1. Responsable du traitement
2. Aperçu du traitement des données
Auroplan est une plateforme SaaS destinée aux entreprises du bâtiment, bureaux d'architectes, bureaux d'études, project managers et promoteurs pour la gestion de projets de construction, la communication avec les clients et la documentation de l'avancement des chantiers. Nous traitons les données à caractère personnel exclusivement dans le cadre de l'utilisation de notre plateforme et sur la base des lois applicables en matière de protection des données. La présente politique de confidentialité s'applique au site web (buildflow.lu) et à l'application web (app.buildflow.lu).
3. Bases juridiques du traitement
Nous traitons les données à caractère personnel sur les bases juridiques suivantes :
- Art. 6, paragraphe 1, point a) du RGPD – Consentement (par exemple lors d'une prise de contact)
- Art. 6, paragraphe 1, point b) du RGPD – Exécution du contrat (mise à disposition de la plateforme SaaS, gestion de l'abonnement)
- Art. 6, paragraphe 1, point c) du RGPD – Obligation légale (obligations de conservation, facturation)
- Art. 6, paragraphe 1, point f) du RGPD – Intérêt légitime (sécurité de la plateforme, prévention de la fraude)
4. Catégories de données à caractère personnel
4.1 Données du compte
- Adresse e-mail
- Nom complet
- Mot de passe (stocké sous forme hachée)
- Photo de profil (facultatif)
- Rôle (administrateur, membre d'équipe ou client)
- Adresses e-mail des maîtres d'ouvrage (destinataires des liens OTP magiques pour l'accès /c/:slug)
4.2 Données de l'entreprise
- Raison sociale, adresse, téléphone, e-mail, site web
- Type d'entreprise (entreprise du bâtiment, bureau d'architectes, bureau d'études, project manager, promoteur)
- Logo
4.3 Données des projets
- Nom du projet, adresse, description
- Données d'avancement du chantier (phases, statut)
- Photos de chantiers
- Documents (contrats, plans, factures)
- Messages échangés entre l'entreprise et les clients
- Mises à jour du projet et réactions à celles-ci
- Demandes de chat d'aide (question, réponse, horodatage)
- Tâches avec attribution, échéance et statut (y compris e-mails de rappel)
- Lien public anonyme avec shareToken (accès en lecture seule aux mises à jour photo sans connexion)
4.4 Données de paiement
- Identifiant client Stripe et identifiant d'abonnement
- Plan d'abonnement choisi et statut
- Historique des paiements (géré par Stripe)
Remarque : les numéros de carte bancaire et coordonnées bancaires sont traités exclusivement par Stripe et ne sont jamais stockés sur nos serveurs.
4.5 Données techniques
- Adresse IP
- Type et version du navigateur
- Système d'exploitation
- Horodatage de l'accès
- Jeton d'authentification JWT (temporaire)
- Code OTP maître d'ouvrage (token e-mail, validité 15 minutes, expire ensuite automatiquement)
- Cookie Bearer-Token maître d'ouvrage (validité 30 jours pour les sessions /c/:slug)
5. Tiers et sous-traitants
5.1 Supabase (base de données et authentification)
Prestataire : Supabase Inc., 970 Toa Payoh North #07-04, Singapore 318992Finalité : Hébergement de la base de données (PostgreSQL), authentification des utilisateurs, stockage de fichiers, fonctions Edge serverlessLocalisation du serveur : UE (eu-west-1, Irlande)Données : Toutes les données de la plateforme (utilisateurs, projets, messages, documents)Confidentialité : supabase.com/privacy 5.2 Stripe (traitement des paiements)
Prestataire : Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, IrlandeFinalité : Traitement des paiements d'abonnement, sessions de paiement, portail clientDonnées : Adresse e-mail, informations de paiement, statut de l'abonnementBase juridique : Art. 6, paragraphe 1, point b) du RGPD (exécution du contrat)Confidentialité : stripe.com/fr-fr/privacy 5.3 Mistral AI (fonctions IA : analyse de photos + génération de texte)
