Politique de confidentialité (RGPD)
Responsable du traitement
EIRES Real Estate S.à r.l., représentée par Michael Eires.
Contact : [email protected] — +352 28 13 83-1
Données collectées, finalités et bases légales
- Formulaire d'estimation : identité, coordonnées, adresse du bien, caractéristiques, photos éventuelles. Finalité : produire l'avis de valeur, qualifier la demande et entrer en contact. Base légale : exécution de mesures précontractuelles (art. 6.1.b RGPD) et intérêt légitime de relance qualifiée (art. 6.1.f RGPD).
- Formulaire de contact / prise de RDV : nom, e-mail, téléphone, message, créneaux. Finalité : répondre à la demande, organiser un rendez-vous. Base légale : mesures précontractuelles (art. 6.1.b RGPD) ou intérêt légitime (art. 6.1.f RGPD).
- Chat IA Anita (assistante virtuelle) : contenu des messages, e-mail/téléphone si communiqués, scoring de qualification (HOT/WARM/COLD). Finalité : assistance conversationnelle et relance commerciale qualifiée. Base légale : consentement (art. 6.1.a RGPD) à l'ouverture du chat et intérêt légitime de qualification (art. 6.1.f RGPD).
- Newsletter / alertes biens : e-mail, langue, préférences d'envoi. Finalité : envoi d'actualités éditoriales et alertes de nouveaux biens. Base légale : consentement explicite (art. 6.1.a RGPD), retirable à tout moment via le lien de désinscription.
- Espace privé / VIP : identifiants de connexion, préférences, historique de consultations off-market, documents financiers transmis. Finalité : personnalisation de l'expérience, accès aux dossiers confidentiels. Base légale : exécution du contrat (art. 6.1.b RGPD).
- Demandes d'exercice de droits RGPD (DSR) : e-mail, IP hachée, motif. Finalité : vérifier l'identité du demandeur et tracer la demande. Base légale : obligation légale (art. 6.1.c RGPD, articles 15-22 RGPD).
- Journal de consentement cookies : identifiant client pseudonyme, IP hachée, catégories acceptées/refusées, horodatage. Finalité : preuve de consentement opposable. Base légale : obligation légale (art. 7.1 RGPD).
- Conformité LBC-FT (clients sous mandat) : pièce d'identité, justificatif d'adresse, identification du bénéficiaire effectif, origine des fonds. Finalité : obligations de vigilance anti-blanchiment. Base légale : obligation légale (art. 6.1.c RGPD + loi du 12 novembre 2004 modifiée).
- Mesure d'audience anonyme : URL visitée, type d'appareil, pays, référent. Finalité : amélioration du site. Base légale : intérêt légitime (art. 6.1.f RGPD).
- Logs techniques et sécurité : IP, user-agent, horodatage des actions admin. Finalité : sécurité du système d'information, traçabilité des accès. Base légale : intérêt légitime (art. 6.1.f RGPD).
Décisions automatisées et profilage (art. 22 RGPD)
Certaines fonctionnalités du site reposent sur des traitements algorithmiques : le Property Matcher (recommandation de biens à partir de vos critères déclarés) et le scoring interne de qualification des demandes d'estimation (priorisation HOT / WARM / COLD pour orienter le délai de rappel). Ces traitements sont des aides à la décision destinées à nos collaborateurs : aucune décision produisant des effets juridiques ou vous affectant de manière significative n'est prise de façon entièrement automatisée. Vous pouvez à tout moment demander une revue humaine, contester le résultat ou exprimer votre point de vue à [email protected].
Durée de conservation par catégorie
- Demandes d'estimation converties en mandat : 3 ans à compter du dernier contact, puis archivage 5 ans au titre des obligations comptables.
- Demandes d'estimation non converties : 13 mois (durée recommandée CNIL/CNPD pour la prospection commerciale B2C).
- Brouillons d'estimation (auto-sauvegarde) : 14 jours, purge automatique.
- Conversations Anita IA (logs bruts) : 6 mois, puis anonymisation.
- Leads Anita qualifiés HOT/WARM convertis : 3 ans ; leads COLD non convertis : 13 mois.
- Demandes de visite / RDV (Cal.com) : 3 ans après la date du rendez-vous.
- Abonnés newsletter désinscrits : 3 ans (preuve de consentement et de désabonnement).
- Données d'espace privé / VIP : tant que le compte est actif, puis 12 mois après suppression.
- Données comptables (mandats signés, factures) : 10 ans conformément aux obligations légales luxembourgeoises.
- Données LBC-FT : 5 ans après la fin de la relation d'affaires (loi du 12 novembre 2004 modifiée).
- Demandes d'exercice de droits RGPD (DSR) : 3 ans à compter de la clôture, pour preuve de traitement.
- Journal de consentement cookies : 12 mois.
- Logs techniques, accès admin et audit sécurité : 12 à 24 mois.
Destinataires
Vos données sont strictement réservées aux collaborateurs habilités d'EIRES Real Estate. Elles peuvent être transmises à nos partenaires techniques listés ci-dessous (hébergement, e-mail transactionnel, analytics) et — uniquement avec votre accord — aux portails de diffusion ou à notre courtier pour la pré-qualification de financement. Aucune donnée n'est vendue ni cédée à des fins commerciales tierces.
Sous-traitants techniques
Liste exhaustive des sous-traitants qui peuvent traiter vos données pour le compte d'EIRES Real Estate (RGPD art. 28). Tous opèrent sous contrat de sous-traitance et garanties documentées. La liste détaillée avec liens vers les DPA officiels est disponible sur /confidentialite/sous-traitants.
