Politique de confidentialité
Dernière mise à jour : 26 avril 2026
Flowest, micro-entreprise dirigée par Julien Delachienne, immatriculée sous le numéro SIRET 10181803700018, dont le siège social est situé au 1 Chemin de la Janais, 22100 Dinan, France, ci-après « Flowest », « nous » ou « notre », s'engage à protéger la vie privée des utilisateurs de son service accessible à l'adresse app.flowest.immo (ci-après le « Service »).
La présente politique de confidentialité décrit les données personnelles que nous collectons, comment nous les utilisons, et les droits dont vous disposez conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) et à la loi Informatique et Libertés du 6 janvier 1978 modifiée.
1. Responsable de traitement
Le responsable de traitement est :
Flowest — Julien Delachienne
1 Chemin de la Janais, 22100 Dinan, France
Email : contact@flowest.immo
SIRET : 10181803700018
2. Données collectées
2.1 — Données des agents immobiliers (nos clients)
Lors de l'inscription et de l'utilisation du Service, nous collectons :
- Nom, prénom, raison sociale de l'agence
- Adresse email et numéro de téléphone
- Adresse postale de l'agence
- Logo et identité visuelle de l'agence
- Données de connexion (email, mot de passe hashé)
- Données de facturation et de paiement (traitées par Stripe — voir section 5)
- Données d'utilisation du Service (pages visitées, actions effectuées, logs de connexion)
- Tokens d'accès aux services tiers connectés (Google Calendar, Microsoft Outlook — chiffrés en base de données)
2.2 — Données des prospects immobiliers
Dans le cadre de l'utilisation du Service par nos clients (agents immobiliers), nous traitons en qualité de sous-traitant les données suivantes relatives aux prospects de nos clients :
- Nom, prénom
- Adresse email
- Numéro de téléphone
- Contenu des messages échangés (emails, chat)
- Critères de recherche immobilière (budget, type de bien, zone géographique, nombre de pièces)
- Rendez-vous planifiés
- Source du contact (portail immobilier d'origine)
Important : ces données sont traitées pour le compte de l'agent immobilier (responsable de traitement) dans le cadre de son activité professionnelle. Flowest agit en tant que sous-traitant au sens de l'article 28 du RGPD.
2.3 — Données traitées par l'intelligence artificielle
Notre Service utilise l'intelligence artificielle (API Claude d'Anthropic) pour :
- Analyser les messages des prospects et en extraire les informations pertinentes
- Générer des propositions de réponses personnalisées
- Qualifier les prospects (budget, critères, délai)
- Proposer des biens immobiliers correspondants
- Suggérer des créneaux de rendez-vous
Les messages des prospects sont transmis à l'API Claude (Anthropic, PBC) pour traitement. Anthropic ne conserve pas les données transmises via son API au-delà du traitement de la requête, conformément à sa politique de confidentialité API. Aucune donnée n'est utilisée pour entraîner les modèles d'IA.
2.4 — Données Google Calendar
Lorsqu'un utilisateur connecte son compte Google Calendar au Service via OAuth 2.0, nous accédons aux données suivantes :
Données accédées :
- Liste des calendriers de l'utilisateur
- Événements existants (uniquement pour vérifier les disponibilités — date, heure de début, heure de fin)
- Créneaux libres et occupés
Données créées :
- Événements de rendez-vous de visite (titre, date, heure, lieu, description contenant les informations du prospect)
Utilisation strictement limitée :
- Les données Google Calendar sont utilisées uniquement pour vérifier les disponibilités de l'agent et créer des rendez-vous de visite avec ses prospects
- Les données ne sont jamais utilisées à des fins publicitaires, de profilage, ou de marketing
- Les données ne sont jamais partagées avec des tiers autres que ceux listés en section 5
- Les données ne sont jamais utilisées pour entraîner des modèles d'intelligence artificielle
- L'accès peut être révoqué à tout moment par l'utilisateur depuis les paramètres de son compte Flowest ou depuis les paramètres de sécurité de son compte Google (myaccount.google.com/permissions)
Stockage des tokens :
- Les tokens d'accès et de rafraîchissement Google sont chiffrés en base de données
- Ils ne sont jamais exposés côté client ni transmis à des tiers
- Ils sont supprimés immédiatement lorsque l'utilisateur déconnecte son calendrier ou résilie son compte
L'utilisation des données Google est conforme aux Google API Services User Data Policy, y compris les exigences de Limited Use.
2.5 — Données Microsoft Outlook / Microsoft Graph
Lorsqu'un utilisateur connecte son compte Microsoft Outlook au Service via OAuth 2.0, les mêmes principes que ceux décrits en section 2.4 s'appliquent. Les données accédées se limitent aux calendriers et événements nécessaires à la vérification des disponibilités et à la création de rendez-vous.
