Politique de confidentialité & DPA

Version 1.1 — En vigueur depuis le 16 mai 2026
Conforme RGPD (Règlement UE 2016/679) et Loi Informatique et Libertés modifiée

La présente politique décrit comment ST AGENCY, éditrice du service Bati-lead (génération et vente de leads B2B qualifiés à destination des freelances et agences web BTP), traite les données personnelles. Elle se compose de deux parties :

  1. la Politique de confidentialité destinée au grand public (Clients freelances, Prospects artisans, visiteurs du site) ;
  2. l'Annexe DPA (Data Processing Agreement) annexée aux CGV et opposable aux Clients ayant acheté un ou plusieurs leads.

1. Identité du responsable et contact

Responsable du traitement : ST AGENCY (entreprise individuelle), dont le siège est situé 62 avenue du Général de Gaulle, 94320 Thiais, immatriculée sous le SIRET 994 369 908 00011.

Contact pour toute question relative aux données personnelles : stan@bati-lead.fr.

2. Données collectées et finalités

2.1 Visiteurs du site

DonnéesFinalitéBase légaleDurée
Adresse IP, user-agent, pages consultéesMesure d'audience, sécuritéIntérêt légitime13 mois
Email + formulaire de candidature freelanceÉtude de la candidature, échange préalable, transmission éventuelle d'un lien de paiementMesures précontractuelles à la demande du Client3 ans après dernier contact si la candidature n'aboutit pas

2.2 Clients (Freelances et agences ayant acheté au moins un lead)

DonnéesFinalitéBase légaleDurée
Nom, prénom, email, téléphone, adresse professionnelleCréation de compte, livraison des leads, support, facturationExécution du contratDurée du compte actif + 5 ans (prescription civile et fiscale)
Acceptation des CGV (horodatage UTC, version, IP, user-agent)Preuve de la signature électronique (art. 1367 CC)Intérêt légitime probatoire5 ans à compter de l'acceptation
Données de paiement (via Stripe)Encaissement de la commandeExécution du contratConservées par Stripe selon ses propres CGV
Historique des leads livrés et de leur statut (contacté, RDV, converti, refusé)Traçabilité de la livraison, gestion de la garantie de remplacementExécution du contrat5 ans
Logs de connexion au portail freelanceSécurité, supportIntérêt légitime13 mois

2.3 Prospects (Artisans BTP qualifiés par Bati-lead)

Avant la livraison à un Client, l'Éditeur agit en qualité de responsable du traitement dans le cadre de sa propre démarche de qualification (identification, prise de contact téléphonique, recueil d'intérêt). Une fois le lead livré à un Client, ce dernier devient le responsable de traitement de ses propres opérations commerciales (relances, devis, suivi), l'Éditeur conservant alors un rôle de sous-traitant pour la conservation et la mise à disposition des données dans le portail freelance (cf. Annexe DPA ci-dessous).

DonnéesFinalitéBase légaleDurée
Raison sociale, ville, métier, téléphone, email pro, URL site, indicateurs publics (note Google, présence GMB)Identification et qualification d'un éventuel intérêt pour les services webIntérêt légitime B2B (lignes directrices CNIL)3 ans après le dernier contact ou opt-out exprès
Verbatim de la qualification téléphonique, contexte exprimé, angle d'attaque, accord de transmissionConstituer la fiche du lead livrée au ClientConsentement explicite recueilli oralement et tracé par écrit5 ans à compter de la livraison (preuve du consentement)

Conformément à la doctrine CNIL applicable au démarchage B2B :

3. Destinataires et sous-traitants

Les données sont traitées par les sous-traitants suivants, tous engagés contractuellement à respecter le RGPD :

Sous-traitantRôleLocalisation
Airtable, Inc.Base de données prospects et clientsUSA (clauses contractuelles types)
Brevo (Sendinblue SAS)Envoi email/SMS transactionnelsFrance / UE
Outscraper LtdCollecte sources publiques (Google Maps)Israël (décision d'adéquation)
Anthropic, PBCGénération de texte (modèle Claude)USA (clauses contractuelles types)
Stripe Payments Europe LtdPaiementIrlande / UE
Railway Corp.Hébergement applicatifUSA (clauses contractuelles types)
Netlify Inc.Hébergement landingUSA (clauses contractuelles types)
PDFShiftConversion HTML→PDFUE

Aucune donnée n'est revendue ni cédée à un tiers commercial.

