Politique de confidentialité
Dernière mise à jour : 28 avril 2026
1. Préambule
La présente politique décrit la manière dont Vincent AUDOIN, éditeur du service GPAFlow (ci-après « GPAFlow »), traite les données à caractère personnel collectées via le site gpaflow.com et via le service en ligne associé.
Elle s'applique à toute personne dont les données sont collectées dans ce cadre : visiteurs du site, prospects, clients (professionnels), utilisateurs du service au sein des structures clientes, et acquéreurs/locataires des programmes immobiliers gérés par les clients.
Le traitement est effectué dans le respect du Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et de la loi n° 78-17 du 6 janvier 1978 modifiée (« loi Informatique et Libertés »).
2. Identité du responsable de traitement
Vincent AUDOIN
Entrepreneur Individuel
231 rue Saint-Honoré, 75001 Paris, France
SIRET : 820 186 062 00049
Contact RGPD : vincent@gpaflow.com
GPAFlow n'a pas désigné de Délégué à la protection des données (DPO). Toute question relative à la protection des données peut être adressée à l'adresse ci-dessus.
3. Périmètre — Responsable de traitement et sous-traitant
GPAFlow intervient à deux titres distincts au sens du RGPD :
3.1 GPAFlow est responsable de traitement
GPAFlow agit en tant que responsable de traitement pour les données qu'il collecte et traite pour son propre compte, à savoir :
- les données des visiteurs du site (cookies, navigation) ;
- les données des prospects (formulaire de contact, demande de démo) ;
- les données des clients (entreprise, signataire, facturation) ;
- les données des utilisateurs du service au sein des structures clientes (compte, authentification, support).
Les sections 4 à 9 ci-dessous décrivent ces traitements.
3.2 GPAFlow est sous-traitant
GPAFlow agit en tant que sous-traitant au sens de l'article 28 du RGPD lorsqu'il traite, pour le compte de ses clients (promoteurs immobiliers, qui sont alors responsables de traitement), les données :
- des acquéreurs et locataires des programmes gérés via la plateforme ;
- des entreprises et corps d'état intervenants ;
- des collaborateurs des clients utilisant la plateforme.
Les conditions précises de cette sous-traitance sont définies dans l'Annexe DPA des Conditions Générales de Vente. Pour ces traitements, les personnes concernées sont invitées à se rapprocher en priorité du promoteur responsable du programme. La section 10 ci-dessous précise les modalités.
4. Données collectées et finalités (en tant que responsable de traitement)
| Catégorie | Données concernées | Finalité | Base légale | Durée de conservation |
|---|---|---|---|---|
| Compte client | Email, nom, prénom, fonction, raison sociale, mot de passe haché | Création et gestion du compte, authentification | Exécution du contrat (art. 6.1.b RGPD) | Durée du contrat + 90 jours |
| Facturation | Coordonnées de facturation, historique des paiements, factures | Traitement des paiements, obligations comptables | Exécution du contrat / obligation légale (art. 6.1.b et 6.1.c RGPD) | 10 ans (Code de commerce art. L.123-22) |
| Support client | Échanges email, tickets, captures d'écran transmises | Assistance technique et commerciale | Exécution du contrat (art. 6.1.b) | 3 ans après dernier contact |
| Prospection | Email, nom, entreprise, fonction, message | Réponse aux demandes de contact et de démo | Mesures précontractuelles (art. 6.1.b) | 3 ans après dernier contact |
| Logs techniques | Adresse IP, user-agent, timestamps, actions effectuées | Sécurité, détection d'incidents, débogage | Intérêt légitime (art. 6.1.f) | 12 mois |
| Cookies de mesure d'audience | Identifiant pseudonymisé PostHog | Analyse statistique anonymisée | Consentement (art. 6.1.a) | 13 mois maximum |
| Cookies fonctionnels | Cookie de session, cookie de consentement | Fonctionnement du site et du service | Exemption art. 82 LIL | Voir politique cookies |
5. Caractère obligatoire ou facultatif
Les données marquées comme nécessaires lors de la collecte (souscription, formulaire de contact) sont obligatoires : à défaut, GPAFlow ne peut fournir le service ou répondre à la demande. Les autres données sont facultatives.
6. Destinataires des données
Les données sont accessibles, dans la limite de leurs habilitations respectives :
- au Prestataire (Vincent AUDOIN) ;
- aux sous-traitants techniques listés à la section 8 ;
- le cas échéant, aux autorités administratives ou judiciaires sur réquisition légale.
Aucune donnée n'est cédée, vendue ou louée à des tiers à des fins commerciales.
