Politique de confidentialité & DPA
La présente politique décrit comment ST AGENCY, éditrice du service Bati-lead (génération et vente de leads B2B qualifiés à destination des freelances et agences web BTP), traite les données personnelles. Elle se compose de deux parties :
- la Politique de confidentialité destinée au grand public (Clients freelances, Prospects artisans, visiteurs du site) ;
- l'Annexe DPA (Data Processing Agreement) annexée aux CGV et opposable aux Clients ayant acheté un ou plusieurs leads.
1. Identité du responsable et contact
Responsable du traitement : ST AGENCY (entreprise individuelle), dont le siège est situé 62 avenue du Général de Gaulle, 94320 Thiais, immatriculée sous le SIRET 994 369 908 00011.
Contact pour toute question relative aux données personnelles : stan@bati-lead.fr.
2. Données collectées et finalités
2.1 Visiteurs du site
| Données | Finalité | Base légale | Durée |
|---|---|---|---|
| Adresse IP, user-agent, pages consultées | Mesure d'audience, sécurité | Intérêt légitime | 13 mois |
| Email + formulaire de candidature freelance | Étude de la candidature, échange préalable, transmission éventuelle d'un lien de paiement | Mesures précontractuelles à la demande du Client | 3 ans après dernier contact si la candidature n'aboutit pas |
2.2 Clients (Freelances et agences ayant acheté au moins un lead)
| Données | Finalité | Base légale | Durée |
|---|---|---|---|
| Nom, prénom, email, téléphone, adresse professionnelle | Création de compte, livraison des leads, support, facturation | Exécution du contrat | Durée du compte actif + 5 ans (prescription civile et fiscale) |
| Acceptation des CGV (horodatage UTC, version, IP, user-agent) | Preuve de la signature électronique (art. 1367 CC) | Intérêt légitime probatoire | 5 ans à compter de l'acceptation |
| Données de paiement (via Stripe) | Encaissement de la commande | Exécution du contrat | Conservées par Stripe selon ses propres CGV |
| Historique des leads livrés et de leur statut (contacté, RDV, converti, refusé) | Traçabilité de la livraison, gestion de la garantie de remplacement | Exécution du contrat | 5 ans |
| Logs de connexion au portail freelance | Sécurité, support | Intérêt légitime | 13 mois |
2.3 Prospects (Artisans BTP qualifiés par Bati-lead)
Avant la livraison à un Client, l'Éditeur agit en qualité de responsable du traitement dans le cadre de sa propre démarche de qualification (identification, prise de contact téléphonique, recueil d'intérêt). Une fois le lead livré à un Client, ce dernier devient le responsable de traitement de ses propres opérations commerciales (relances, devis, suivi), l'Éditeur conservant alors un rôle de sous-traitant pour la conservation et la mise à disposition des données dans le portail freelance (cf. Annexe DPA ci-dessous).
| Données | Finalité | Base légale | Durée |
|---|---|---|---|
| Raison sociale, ville, métier, téléphone, email pro, URL site, indicateurs publics (note Google, présence GMB) | Identification et qualification d'un éventuel intérêt pour les services web | Intérêt légitime B2B (lignes directrices CNIL) | 3 ans après le dernier contact ou opt-out exprès |
| Verbatim de la qualification téléphonique, contexte exprimé, angle d'attaque, accord de transmission | Constituer la fiche du lead livrée au Client | Consentement explicite recueilli oralement et tracé par écrit | 5 ans à compter de la livraison (preuve du consentement) |
Conformément à la doctrine CNIL applicable au démarchage B2B :
- les données sont collectées exclusivement à partir de sources publiquement accessibles (Google Maps, fiches Google Business, sites publiés par les artisans eux-mêmes) ;
- l'Éditeur s'identifie clairement à chaque appel et indique l'usage projeté des données ;
- l'accord du lead pour transmettre ses coordonnées au Client est explicite, oral et tracé par écrit dans la fiche ;
- tout lead peut à tout moment exercer son droit d'opposition par simple message (email stan@bati-lead.fr ou réponse à l'email reçu).
3. Destinataires et sous-traitants
Les données sont traitées par les sous-traitants suivants, tous engagés contractuellement à respecter le RGPD :
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Airtable, Inc. | Base de données prospects et clients | USA (clauses contractuelles types) |
| Brevo (Sendinblue SAS) | Envoi email/SMS transactionnels | France / UE |
| Outscraper Ltd | Collecte sources publiques (Google Maps) | Israël (décision d'adéquation) |
| Anthropic, PBC | Génération de texte (modèle Claude) | USA (clauses contractuelles types) |
| Stripe Payments Europe Ltd | Paiement | Irlande / UE |
| Railway Corp. | Hébergement applicatif | USA (clauses contractuelles types) |
| Netlify Inc. | Hébergement landing | USA (clauses contractuelles types) |
| PDFShift | Conversion HTML→PDF | UE |
Aucune donnée n'est revendue ni cédée à un tiers commercial.
