Politique de confidentialité

Le responsable de traitement au sens du RGPD est ArtometriX, dont les coordonnées figurent sur la page mentions légales. Les demandes relatives aux données personnelles peuvent être adressées à contact@fouyapen.fr.

Aucun délégué à la protection des données (DPO) n'est actuellement désigné : Fouyapen ne réalise pas, à ce jour, de traitement à grande échelle ou systématique au sens de l'article 37 du RGPD. Cette analyse sera réévaluée à chaque franchissement de palier d'utilisateurs actifs.

Fouyapen collecte exclusivement les données strictement nécessaires à la fourniture du service. Pour chaque catégorie, la base légale est identifiée :

Adresse email

Exécution du contrat (art. 6-1-b du RGPD) — pour authentifier le compte par lien magique et envoyer les recommandations hebdomadaires souscrites.

Métadonnées d'analyse

Exécution du contrat — adresse, capacité, dates de séjour : nécessaires au calcul de la recommandation tarifaire demandée.

Données techniques

Intérêt légitime (art. 6-1-f) — adresse IP, user-agent, identifiant de requête : utilisés pour la sécurité, la lutte contre l'abus et le diagnostic d'incident. Conservées 90 jours puis supprimées.

Mesure d'usage interne

Intérêt légitime (art. 6-1-f) — pages visitées, actions clés (analyse lancée, offre consultée), catégorie d'appareil, pays approximatif. La mesure est interne : aucun outil tiers n'est appelé, aucune donnée d'audience n'est revendue. L'adresse IP n'est jamais stockée en clair — seul un pseudonyme journalier (rotation 24h) est utilisé pour dédupliquer les sessions. Conservées 12 mois en forme nominative, puis agrégées sans lien individuel.

Données de paiement

Exécution du contrat — gérées exclusivement par notre prestataire de paiement (voir section 5). Fouyapen ne stocke ni numéro de carte ni cryptogramme.

Inscription newsletter

Consentement (art. 6-1-a) — recueilli via le formulaire d'inscription, retirable à tout moment via le lien de désabonnement.

Les données collectées servent uniquement à :

1. fournir l'analyse de marché et les recommandations tarifaires demandées ;
2. gérer l'authentification, l'abonnement et la facturation ;
3. envoyer les communications transactionnelles (rapports hebdomadaires souscrits, alertes) ;
4. améliorer la qualité du service via des statistiques agrégées et anonymisées ;
5. respecter nos obligations légales (comptabilité, fiscalité, lutte contre la fraude).

Aucune décision automatisée produisant des effets juridiques ou significativement similaires n'est prise au sens de l'article 22 du RGPD : la recommandation tarifaire est une aide à la décision, jamais une fixation imposée.

Compte utilisateur

durée de l'abonnement + 3 ans pour répondre à une éventuelle réclamation, conformément à la prescription civile.

Analyses et recommandations

24 mois après la dernière analyse, puis archivage anonymisé pour amélioration du service.

Logs techniques

90 jours.

Données de facturation

10 ans (obligation comptable, art. L123-22 du Code de commerce).

Inscription newsletter

jusqu'au désabonnement.

Fouyapen recourt à un nombre limité de sous-traitants techniques. Chacun est lié par un contrat conforme à l'article 28 du RGPD. La liste à jour :

Hébergement

OVH SAS (Roubaix, France) — base de données et serveurs applicatifs, hébergés en Union européenne.

Email transactionnel

[À COMPLÉTER : POSTMARK_OU_RESEND] — envoi des liens d'authentification et des emails de recommandation.

Paiement

Stripe Payments Europe, Ltd. (Dublin, Irlande) — gestion des paiements récurrents et de la facturation. Stripe est responsable de traitement indépendant pour les données de carte ; Fouyapen ne stocke aucun numéro de carte ni cryptogramme.

Modèles d'IA

Anthropic (Claude) et OpenAI (GPT) — appelés pour la génération des explications de recommandation et la veille événementielle. Aucune donnée personnelle n'est transmise dans les requêtes ; seules les caractéristiques de la location et la période sont envoyées.

Les sous-traitants Anthropic, OpenAI sont susceptibles de traiter des données hors de l'Union européenne, principalement aux États-Unis. Ces transferts sont encadrés par les clauses contractuelles types (CCT) approuvées par la Commission européenne et par les engagements de chaque fournisseur dans le cadre de l'EU-US Data Privacy Framework lorsqu'ils y sont certifiés.

Les requêtes envoyées à ces fournisseurs sont volontairement dépourvues d'identifiants personnels (email, adresse exacte, identité du propriétaire). Elles décrivent uniquement la ville, la période et les caractéristiques agrégées du marché.

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :

• Accès — obtenir une copie des données vous concernant.
• Rectification — corriger une donnée inexacte ou incomplète.
• Effacement — supprimer vos données lorsque la base légale ne s'y oppose pas (les données de facturation restent conservées 10 ans pour obligation comptable).
• Portabilité — récupérer vos analyses et paramètres dans un format structuré et lisible par machine.
• Limitation — geler temporairement le traitement.
• Opposition — pour les traitements fondés sur l'intérêt légitime, vous opposer pour motif tenant à votre situation particulière.
• Retrait du consentement — pour la newsletter, à tout moment via le lien de désabonnement.
• Définir des directives post-mortem — sur le sort de vos données après votre décès (art. 85 LIL).

Pour exercer un droit, écrivez à contact@fouyapen.fr en précisant la nature de la demande. Nous répondons dans un délai d'un mois (prolongeable de deux mois pour les demandes complexes, art. 12-3 RGPD).

Vous disposez également du droit d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL) — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, ou via cnil.fr/fr/plaintes.

Fouyapen utilise un nombre minimal de cookies, tous strictement nécessaires au fonctionnement du service. Aucun cookie de mesure d'audience ou publicitaire n'est déposé.

session_token

Cookie d'authentification (HttpOnly, Secure, SameSite=Strict). Conserve la session après vérification du lien magique. Durée : 24 heures, glissante. Sans ce cookie l'accès au tableau de bord est impossible.

cookie_notice_seen

Petit cookie technique (localStorage) qui mémorise que vous avez consulté la présente notice, pour ne pas la réafficher à chaque visite. Aucun identifiant ne lui est associé.

Le cookie d'authentification étant strictement nécessaire au service, il est exempté de consentement préalable au sens de l'article 82 de la loi Informatique et Libertés et des recommandations CNIL. Il fait néanmoins l'objet de la présente information.

Les données sont chiffrées en transit (TLS 1.3) et au repos sur les volumes de base de données. Les accès aux infrastructures sont nominatifs, journalisés et limités au strict nécessaire. Les mots de passe ne sont pas utilisés (authentification par lien magique uniquement). En cas de violation susceptible d'engendrer un risque élevé pour vos droits et libertés, vous serez informé conformément à l'article 34 du RGPD.

La présente politique peut évoluer pour refléter une évolution réglementaire ou un changement de sous-traitant. La date de dernière mise à jour est indiquée en tête de page. Les modifications substantielles sont notifiées par email aux utilisateurs disposant d'un compte actif.