3. Finalités et bases légales
| Finalité | Base légale | Données concernées |
|---|---|---|
| Création et gestion du compte agent | Exécution du contrat (art. 6.1.b RGPD) | Identité, contact, agence |
| Fourniture du Service (traitement des leads par IA) | Exécution du contrat | Messages, critères prospects, biens |
| Intégration calendrier (Google Calendar / Outlook) | Consentement explicite (art. 6.1.a RGPD) | Événements, disponibilités |
| Facturation et paiement | Exécution du contrat | Données de facturation |
| Support client | Intérêt légitime (art. 6.1.f RGPD) | Identité, contact, données d'usage |
| Amélioration du Service et statistiques | Intérêt légitime | Données d'usage anonymisées |
| Envoi de notifications liées au Service | Exécution du contrat | |
| Conformité légale et fiscale | Obligation légale (art. 6.1.c RGPD) | Données de facturation |
4. Durée de conservation
| Type de données | Durée de conservation |
|---|---|
| Données du compte agent | Durée de l'abonnement + 12 mois après résiliation |
| Données des prospects | 12 mois après le dernier contact (paramétrable par l'agent) |
| Données de facturation | 10 ans (obligation légale comptable) |
| Logs de connexion | 12 mois |
| Conversations IA | Durée de l'abonnement + 3 mois |
| Tokens OAuth (Google, Microsoft) | Jusqu'à déconnexion ou résiliation du compte |
À l'issue de ces durées, les données sont supprimées ou anonymisées de manière irréversible.
5. Sous-traitants et transferts de données
Nous faisons appel aux sous-traitants suivants pour le fonctionnement du Service :
| Sous-traitant | Rôle | Localisation | Garanties |
|---|---|---|---|
| Hetzner Online GmbH | Hébergement serveurs (datacenter Falkenstein) | Allemagne (UE) | Conforme RGPD |
| Google LLC | Intégration Google Calendar (API) | États-Unis | Clauses contractuelles types (CCT), conforme Google API Services User Data Policy |
| Microsoft Corporation | Intégration Outlook Calendar (Microsoft Graph API) | États-Unis | Clauses contractuelles types (CCT) |
| Anthropic, PBC | Traitement IA (API Claude) | États-Unis | Clauses contractuelles types (CCT) |
| Stripe, Inc. | Paiement en ligne | États-Unis | Conforme RGPD, certifié PCI DSS niveau 1 |
| Resend (ou SendGrid) | Envoi d'emails | États-Unis | Clauses contractuelles types (CCT) |
Pour les transferts hors UE, des clauses contractuelles types approuvées par la Commission européenne sont en place conformément à l'article 46.2.c du RGPD.
6. Sécurité des données
Nous mettons en œuvre les mesures techniques et organisationnelles suivantes :
- Chiffrement des communications (HTTPS/TLS sur l'ensemble du Service)
- Mots de passe hashés avec bcrypt (jamais stockés en clair)
- Tokens OAuth (Google, Microsoft) chiffrés en base de données
- Accès au serveur restreint par clé SSH (pas de mot de passe)
- Rate limiting sur les API publiques
- Sanitisation de tous les inputs utilisateur
- Sauvegardes régulières de la base de données
- Séparation stricte des données entre agences (chaque agence n'accède qu'à ses propres données)
- Aucune donnée de paiement stockée sur nos serveurs (traitement délégué à Stripe)
7. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès (art. 15) : obtenir une copie de vos données personnelles
- Droit de rectification (art. 16) : corriger vos données inexactes ou incomplètes
- Droit à l'effacement (art. 17) : demander la suppression de vos données
- Droit à la limitation (art. 18) : restreindre le traitement de vos données
- Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré et lisible
- Droit d'opposition (art. 21) : vous opposer au traitement de vos données
- Droit de retirer votre consentement : pour les traitements basés sur le consentement (ex : connexion Google Calendar), vous pouvez retirer votre consentement à tout moment sans affecter la licéité du traitement effectué avant le retrait
Pour exercer ces droits, contactez-nous à : contact@flowest.immo
Nous répondons à toute demande dans un délai de 30 jours.
En cas de réclamation, vous pouvez contacter la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr
8. Cookies
Le Service utilise des cookies strictement nécessaires au fonctionnement (session d'authentification, préférences d'interface). Aucun cookie publicitaire ou de tracking tiers n'est utilisé.
| Cookie | Finalité | Durée |
|---|---|---|
| session_token | Authentification de l'utilisateur | Durée de la session |
| preferences | Préférences d'interface (thème, langue) | 12 mois |
9. Données des prospects — Obligations de l'agent immobilier
L'agent immobilier utilisant Flowest est responsable de traitement pour les données de ses prospects. À ce titre, il lui incombe de :
- Informer ses prospects que leurs données sont traitées via un assistant IA
- Disposer d'une base légale pour le traitement (intérêt légitime dans le cadre de la relation commerciale)
- Répondre aux demandes d'exercice de droits de ses prospects
- Supprimer les données des prospects qui en font la demande (fonctionnalité disponible dans le dashboard)
Flowest met à disposition de l'agent les outils nécessaires pour remplir ces obligations (export de données, suppression de leads, paramétrage de la durée de conservation).
10. Modifications
Nous nous réservons le droit de modifier la présente politique de confidentialité. En cas de modification substantielle, nous en informerons les utilisateurs par email au moins 30 jours avant l'entrée en vigueur des changements.
11. Contact
Pour toute question relative à la protection de vos données :
Flowest — Julien Delachienne
Email : contact@flowest.immo
Adresse : 1 Chemin de la Janais, 22100 Dinan, France