF | UE |
Aucune donnée n'est revendue ni cédée à un tiers commercial.
4. Sécurité
L'Éditeur met en œuvre des mesures techniques et organisationnelles appropriées : chiffrement TLS, contrôle d'accès, authentification forte, journalisation, sauvegardes, environnement isolé par client. Toute violation de données est notifiée à la CNIL et aux personnes concernées dans les délais légaux.
5. Vos droits
Conformément au RGPD, vous disposez des droits suivants : accès, rectification, effacement, limitation, portabilité, opposition, retrait du consentement, et droit de définir des directives post-mortem.
Pour exercer ces droits, écrivez à contact@bati-lead.fr en justifiant de votre identité. Une réponse vous sera apportée dans un délai maximum de 30 jours.
Vous disposez également du droit d'introduire une réclamation auprès de la CNIL (cnil.fr/plaintes).
6. Cookies
Le site utilise uniquement des cookies strictement nécessaires au fonctionnement (session, préférences, sécurité) et, sous réserve de votre consentement préalable, des cookies de mesure d'audience. Aucun cookie publicitaire ou de profilage marketing n'est déposé.
Accord de sous-traitance des données (DPA)
La présente annexe encadre, conformément à l'article 28 du RGPD, le traitement par l'Éditeur (« le Sous-traitant ») des données personnelles dont le Client (« le Responsable du traitement ») est responsable. Elle est annexée aux CGV et acceptée en même temps que celles-ci.
Article 1 — Objet
Le Sous-traitant est autorisé à traiter, pour le compte du Responsable, les catégories de données suivantes : nom de l'entreprise prospectée, ville, métier, coordonnées professionnelles publiques, URL site, indicateurs publics (note Google).
Aux seules fins suivantes : identification, scoring, génération d'audit personnalisé, envoi de la séquence email/SMS définie au contrat principal.
Article 2 — Obligations du Sous-traitant
Le Sous-traitant s'engage à :
- traiter les données uniquement sur instructions documentées du Responsable (les CGV et le paramétrage du compte) ;
- garantir la confidentialité par les personnes habilitées à traiter les données ;
- mettre en œuvre les mesures de sécurité prévues à l'article 32 du RGPD ;
- aider le Responsable à répondre aux demandes d'exercice de droits des personnes concernées ;
- notifier toute violation de données dans un délai de 72 heures ;
- supprimer ou restituer les données à la fin de la prestation, au choix du Responsable ;
- tenir un registre des activités de traitement et le mettre à disposition sur demande motivée.
Article 3 — Sous-traitance ultérieure
Le Responsable autorise le Sous-traitant à recourir aux sous-traitants ultérieurs listés à la Section 3 ci-dessus. Toute modification substantielle de cette liste sera notifiée au Responsable, qui disposera de 30 jours pour s'y opposer ; à défaut d'opposition, la modification est réputée acceptée.
Article 4 — Transferts hors UE
Lorsque des données sont transférées hors UE, le Sous-traitant met en œuvre les Clauses Contractuelles Types de la Commission européenne (décision 2021/914) et les mesures supplémentaires recommandées (chiffrement, pseudonymisation lorsque techniquement possible).
Article 5 — Audit
Le Responsable peut, à ses frais et avec un préavis raisonnable de 30 jours, faire procéder à un audit de conformité par un tiers indépendant tenu à une obligation de confidentialité. Le Sous-traitant peut alternativement fournir un rapport d'audit ou une certification existante (ex. ISO 27001, SOC 2) en lieu et place de l'audit sur site.
Article 6 — Responsabilité
Conformément à l'article 82 du RGPD, chaque partie répond des dommages causés par un manquement à ses propres obligations. La responsabilité du Sous-traitant au titre du présent DPA est plafonnée selon les termes de l'article 13 des CGV.
Article 7 — Durée
Le présent DPA prend effet à la date d'acceptation des CGV et reste en vigueur tant que dure la prestation, ainsi que pendant les périodes de conservation post-résiliation.