Prestataire : Mistral AI, 15 RUE DES HALLES, 75001 PARIS, FRANCEFinalité : (1) Génération automatique de descriptions de phases de chantier à partir des données techniques du projet. (2) Analyse de photos de chantier assistée par IA (détection de l'avancement des travaux, descriptions d'images).Modèle : Mistral Small et Mistral Medium (API Mistral AI)Données : Génération de texte : phase du chantier, statut, date d'achèvement (métadonnées techniques du projet). Analyse de photos : la photo de chantier et le commentaire associé ; des personnes peuvent être visibles sur les photos.Données à caractère personnel : Lors de la génération de texte, seules des données techniques du projet (phase, statut, date) sont transmises, aucune donnée directement à caractère personnel. Lors de l'analyse de photos, des personnes figurant sur les images (par exemple ouvriers, maître d'ouvrage, visiteurs) peuvent être visibles ; ces images sont transmises temporairement à Mistral AI et y sont traitées. Selon Mistral AI, les entrées de l'API (texte et image) ne sont pas utilisées pour l'entraînement du modèle.Transfert hors UE : Mistral AI est établi en France ; aucun transfert hors UE n'a lieu pour ce traitement.Base juridique : Art. 6, paragraphe 1, point b) du RGPD (exécution du contrat) et art. 6, paragraphe 1, point f) du RGPD (intérêt légitime)Confidentialité : mistral.ai/terms Remarque sur le traitement par IA : les textes générés par l'IA sont des suggestions et peuvent être modifiés par l'utilisateur avant publication. L'IA ne prend aucune décision autonome et n'a pas accès aux données de compte ou de paiement.
5.4 Mistral AI (transcription vocale)
Fournisseur : Mistral AI, 15 RUE DES HALLES, 75001 PARIS, FRANCEFinalité : Transcription des enregistrements vocaux du module Voice-Rapport (Compte-Rendu de Chantier) en texte. Les données audio sont traitées via l'API audio de Mistral.Modèle : Voxtral Mini (Mistral Audio Transcription API)Données : Enregistrements vocaux du Voice-Recorder ; le contenu audio peut inclure des descriptions liées au projet ainsi que les voix de la personne saisissante et éventuellement de personnes présentes.Transfert hors UE : Mistral AI est établi en France. Selon Mistral AI, les entrées de l'API ne sont pas utilisées pour l'entraînement du modèle.Conservation : Les fichiers audio sont conservés chez Auroplan pendant 30 jours maximum à des fins d'audit (cr_items.voice_transcript) puis automatiquement supprimés.Base juridique : Art. 6 § 1 b RGPD (exécution du contrat ; la fonction Voice-Rapport fait partie du plan Pro)Confidentialité : mistral.ai/terms 5.5 Browserless (génération de PDF)
Fournisseur : Browserless, Inc., 23207 NE 192nd Ct, Battle Ground, WA 98604, États-UnisFinalité : Génération côté serveur de documents PDF à partir de templates HTML (PDF Voice-Rapport, rapports de projet). Le contenu HTML est temporairement transmis à Browserless pour la conversion.Données : Contenu HTML du PDF à générer (peut contenir des noms de projet, adresses, informations de statut, textes du rédacteur).Conservation : Browserless ne traite les données que temporairement pour la conversion PDF et, selon ses propres déclarations, ne les conserve pas durablement.Transfert hors UE : Transfert vers les États-Unis sur la base des clauses contractuelles types (CCT) conformément à l'art. 46, par. 2, point c du RGPD.Base juridique : Art. 6 § 1 b RGPD (exécution du contrat)Confidentialité : browserless.io/privacy 5.6 Resend (envoi d'e-mails)