7. Sous-traitants ultérieurs et transferts
GPAFlow recourt aux sous-traitants suivants pour l'exécution du service. Cette liste est susceptible d'évoluer ; la version à jour fait foi.
| Sous-traitant | Activité | Localisation des données | Garanties |
|---|---|---|---|
| Supabase Inc. (infrastructure hébergée chez AWS) | Base de données, authentification | Union européenne (Francfort) | RGPD applicable, hébergement UE |
| Vercel Inc. | Hébergement applicatif (frontend, API) | Union européenne (Paris — cdg1) | RGPD applicable, hébergement UE |
| Stripe Payments Europe Ltd | Traitement des paiements | Union européenne (Irlande) | Responsable conjoint pour la lutte anti-fraude, RGPD applicable |
| Anthropic PBC (via OpenRouter) | Génération conversationnelle (agent IA) | États-Unis | Clauses contractuelles types (CCT) — décision UE 2021/914 |
| Voyage AI | Indexation vectorielle pour la recherche documentaire | États-Unis | Clauses contractuelles types (CCT) |
| Resend | Envoi d'emails transactionnels | États-Unis | Clauses contractuelles types (CCT) |
| PostHog Inc. (instance EU) | Mesure d'audience anonymisée | Union européenne | RGPD applicable, hébergement UE |
| Google Workspace | Messagerie professionnelle de l'éditeur | Mondial / encadré par CCT | Clauses contractuelles types (CCT), certifications ISO 27001/27018 |
Transferts hors Union européenne
Certains sous-traitants (Anthropic, Voyage AI, Resend) sont établis aux États-Unis. Les transferts de données vers ces sous-traitants sont encadrés par les clauses contractuelles types (CCT) adoptées par la Commission européenne (décision 2021/914 du 4 juin 2021), qui assurent un niveau de protection équivalent à celui garanti dans l'Union européenne.
GPAFlow met en œuvre, pour ces transferts, les mesures techniques complémentaires appropriées : minimisation des données transmises, chiffrement, contractualisation stricte des finalités.
8. Sécurité
GPAFlow met en œuvre des mesures techniques et organisationnelles appropriées au regard de l'article 32 du RGPD :
- chiffrement TLS 1.3 des communications ;
- chiffrement au repos des bases de données (AES-256) ;
- authentification forte des accès administrateur ;
- contrôle d'accès basé sur les rôles (RBAC) ;
- journalisation des accès et actions sensibles ;
- sauvegardes quotidiennes avec rétention 7 jours ;
- isolation des environnements (production, recette, développement) ;
- supervision et alertes automatisées ;
- politique de mots de passe robuste imposée aux utilisateurs.
En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, GPAFlow notifie la CNIL dans un délai de 72 heures et, le cas échéant, informe les personnes concernées dans les meilleurs délais.
9. Vos droits
- Droit d'accès : obtenir confirmation que vos données sont traitées et en obtenir copie.
- Droit de rectification : faire corriger des données inexactes ou incomplètes.
- Droit à l'effacement (« droit à l'oubli ») : demander la suppression de vos données dans les cas prévus par le RGPD.
- Droit à la limitation : demander la suspension d'un traitement dans les cas prévus.
- Droit d'opposition : vous opposer à un traitement fondé sur l'intérêt légitime ou à des fins de prospection.
- Droit à la portabilité : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine, ou demander leur transmission à un autre responsable de traitement.
- Droit de retirer votre consentement à tout moment, sans que ce retrait n'affecte la licéité du traitement antérieur.
- Droit de définir des directives relatives au sort de vos données après votre décès (article 85 de la loi Informatique et Libertés).
Modalités d'exercice
Pour exercer vos droits, adressez votre demande à : vincent@gpaflow.com
Afin de vérifier votre identité, GPAFlow peut vous demander un justificatif en cas de doute raisonnable. Une réponse vous sera apportée dans un délai d'un mois à compter de la réception de la demande, prolongeable de deux mois supplémentaires en cas de complexité.
Réclamation auprès de la CNIL
Vous disposez du droit d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL) :
3 place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
cnil.fr
10. Information spécifique aux acquéreurs et locataires
Si vous êtes acquéreur ou locataire d'un programme immobilier dont la gestion post-livraison est assurée via GPAFlow par votre promoteur, vos données sont traitées par GPAFlow pour le compte de ce promoteur. Ce dernier est le responsable de traitement ; GPAFlow est sous-traitant.
Pour exercer vos droits (accès, rectification, effacement, opposition, portabilité), vous êtes invité à contacter en priorité votre promoteur, dont les coordonnées figurent dans votre dossier d'acquisition ou de location.
GPAFlow facilitera l'exercice de vos droits en relayant votre demande à votre promoteur si vous nous écrivez à vincent@gpaflow.com.
11. Cookies
L'utilisation des cookies sur le site et le service est détaillée dans la Politique de gestion des cookies.
12. Modification de la présente politique
GPAFlow se réserve la faculté de modifier la présente politique pour l'adapter aux évolutions du service, du cadre légal ou des pratiques recommandées par la CNIL.
La date de dernière mise à jour figure en tête de document. Toute modification substantielle est portée à la connaissance des utilisateurs concernés par email ou via une notification dans le service. La poursuite de l'utilisation du service après modification vaut acceptation de la nouvelle version.
13. Contact
Pour toute question relative à la présente politique ou au traitement de vos données : vincent@gpaflow.com