4. Sécurité
L'Éditeur met en œuvre des mesures techniques et organisationnelles appropriées : chiffrement TLS, contrôle d'accès, authentification forte, journalisation, sauvegardes, environnement isolé par client. Toute violation de données est notifiée à la CNIL et aux personnes concernées dans les délais légaux.
5. Vos droits
Conformément au RGPD, vous disposez des droits suivants : accès, rectification, effacement, limitation, portabilité, opposition, retrait du consentement, et droit de définir des directives post-mortem.
Pour exercer ces droits, écrivez à stan@bati-lead.fr en justifiant de votre identité. Une réponse vous sera apportée dans un délai maximum de 30 jours.
Vous disposez également du droit d'introduire une réclamation auprès de la CNIL (cnil.fr/plaintes).
6. Cookies
Le site utilise uniquement des cookies strictement nécessaires au fonctionnement (session, préférences, sécurité) et, sous réserve de votre consentement préalable, des cookies de mesure d'audience. Aucun cookie publicitaire ou de profilage marketing n'est déposé.
Accord de sous-traitance des données (DPA)
La présente annexe encadre, conformément à l'article 28 du RGPD, le traitement par l'Éditeur (« le Sous-traitant ») des données personnelles dont le Client (« le Responsable du traitement ») est responsable. Elle est annexée aux CGV et acceptée en même temps que celles-ci.
Article 1 — Objet
Le Sous-traitant (Bati-lead) est autorisé à traiter, pour le compte du Responsable de traitement (le Client), les catégories de données suivantes : raison sociale, ville, métier, coordonnées professionnelles (téléphone, email), URL site, contexte commercial recueilli au moment de la qualification.
Aux seules fins suivantes :
- conservation et mise à disposition des fiches leads dans le portail freelance accessible au Client ;
- traçabilité du statut commercial (contacté, RDV, converti, refusé, demande de remplacement) renseigné par le Client lui-même ;
- traitement des demandes de remplacement / remboursement formulées par le Client en application de l'Article 5 bis des CGV.
Pour mémoire, la phase de collecte et qualification du lead, antérieure à la livraison, relève d'un traitement autonome de l'Éditeur agissant en qualité de responsable de traitement (cf. Section 2.3 ci-dessus). Le présent DPA ne porte que sur la phase post-livraison.
Article 2 — Obligations du Sous-traitant
Le Sous-traitant s'engage à :
- traiter les données uniquement sur instructions documentées du Responsable (les CGV et le paramétrage du compte) ;
- garantir la confidentialité par les personnes habilitées à traiter les données ;
- mettre en œuvre les mesures de sécurité prévues à l'article 32 du RGPD ;
- aider le Responsable à répondre aux demandes d'exercice de droits des personnes concernées ;
- notifier toute violation de données dans un délai de 72 heures ;
- supprimer ou restituer les données à la fin de la prestation, au choix du Responsable ;
- tenir un registre des activités de traitement et le mettre à disposition sur demande motivée.
Article 3 — Sous-traitance ultérieure
Le Responsable autorise le Sous-traitant à recourir aux sous-traitants ultérieurs listés à la Section 3 ci-dessus. Toute modification substantielle de cette liste sera notifiée au Responsable, qui disposera de 30 jours pour s'y opposer ; à défaut d'opposition, la modification est réputée acceptée.
Article 4 — Transferts hors UE
Lorsque des données sont transférées hors UE, le Sous-traitant met en œuvre les Clauses Contractuelles Types de la Commission européenne (décision 2021/914) et les mesures supplémentaires recommandées (chiffrement, pseudonymisation lorsque techniquement possible).
Article 5 — Audit
Le Responsable peut, à ses frais et avec un préavis raisonnable de 30 jours, faire procéder à un audit de conformité par un tiers indépendant tenu à une obligation de confidentialité. Le Sous-traitant peut alternativement fournir un rapport d'audit ou une certification existante (ex. ISO 27001, SOC 2) en lieu et place de l'audit sur site.
Article 6 — Responsabilité
Conformément à l'article 82 du RGPD, chaque partie répond des dommages causés par un manquement à ses propres obligations. La responsabilité du Sous-traitant au titre du présent DPA est plafonnée selon les termes de l'article 13 des CGV.
Article 7 — Durée
Le présent DPA prend effet à la date d'acceptation des CGV et reste en vigueur tant que dure la prestation, ainsi que pendant les périodes de conservation post-résiliation.