Prestataire : Resend Inc., 2261 Market Street #5039, San Francisco, CA 94114, États-UnisFinalité : Envoi d'e-mails transactionnels (invitations clients, liens de mot de passe)Données : Adresse e-mail du destinataire, nom du projet, lien d'invitationTransfert hors UE : Transfert vers les États-Unis. Resend est certifié dans le cadre du EU-US Data Privacy Framework (DPF) ; les clauses contractuelles types (CCT) s'appliquent en complément.Base juridique : Art. 6, paragraphe 1, point b) du RGPD (exécution du contrat)Confidentialité : resend.com/legal/privacy-policy 5.7 Vercel (hébergement)
Prestataire : Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, États-UnisFinalité : Hébergement de l'application web et du site marketingDonnées : Adresse IP, requêtes HTTP (journaux serveur)Transfert hors UE : Vercel a son siège aux États-Unis et est certifié dans le cadre du EU-US Data Privacy Framework (DPF) ; les clauses contractuelles types (CCT) s'appliquent en complément.Base juridique : Art. 6, paragraphe 1, point f) du RGPD (intérêt légitime)Confidentialité : vercel.com/legal/privacy-policy 5.8 Google OAuth (authentification)
Prestataire : Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, IrlandeFinalité : Connexion facultative via un compte GoogleDonnées : Nom, adresse e-mail, photo de profil (issus du compte Google)Base juridique : Art. 6, paragraphe 1, point a) du RGPD (consentement par utilisation active)Confidentialité : policies.google.com/privacy 5.9 Apple Sign-In (authentification)
Prestataire : Apple Distribution International Ltd., Hollyhill Industrial Estate, Cork, IrlandeFinalité : Connexion facultative via un identifiant AppleDonnées : Nom, adresse e-mail (Apple propose la possibilité d'une adresse e-mail relais privée)Base juridique : Art. 6, paragraphe 1, point a) du RGPD (consentement par utilisation active)Confidentialité : apple.com/fr/legal/privacy 5.10 Sentry (monitoring d'erreurs)
Fournisseur : Functional Software, Inc. dba Sentry, 132 Hawthorne Street, San Francisco, CA 94107, États-UnisFinalité : Collecte et analyse des erreurs techniques de l'application et des fonctions serveur afin de corriger rapidement les problèmes (stabilité, disponibilité).Données : Stack-traces d'erreurs, version navigateur/serveur, identifiant utilisateur anonymisé (interne), nom de la fonction Edge, horodatage. Aucun contenu (photos, messages, documents) n'est transmis.Localisation des serveurs : Région UE (Francfort, Allemagne). Les données d'erreurs et de performance sont stockées et traitées dans la région UE.Conservation : 30 jours (rétention Sentry par défaut), puis suppression automatique. Les champs sensibles (mots de passe, tokens) sont filtrés à la transmission.Base juridique : Art. 6 § 1 f RGPD (intérêt légitime à un service stable)Confidentialité : sentry.io/privacy 5.11 Google Analytics 4 (analyse web)
Prestataire : Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, IrlandeFinalité : Analyse de l'utilisation du site, mesure des flux de visiteurs et suivi des conversionsDonnées : Adresse IP (anonymisée), pages vues, durée de visite, type d'appareil, source d'origine, événements de conversion (inscription, mise à niveau)Cookies : _ga (2 ans), _ga_* (2 ans) · pour distinguer les utilisateurs uniquesBase juridique : Art. 6, paragraphe 1, point a) du RGPD (consentement via le bandeau cookies)Anonymisation IP : Activée · l'adresse IP est tronquée avant stockage (anonymize_ip: true)Chargement : Les scripts ne sont chargés dynamiquement qu'après consentement actif via le bandeau cookies. Sans consentement, aucune transmission n'a lieu.Désinscription : Via le bandeau cookies (rouvrir les paramètres dans la politique cookies) ou via le module de navigateur Google Analytics Opt-OutConfidentialité : policies.google.com/privacy 5.12 Meta Pixel (mesure publicitaire)
