Document légal · Mis à jour le 29 mai 2026

Politique de confidentialité

Politique de confidentialité Permis Clair : responsable de traitement, données collectées, sous-traitants, durée de conservation, droits RGPD.

1. Responsable du traitement

La société Permis Clair, Société par actions simplifiée à associé unique (SASU), immatriculée au RCS de La Roche-sur-Yon sous le numéro 105 578 389, représentée par son Président Baptiste Dubreil, agit en qualité de responsable du traitement des données personnelles collectées sur ce site. Contact : contact@permisclair.fr.

2. Données collectées et finalités

Nous collectons les données suivantes pour les finalités indiquées :

Création de compte et authentification (base légale : exécution du contrat, art. 6.1.b RGPD) : adresse e-mail, nom (optionnel), avatar (si connexion sociale Google ou Apple). • Analyse de faisabilité et constitution du dossier (base légale : exécution du contrat) : adresse du projet, description, surfaces SDP, type de projet. • Paiement (base légale : exécution du contrat) : données de paiement traitées par Stripe nous ne stockons pas vos numéros de carte. • Communications marketing(base légale : consentement, art. 6.1.a RGPD) : e-mail, uniquement si vous avez confirmé l'opt-in lors de l'inscription. • Prospection commerciale par e-mail(base légale : intérêt légitime, art. 6.1.f RGPD, et sollicitation de prospect au sens de l'art. L.34-5 du Code des postes et des communications électroniques) : lorsque vous renseignez votre adresse e-mail dans le cadre d'une demande de devis ou d'analyse de faisabilité, nous pouvons vous adresser des informations commerciales limitées à notre périmètre d'activité urbanisme et permis de construire (produits et services analogues à votre démarche). Cette information vous est rappelée au point de collecte. Vous pouvez vous y opposer à tout moment, notamment via le lien de désinscription en un clic présent dans chaque e-mail. • Mesure d'audience publicitaire et conversion (base légale : consentement, art. 6.1.a RGPD) : données de navigation, identifiants de cookies de mesure (_ga, _ga_, _gcl_) et, le cas échéant, adresse e-mail chiffrée de manière irréversible (hachage SHA-256)pour améliorer la mesure des conversions sans transmettre votre e-mail en clair. Ces traceurs ne sont déposés qu'après votre consentement via le bandeau cookies. Détail dans notre politique des cookies.

3. Sous-traitants et transferts de données

Vos données sont susceptibles d'être transmises aux sous-traitants suivants dans le cadre de nos services. Chaque sous-traitant a signé ou est en cours de signature d'un Accord de traitement de données (DPA) conforme au RGPD.

Hébergement et infrastructure• Vercel (hébergement, Edge Network) Union européenne • Supabase (base de données, stockage) région eu-west-3 Paris Authentification Transfert hors UENous utilisons Clerk(Clerk.com, Inc., États-Unis) pour l'authentification de vos comptes (connexion par e-mail, Google ou Apple). Clerk n'offre pas de résidence des données en Union européenne sur ses plans actuels.

Vos données d'authentification (adresse e-mail, métadonnées de session) sont donc transférées et traitées aux États-Unis par Clerk. Ces transferts sont encadrés par :

• Le Data Privacy Framework (DPF)UEÉtats-Unis certification Clerk (juillet 2023), décision d'adéquation de la Commission européenne. • Des Clauses Contractuelles Types (CCT / SCCs) en tant que garantie contractuelle subsidiaire, applicables si le DPF venait à être invalidé. • Un Accord de traitement de données (DPA) signature en cours avec Clerk (BLK-015 bloquant publish public). Pour toute question sur ces transferts ou pour exercer vos droits, contactez-nous à contact@permisclair.fr.

