Politique de confidentialité
Dernière mise à jour : 3 mai 2026
La protection de vos données personnelles est au cœur de la mission de IAmYou. La présente politique a pour objet de vous informer, de manière claire et transparente, sur la nature des données traitées via le site iamyouagency.com et nos services associés, sur leurs finalités, sur leur durée de conservation, ainsi que sur les droits dont vous disposez en application du Règlement (UE) 2016/679 dit « RGPD » et de la loi n° 78-17 du 6 janvier 1978 modifiée dite « Informatique et Libertés ».
1. Responsable du traitement
Le responsable du traitement des données collectées via le site iamyouagency.com est :
- Responsable
- IAmYou — projet édité par Paul Le Goff, personne physique. Société en cours d'immatriculation.
- Localisation
- Bordeaux, France
- contact@iamyouagency.com
Les mentions complémentaires (raison sociale, siège, SIRET) seront ajoutées dès l'immatriculation effective de l'entité.
Lorsque IAmYou traite des données personnelles pour le compte de ses clients professionnels (par exemple les conversations entre l'agent IA et les prospects de l'agence cliente), IAmYou agit en qualité de sous-traitant au sens de l'article 28 du RGPD ; le client professionnel (l'agence immobilière) est alors responsable du traitement.
2. Délégué à la protection des données
Pour toute question relative au traitement de vos données ou à l'exercice de vos droits, vous pouvez contacter notre référent en protection des données aux coordonnées suivantes :
- Email : dpo@iamyouagency.com
- Localisation : Bordeaux, France
La désignation formelle d'un Délégué à la Protection des Données au sens de l'article 37 du RGPD sera examinée à la création effective de l'entité juridique en fonction des critères posés par le RGPD.
3. Données collectées
Nous limitons strictement la collecte aux données nécessaires aux finalités poursuivies (principe de minimisation, RGPD art. 5-1-c).
3.1 Visiteurs du site
- données techniques de connexion (adresse IP partiellement anonymisée, type de navigateur, système, page visitée, date et heure) ;
- statistiques d'audience agrégées et anonymisées (Vercel Analytics) ;
- cookie de consentement.
3.2 Prospects ayant utilisé le calculateur de ROI
- nom, prénom, fonction, nom de l'agence ;
- email professionnel, numéro de téléphone (facultatif) ;
- paramètres simulés (volume de mandats, taux de transformation, etc.) et résultat affiché.
3.3 Prospects ayant utilisé le formulaire de contact
- nom, prénom, fonction, raison sociale ;
- email professionnel, téléphone (facultatif) ;
- contenu libre du message, contexte du projet.
3.4 Prospects ayant interagi avec le widget IA de démonstration
- contenu des messages échangés avec l'agent ;
- identifiant de session (anonyme) et horodatage des échanges ;
- le cas échéant, coordonnées volontairement fournies (email, téléphone, créneau souhaité).
Nous vous invitons à ne pas communiquer de données sensiblesau sens de l'article 9 du RGPD via le widget (données de santé, opinions politiques, religieuses, vie sexuelle, etc.).
4. Finalités et bases légales
Conformément à l'article 6 du RGPD, chaque traitement repose sur une base légale identifiée :
| Finalité | Base légale (RGPD) |
|---|---|
| Mesure d'audience anonymisée du site | Intérêt légitime (art. 6-1-f) — analytics first-party sans cookie |
| Réponse aux demandes via le formulaire de contact | Mesures précontractuelles à la demande de la personne (art. 6-1-b) |
| Calculateur de ROI | Consentement (art. 6-1-a) lorsque l'utilisateur transmet ses coordonnées |
| Démonstration via widget IA conversationnel | Consentement (art. 6-1-a) |
| Prospection commerciale par email vers des professionnels | Intérêt légitime (art. 6-1-f) — soft opt-in B2B avec droit d'opposition |
| Exécution du contrat (clients professionnels) | Contrat (art. 6-1-b) |
| Respect des obligations comptables et fiscales | Obligation légale (art. 6-1-c) |
| Sécurité, journalisation, prévention de la fraude | Intérêt légitime (art. 6-1-f) |
5. Destinataires et sous-traitants
Vos données ne sont ni vendues, ni louées, ni cédées à des tiers à des fins commerciales. Elles sont accessibles aux seuls collaborateurs habilités du Prestataire et aux sous-traitants techniques strictement nécessaires à la fourniture des services :
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Vercel Inc. | Hébergement frontend, fonctions serverless, analytics | États-Unis — régions de calcul UE possibles |
| Supabase, Inc. | Base de données Postgres, authentification, stockage | UE — Francfort, Allemagne |
| OpenAI, L.L.C. | API du modèle de langage GPT-4o-mini (génération de réponses du widget IA) | États-Unis |
| Resend, Inc. | Envoi d'emails transactionnels (confirmations, notifications) | États-Unis |
| Cal.com, Inc. | Prise de rendez-vous et gestion des disponibilités | États-Unis |
Chaque sous-traitant est lié à IAmYou par un contrat comportant les engagements requis par l'article 28 du RGPD, notamment en matière de confidentialité, de sécurité et de limitation des traitements.