Prestataire : Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, IrlandeFinalité : Mesure de l'efficacité des publicités sur Facebook et Instagram, retargeting, suivi des conversionsDonnées : Adresse IP, pages vues, événements de conversion (inscription, mise à niveau), informations sur l'appareil et le navigateurCookies : _fbp (3 mois) · pour associer les visites de page aux publicités MetaTransfert hors UE : Meta Platforms Ireland peut transmettre des données à Meta Platforms, Inc. (États-Unis). Base : EU-US Data Privacy Framework (DPF) et clauses contractuelles types (CCT).Base juridique : Art. 6, paragraphe 1, point a) du RGPD (consentement via le bandeau cookies)Chargement : Le script Pixel n'est chargé dynamiquement qu'après consentement actif via le bandeau cookies. Sans consentement, aucune transmission à Meta n'a lieu.Responsabilité conjointe : Pour la collecte et la transmission des données, nous sommes responsables conjointement avec Meta (art. 26 du RGPD). Détails de l'accord : Controller AddendumDésinscription : Via le bandeau cookies (rouvrir les paramètres dans la politique cookies) ou via les paramètres publicitaires MetaConfidentialité : facebook.com/privacy/policy 5.13 Microsoft Clarity (analyse UX)
Fournisseur : Microsoft Ireland Operations Ltd., One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, IrlandeFinalité : Comprendre l'utilisation de l'application web via des cartes de chaleur (heatmaps) et des enregistrements de session (mouvements de souris, comportement de défilement, clics ; sans audio, aucune captation sonore), afin d'améliorer l'expérience utilisateur de manière ciblée.Données : Coordonnées de clic, profondeur de défilement, mouvements de souris, pages visitées, durée de session, type de navigateur/appareil, identifiant de session anonymisé. Les saisies dans les formulaires (texte dans les champs input, textarea et contenteditable) sont techniquement masquées (points à la place du texte, maskInputs: true).Cookies : _clck (1 an), _clsk (1 jour) · pour reconnaître les sessionsLocalisation des serveurs : États-Unis. La transmission des données s'effectue sur la base des clauses contractuelles types (CCT) conformément à l'art. 46 al. 2 lit. c du RGPD ainsi que d'un accord de sous-traitance (DPA) avec Microsoft.Conservation : Rétention standard Clarity : les sessions sont conservées au maximum 13 mois, puis supprimées automatiquement.Base légale : Art. 6 al. 1 lit. a du RGPD (consentement via le bandeau cookies)Chargement : Le script Clarity n'est chargé dynamiquement qu'après consentement actif via le bandeau cookies. Sans consentement, aucune transmission à Microsoft n'a lieu.Désinscription : Via le bandeau cookies (rouvrir les paramètres dans la politique cookies) ou via les paramètres de confidentialité MicrosoftPolitique de confidentialité : privacy.microsoft.com 6. Stockage des fichiers et images
Les utilisateurs peuvent télécharger des photos de chantier, des documents et d'autres fichiers sur la plateforme. Ceux-ci sont stockés dans Supabase Storage (centre de données UE). Les fichiers téléchargés sont validés côté serveur quant aux types MIME autorisés et à la taille du fichier (max. 20 Mo pour les images, max. 50 Mo pour les documents). Les noms de fichiers sont anonymisés lors du téléchargement (noms aléatoires cryptographiques).
Les photos de projet peuvent être partagées publiquement par l'administrateur (portail projet public). Dans ce cas, les photos sont accessibles via un lien public.