Paiement• Stripe (paiement CB, Apple Pay, PayPal, Klarna) États-Unis, CCT applicables Communication• Resend (emails transactionnels) Union européenne • Loops (loops.so automatisation des e-mails relationnels et de relance) États-Unis. Finalité : relance des dossiers ou projets non finalisés et informations sur l'avancement de votre dossier. Base légale : intérêt légitime(art. 6.1.f RGPD), dans le cadre d'une relation pré-contractuelle avec un prospect ayant initié une démarche ; vous pouvez vous désinscrire à tout moment. Ce transfert hors Union européenne est encadré par la décision d'adéquation Data Privacy Framework (DPF) UEÉtats-Unis et, à titre subsidiaire, par des Clauses Contractuelles Types (CCT / SCCs) de la Commission européenne. Observabilité• Sentry (monitoring erreurs) données anonymisées, sans PII Mesure d'audience• Plausible(mesure d'audience sans cookie, données agrégées et anonymes) Union européenne. Base légale : intérêt légitime. Actif sans consentement, indépendant des cookies publicitaires ci-dessous (canal de repli, DEC-003). Mesure publicitaire et conversion Transfert hors UEPour mesurer l'efficacité de nos campagnes publicitaires, nous faisons appel aux services suivants. Ils ne sont activés qu'après votre consentement (base légale : consentement, art. 6.1.a RGPD). Vous pouvez le retirer à tout moment via le bandeau cookies.

Google Google Analytics 4 et Google Ads (Google Ireland Limited et Google LLC, États-Unis). Finalités : mesure d'audience publicitaire, attribution des conversions, optimisation des campagnes (y compris « Enhanced Conversions » via e-mail haché SHA-256). • Stape (Stape Inc.) conteneur serveur de gestion de balises (server-side tagging), hébergé en Union européenne (Francfort). Finalité : relai des mesures de conversion vers Google de façon maîtrisée. Transfert hors Union européenne (Google, États-Unis): ces transferts sont encadrés par la décision d'adéquation Data Privacy Framework (DPF) UEÉtats-Unis (Google y est certifié) et, à titre subsidiaire, par des Clauses Contractuelles Types (CCT / SCCs) de la Commission européenne. Un Accord de traitement de données (DPA) est en place avec Google. Stape héberge ses données en Union européenne (Francfort).

Le détail des cookies déposés (noms, finalités, durées) figure dans notre politique des cookies.

4. Durée de conservation

• Données de compte : durée de la relation contractuelle + 5 ans (obligations légales) • Données de paiement : 10 ans (obligations comptables, art. L.123-22 Code de commerce) • Données marketing : jusqu'à retrait du consentement • Données de prospection commerciale (e-mail de prospect) : 3 ans à compter du dernier contactémanant de votre part (recommandation CNIL), ou jusqu'à votre opposition / désinscription • Mesure d'audience publicitaire (cookies Google) : 13 mois maximum, ou jusqu'au retrait du consentement • Logs techniques anonymisés : 12 mois • Journal d'audit des actions utilisateur (table technique intake_audit_log) : 5 ansen mode append-only. Base légale : obligation légale au sens de l'art. 6.1.c RGPD (art. L.221 Code de la consommation charge de la preuve exercice du droit de rétractation L.221-26) et intérêt légitime au sens de l'art. 6.1.f RGPD (prescription quinquennale commerciale, art. L.110-4 Code de commerce). Cette conservation est techniquement garantie par une contrainte d'immutabilité (aucune modification ou suppression possible). En cas de demande d'effacement (art. 17 RGPD), les données sont pseudonymisées dans les limites imposées par ces obligations légales.

5. Vos droits

Conformément au RGPD (art. 15 à 22), vous disposez des droits suivants :

• Droit d'accès à vos données personnelles • Droit de rectification • Droit à l'effacement (« droit à l'oubli », art. 17 RGPD) • Droit à la limitation du traitement • Droit à la portabilité • Droit d'opposition au traitement • Droit de retrait du consentement (marketing) Pour exercer ces droits : contact@permisclair.fr. Réponse sous 30 jours. Vous disposez également du droit d'introduire une réclamation auprès de la CNIL (cnil.fr).

6. Cookies et traceurs

Notre site utilise trois catégories de traceurs :

Traceurs strictement nécessaires(sans consentement, art. 82 loi Informatique et Libertés) : session d'authentification (Clerk), sécurité, et le cookie de consentement pc_consent qui mémorise vos choix pendant 13 mois. • Mesure d'audience sans cookie: Plausible Analytics, sans cookie et sans suivi inter-sites, fondée sur l'intérêt légitime active sans consentement. • Mesure publicitaire et conversion (Google Analytics 4, Google Ads) : cookies _ga, _ga_, _gcl_ déposés uniquement après votre consentement. Refus aussi simple que l'acceptation ; consentement conservé 13 mois (recommandation CNIL). Le détail complet des cookies, finalités, durées et la gestion du consentement figure dans notre politique des cookies.