6. Transferts hors UE
Certaines données peuvent faire l'objet d'un transfert hors de l'Union européenne, en particulier vers les États-Unis (Vercel, OpenAI, Resend, Cal.com). Ces transferts sont encadrés par :
- les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne (décision d'exécution UE 2021/914 du 4 juin 2021), conclues avec chacun des sous-traitants concernés ;
- le cas échéant, l'adhésion du sous-traitant au cadre EU–U.S. Data Privacy Frameworkreconnu par la décision d'adéquation de la Commission européenne du 10 juillet 2023 ;
- des mesures complémentaires techniques et organisationnelles (chiffrement en transit et au repos, contrôles d'accès, minimisation des données transférées).
Vous pouvez nous demander une copie des garanties applicables en écrivant à dpo@iamyouagency.com.
7. Durées de conservation
Les données sont conservées pour la durée strictement nécessaire à la réalisation des finalités poursuivies, puis archivées ou supprimées de façon sécurisée.
| Catégorie de données | Durée active | Archivage |
|---|---|---|
| Leads & contacts commerciaux | 3 ans à compter du dernier contact | — |
| Conversations widget IA (démo) | 12 mois | Anonymisées au-delà à des fins d'amélioration du service |
| Logs techniques applicatifs | 12 mois | — |
| Cookies de consentement | 6 mois maximum | — |
| Données contractuelles clients | Durée du contrat + 30 jours (réversibilité) | Archivage légal jusqu'à 5 ans (factures et pièces comptables — 10 ans, art. L.123-22 C. com.) |
| Données comptables et fiscales | 10 ans | Obligation légale |
8. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données :
- Droit d'accès (art. 15) — obtenir la confirmation que vos données sont traitées et en obtenir une copie ;
- Droit de rectification (art. 16) — corriger des données inexactes ou incomplètes ;
- Droit à l'effacement ou « droit à l'oubli » (art. 17), dans les cas prévus par la réglementation ;
- Droit à la limitation du traitement (art. 18) ;
- Droit à la portabilité (art. 20) — recevoir vos données dans un format structuré et lisible par machine ;
- Droit d'opposition (art. 21), notamment à toute prospection commerciale ;
- Droit de retirer votre consentement à tout moment lorsque le traitement repose sur celui-ci, sans que ce retrait remette en cause la licéité du traitement passé ;
- Droit de définir des directives relatives au sort de vos données après votre décès (art. 85 loi Informatique et Libertés).
9. Procédure d'exercice de vos droits
Pour exercer ces droits, il vous suffit d'adresser une demande :
- Par email : dpo@iamyouagency.com
- Localisation : Bordeaux, France. L'adresse postale précise sera communiquée dès l'immatriculation de l'entité.
Pour des raisons de sécurité, nous pourrons vous demander un justificatif d'identité en cas de doute raisonnable sur l'identité du demandeur (art. 12-6 RGPD).
Nous nous engageons à répondre à votre demande dans un délai maximum d'un (1) mois à compter de sa réception. Ce délai peut être prolongé de deux (2) mois supplémentaires en cas de demande complexe ou de nombre élevé de demandes, auquel cas vous en serez informé.
11. Sécurité technique
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque (RGPD art. 32), parmi lesquelles :
- chiffrement TLS 1.2+ de tous les flux et chiffrement au repos des données stockées chez Supabase (AES-256) ;
- hébergement de la base de données en Union européenne (Francfort) ;
- mise en œuvre du Row Level Security (RLS) Postgres chez Supabase, isolant strictement les données entre clients ;
- gestion stricte des accès aux systèmes (MFA, principe du moindre privilège, journalisation des connexions) ;
- sauvegardes chiffrées quotidiennes et procédure de restauration testée ;
- revues de sécurité régulières, mises à jour de dépendances et veille de vulnérabilités.
En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes, une notification sera adressée à la CNIL dans les 72 heures, et le cas échéant aux personnes concernées (RGPD art. 33 et 34).
12. Réclamation auprès de la CNIL
Si vous estimez, après nous avoir contactés, que vos droits sur vos données ne sont pas respectés, vous avez la possibilité d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- En ligne : www.cnil.fr/fr/plaintes
- Par courrier : CNIL — 3 Place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07.
13. Modifications
La présente politique peut être amenée à évoluer pour tenir compte des évolutions techniques, réglementaires ou de notre activité. Toute modification substantielle vous sera notifiée par tout moyen approprié (mention sur la page d'accueil, notification email le cas échéant). La date de dernière mise à jour figure en tête de cette politique.