7. Durée de conservation
- Données du compte : Jusqu'à la suppression du compte par l'utilisateur ou l'entreprise
- Données des projets : Jusqu'à la suppression du projet ou du compte de l'entreprise
- Données de paiement : Conformément aux obligations légales de conservation (10 ans pour les données de facturation)
- Journaux serveur : 30 jours maximum
- Données de traitement IA : Ne sont pas stockées de manière permanente ; seul le résultat généré est enregistré dans la phase de chantier
- Demandes de chat d'aide : Les questions du chat d'aide sont conservées pour améliorer notre support et identifier plus rapidement les problèmes fréquents. Sont enregistrés : la question, la réponse et l'horodatage. Ces données sont utilisées exclusivement en interne pour l'amélioration du produit et ne sont pas transmises à des tiers.
- Données après résiliation : Après résiliation d'un plan payant, toutes les données sont conservées sur le plan Free. Après suppression complète du compte, toutes les données à caractère personnel sont supprimées dans un délai de 30 jours, sous réserve qu'aucune obligation légale de conservation ne s'y oppose. Les données de facturation chez Stripe sont conservées pendant 10 ans conformément à l'obligation fiscale de conservation.
- Tokens d'authentification Les codes OTP expirent automatiquement après 15 minutes · les cookies Bearer maître d'ouvrage après 30 jours · les sessions JWT après 7 jours
8. Transferts de données vers des pays tiers
Certains de nos prestataires sont établis hors du Luxembourg ou y transfèrent des données (Mistral AI, Resend, Vercel, Browserless, Microsoft Clarity). Le transfert de données s'effectue, selon le prestataire, sur la base de :
- EU-US Data Privacy Framework (DPF) en vertu de la décision d'adéquation de la Commission européenne
- Clauses contractuelles types (CCT) conformément à l'art. 46, paragraphe 2, point c) du RGPD
Supabase exploite la base de données dans l'UE (Irlande). Stripe traite les paiements via sa filiale européenne à Dublin.
9. Vos droits en tant que personne concernée
Vous disposez des droits suivants au titre du RGPD :
- Droit d'accès (art. 15) – droit d'obtenir des informations sur les données stockées
- Droit de rectification (art. 16) – droit à la correction de données inexactes
- Droit à l'effacement (art. 17) – droit à la suppression de vos données (« droit à l'oubli »)
- Droit à la limitation du traitement (art. 18) – droit à la limitation du traitement
- Droit à la portabilité des données (art. 20) – droit au transfert de vos données dans un format couramment utilisé
- Droit d'opposition (art. 21) – droit de vous opposer au traitement
- Retrait du consentement (art. 7, paragraphe 3) – droit de retirer à tout moment les consentements donnés
Pour exercer vos droits, contactez : support@buildflow.lu
10. Décision automatisée (art. 22 du RGPD)
Nous n'utilisons aucun processus décisionnel automatisé ni profilage produisant des effets juridiques à votre égard ou vous affectant de manière significative. Les contenus générés par IA (par exemple les descriptions d'avancement issues de l'analyse photo) sont des propositions destinées à aider l'administrateur · ces contenus sont toujours vérifiés et validés manuellement. Les mises à jour publiées qui reposent sur une analyse IA sont signalées au maître d'ouvrage par la mention « assisté par IA ».
11. Droit de réclamation
Vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente :
Commission Nationale pour la Protection des Données (CNPD)15, Boulevard du JazzL-4370 Belvaux, Luxembourgcnpd.public.lu 12. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles étendues pour protéger vos données :
- Transmission chiffrée (HTTPS/TLS) pour toutes les connexions
- Row Level Security (RLS) au niveau de la base de données · chaque entreprise ne voit que ses propres données
- Authentification JWT avec renouvellement automatique des jetons
- Content Security Policy (CSP), HSTS et autres en-têtes de sécurité
- Protection SSRF lors de l'analyse IA (uniquement les URL autorisées)
- Mots de passe hachés (hachage salé via Supabase Auth)
- Restrictions CORS sur les domaines autorisés
- Validation côté serveur de tous les téléchargements (type MIME, taille du fichier, protection contre la double extension)