4. Sécurité

L'Éditeur met en œuvre des mesures techniques et organisationnelles appropriées : chiffrement TLS, contrôle d'accès, authentification forte, journalisation, sauvegardes, environnement isolé par client. Toute violation de données est notifiée à la CNIL et aux personnes concernées dans les délais légaux.

5. Vos droits

Conformément au RGPD, vous disposez des droits suivants : accès, rectification, effacement, limitation, portabilité, opposition, retrait du consentement, et droit de définir des directives post-mortem.

Pour exercer ces droits, écrivez à stan@bati-lead.fr en justifiant de votre identité. Une réponse vous sera apportée dans un délai maximum de 30 jours.

Vous disposez également du droit d'introduire une réclamation auprès de la CNIL (cnil.fr/plaintes).

6. Cookies

Le site utilise uniquement des cookies strictement nécessaires au fonctionnement (session, préférences, sécurité) et, sous réserve de votre consentement préalable, des cookies de mesure d'audience. Aucun cookie publicitaire ou de profilage marketing n'est déposé.


Accord de sous-traitance des données (DPA)

La présente annexe encadre, conformément à l'article 28 du RGPD, le traitement par l'Éditeur (« le Sous-traitant ») des données personnelles dont le Client (« le Responsable du traitement ») est responsable. Elle est annexée aux CGV et acceptée en même temps que celles-ci.

Article 1 — Objet

Le Sous-traitant (Bati-lead) est autorisé à traiter, pour le compte du Responsable de traitement (le Client), les catégories de données suivantes : raison sociale, ville, métier, coordonnées professionnelles (téléphone, email), URL site, contexte commercial recueilli au moment de la qualification.

Aux seules fins suivantes :

Pour mémoire, la phase de collecte et qualification du lead, antérieure à la livraison, relève d'un traitement autonome de l'Éditeur agissant en qualité de responsable de traitement (cf. Section 2.3 ci-dessus). Le présent DPA ne porte que sur la phase post-livraison.

Article 2 — Obligations du Sous-traitant

Le Sous-traitant s'engage à :

Article 3 — Sous-traitance ultérieure

Le Responsable autorise le Sous-traitant à recourir aux sous-traitants ultérieurs listés à la Section 3 ci-dessus. Toute modification substantielle de cette liste sera notifiée au Responsable, qui disposera de 30 jours pour s'y opposer ; à défaut d'opposition, la modification est réputée acceptée.

Article 4 — Transferts hors UE

Lorsque des données sont transférées hors UE, le Sous-traitant met en œuvre les Clauses Contractuelles Types de la Commission européenne (décision 2021/914) et les mesures supplémentaires recommandées (chiffrement, pseudonymisation lorsque techniquement possible).

Article 5 — Audit

Le Responsable peut, à ses frais et avec un préavis raisonnable de 30 jours, faire procéder à un audit de conformité par un tiers indépendant tenu à une obligation de confidentialité. Le Sous-traitant peut alternativement fournir un rapport d'audit ou une certification existante (ex. ISO 27001, SOC 2) en lieu et place de l'audit sur site.

Article 6 — Responsabilité

Conformément à l'article 82 du RGPD, chaque partie répond des dommages causés par un manquement à ses propres obligations. La responsabilité du Sous-traitant au titre du présent DPA est plafonnée selon les termes de l'article 13 des CGV.

Article 7 — Durée

Le présent DPA prend effet à la date d'acceptation des CGV et reste en vigueur tant que dure la prestation, ainsi que pendant les périodes de conservation post-résiliation.