- Supabase Inc. / AWS eu-central-1 : Base de données, authentification, edge functions, stockage — Allemagne (UE) — UE — pas de transfert
- Strapi Cloud : CMS éditorial (articles, biens enrichis) — UE — UE — pas de transfert
- Cloudflare, Inc. : CDN, sécurité réseau, WAF, DNS — États-Unis (cache global) — EU-US Data Privacy Framework + CCT
- Resend : E-mails transactionnels (estimation, contact, DSR) — États-Unis — EU-US Data Privacy Framework + CCT
- Twilio : SMS de notification (RDV, alertes) — États-Unis — EU-US Data Privacy Framework + CCT
- Cal.com : Prise de rendez-vous en ligne — Allemagne (UE) — UE — pas de transfert
- OpenAI, L.L.C. & Google LLC (modèles LLM) : Modèles LLM de l’assistante Anita (via passerelle IA technique) — États-Unis — EU-US Data Privacy Framework + CCT
- Sentry : Supervision d'erreurs applicatives — Union européenne (région EU Sentry) — DPA Sentry · hébergement UE
- Plausible Analytics : Mesure d'audience cookieless — Allemagne (UE) — UE — pas de transfert
- PostHog (sous consentement) : Analyse produit anonymisée — UE — UE — pas de transfert
- Google LLC — GTM (sous consentement) : Gestionnaire de balises — Irlande (UE) / États-Unis — EU-US Data Privacy Framework + CCT
- Google Maps Geocoding : Géocodage d'adresses (estimation, carte) — États-Unis — EU-US Data Privacy Framework + CCT
- NextImmo : Diffusion des biens vers portails partenaires — Luxembourg (UE) — UE — pas de transfert
Transferts hors UE
Certains sous-traitants techniques (Cloudflare, Resend, Twilio, Google, OpenAI) peuvent traiter les données depuis les États-Unis. Ces transferts sont encadrés par leur certification au Data Privacy Framework UE-États-Unis (décision d'adéquation 2023/1795) et/ou par la signature des clauses contractuelles types approuvées par la Commission européenne (décision 2021/914), conformément aux articles 45 et 46 du RGPD. Aucun transfert n'est effectué vers un pays ne disposant pas d'un cadre juridique approprié.
Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez à tout moment des droits suivants :
- Droit d'accès et droit à une copie de vos données
- Droit de rectification
- Droit à l'effacement (« droit à l'oubli »)
- Droit à la limitation du traitement
- Droit à la portabilité
- Droit d'opposition pour motifs légitimes
- Droit de retirer votre consentement à tout moment
- Droit de définir des directives post-mortem
- Droit de ne pas faire l'objet d'une décision entièrement automatisée (art. 22)
Pour exercer vos droits, le plus simple est d'utiliser notre formulaire dédié /confidentialite/mes-donnees (vérification par e-mail, traitement sous 30 jours). Vous pouvez également écrire à [email protected] en joignant un justificatif d'identité.
Référent protection des données
Conformément à l'article 37 RGPD, EIRES Real Estate n'a pas l'obligation de désigner un délégué à la protection des données (DPO) formel. Néanmoins, par souci de transparence, le point de contact unique pour toute question relative au traitement de vos données personnelles est :
- Référent : Michael Eires, gérant
- Email : [email protected]
- Adresse postale : 44, Rue de Hunsdorf — L-7324 Mullendorf — Luxembourg
Réclamation
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale pour la Protection des Données (CNPD), autorité de contrôle luxembourgeoise : cnpd.public.lu.
WhatsApp Business — traitement des messages
Nous utilisons WhatsApp Business (Cloud API) comme canal conversationnel. Ce traitement est distinct du site web et fait l'objet d'un opt-in horodaté (formulaire, verbal, VIP ou import) tracé dans notre registre RGPD.
Base légale RGPD
- Consentement (art. 6.1.a) pour les messages marketing (alertes biens, off-market VIP, vœux).
- Intérêt légitime (art. 6.1.f) pour les messages transactionnels liés à un service en cours (confirmation RDV, offre reçue, notaire, remise clés).
- Exécution d'un contrat (art. 6.1.b) pour les messages liés à un mandat signé (rapport hebdomadaire, mise en ligne, compromis).
Données collectées via WhatsApp
- Numéro de téléphone (identifiant du canal).
- Contenu des messages échangés (texte, images, documents).
- Horodatage envoi / réception / lecture.
- Statut de livraison et catégorie de conversation (Meta).
- Consentement horodaté (IP, user-agent, source, template).
Sous-traitant : Meta Platforms Ireland Ltd
Meta Platforms Ireland Ltd — Merrion Road, Dublin 4, D04 X2K5, Irlande. Hébergement de l'infrastructure WhatsApp Business Platform (Cloud API). DPA : WhatsApp Business Terms of Service. Chiffrement bout-en-bout entre EIRES et vous. Transferts hors UE encadrés par Clauses Contractuelles Types (SCC) UE-USA.
Durée de conservation
- 24 mois pour le corps des messages (au-delà : anonymisation automatique, conservation des métadonnées uniquement pour statistiques).
- Consentement conservé pendant toute la relation + 3 ans après dernier échange (preuve RGPD art. 7.1).
- Registre d'opt-out conservé indéfiniment (obligation Meta + preuve de respect).
Vos droits
- Opposition instantanée : envoyez STOP (ou STOPPER / DÉSABONNER / UNSUBSCRIBE / ARRÊT) à notre numéro WhatsApp. Traitement automatique immédiat.
- Accès / rectification / suppression : email à [email protected].
- Portabilité : export intégral de vos conversations sur demande.
- Réclamation : CNPD (cnpd.public.lu).
Prise de décision automatisée
Aucun profilage automatisé au sens de l'art. 22 RGPD n'est effectué sur les données WhatsApp. La classification interne (prospect / client / VIP) reste sous décision humaine finale.