Politique de confidentialité

1. Responsable du traitement

tevaxia.lu
Contact : contact@tevaxia.lu

2. Données collectées

Données de navigation :
Cookies techniques nécessaires au fonctionnement du site. Google Analytics (avec consentement préalable) pour la mesure d'audience : pages visitées, durée de visite, type de navigateur, adresse IP anonymisée.

Compte utilisateur :
Adresse email, nom (optionnel), profession (optionnel), mot de passe hashé. Vous pouvez créer un compte par email/mot de passe ou via un service tiers (Google, LinkedIn).

Connexion OAuth (Google, LinkedIn) :
Seuls votre adresse email et votre nom sont transmis par ces services. Nous ne recevons ni votre mot de passe, ni vos contacts, ni aucune autre donnée de votre compte tiers. L'authentification est gérée par Supabase Auth via le protocole OAuth 2.0 / OpenID Connect.

Données de simulation :
Les données saisies dans les calculateurs et simulateurs (montants, surfaces, paramètres énergétiques, lots locatifs, etc.) sont stockées dans le localStorage de votre navigateur, et — si vous êtes connecté — synchronisées sur Supabase pour vous permettre d'y accéder depuis n'importe quel appareil. Plafond 500 items par utilisateur gratuit (10 000 pour un plan Pro), rétention de 180 jours à partir de la dernière modification, purge automatique quotidienne au-delà.

Profil évaluateur :
Nom, société, coordonnées professionnelles — stockés dans le localStorage de votre navigateur ou dans Supabase si vous êtes connecté. Ces données servent à personnaliser les rapports d'évaluation.

Données métier professionnelles (B2B) :
Les utilisateurs professionnels (syndics, agences, hôteliers) saisissent dans les modules Syndic/CRM/PMS des données concernant des tiers : copropriétaires (nom, lot, IBAN, solde), clients hôteliers (nom, dates séjour, adresse, numéro carte tokenisée), contacts CRM (nom, email, téléphone, critères d'achat), mandats immobiliers. Pour ces données, tevaxia agit comme sous-traitant au sens RGPD art. 28 : l'utilisateur professionnel est responsable du traitement et doit disposer d'une base légale appropriée (exécution d'un contrat de syndic, d'un contrat d'hébergement, d'un mandat immobilier).

Données bancaires PSD2 (connexion Enable Banking) :
Si vous connectez un compte bancaire via le service PSD2 Enable Banking (AIS — Account Information Service) pour le rapprochement automatique, les transactions récupérées (libellé, montant, date, référence) sont traitées en mémoire le temps du rapprochement et non stockées sur nos serveurs au-delà de la session. Le lien PSD2 a une durée maximale de 90 jours imposée par la réglementation UE 2015/2366, renouvelable par votre banque via SCA. La clé privée JWT utilisée pour signer les requêtes reste côté serveur tevaxia, jamais exposée côté navigateur.

OCR factures & documents — traitement local :
Les PDF et images uploadés dans le module OCR factures sont traités exclusivement dans votre navigateur (PDF.js pour l'extraction texte, Tesseract.js pour l'OCR des scans). Aucun fichier, aucune image, aucun texte extrait n'est envoyé à un service d'intelligence artificielle tiers (OpenAI, Anthropic, Google, Mistral) ni à nos serveurs. Seules les données structurées extraites (fournisseur, montant, IBAN, TVA…) que vous validez explicitement sont ensuite enregistrées dans Supabase.

Données de paiement (Stripe) :
Si vous souscrivez à un plan payant, le traitement du paiement (carte bancaire, SEPA) est entièrement géré par Stripe Payments Europe Limited (Irlande). tevaxia ne reçoit et ne stocke jamais votre numéro de carte complet : seul un identifiant de client Stripe, les 4 derniers chiffres de votre carte et sa date d'expiration sont conservés dans notre base pour vous permettre de gérer votre abonnement.

3. Finalités du traitement

• Fonctionnement du service (calculs, simulations, affichage des résultats)
• Sauvegarde des simulations et évaluations sur votre compte
• Personnalisation des rapports d'évaluation (profil évaluateur)
• Amélioration du service (statistiques d'audience anonymisées)

4. Base légale du traitement

• Consentement (art. 6.1.a RGPD) : cookies analytiques Google Analytics.
• Exécution du contrat (art. 6.1.b RGPD) : création et gestion de votre compte, sauvegarde de vos simulations.
• Intérêt légitime (art. 6.1.f RGPD) : amélioration du service, sécurité de la plateforme.

Vous pouvez retirer votre consentement à tout moment pour les traitements fondés sur cette base.

5. Sous-traitants

6. Durée de conservation

• Données de compte : conservées jusqu'à la suppression du compte par l'utilisateur.
• Données de simulation (évaluations sauvegardées, lots locatifs) : 180 jours à compter de la dernière modification, plafond 500 items par compte gratuit (10 000 pour un plan Pro). Purge automatique quotidienne à 03:00 UTC des lignes dépassant ces seuils. Les données locales (localStorage) restent disponibles tant que l'utilisateur ne vide pas son navigateur.
• Liens publics de partage : 90 jours par défaut, durée paramétrable par l'utilisateur (1 à 365 jours) à la création, avec limite de vues optionnelle.
• Cookies : durée maximale de 13 mois.
• Données métier B2B (copropriétaires, clients hôteliers, contacts CRM) : conservées pendant la durée du contrat de service avec le professionnel utilisateur. Les obligations de conservation légales spécifiques LU s'appliquent (comptabilité et factures 10 ans art. L.16-2 Code de commerce, PV d'AG 10 ans, données AML/KYC 5 ans).
• Données PSD2 Enable Banking : transactions bancaires consultées en mémoire, non persistées au-delà de la session. Lien PSD2 : 90 jours maximum (renouvelable par SCA).
• OCR factures : les PDF/images uploadés ne sont jamais stockés sur nos serveurs — traitement 100% navigateur. Seules les données structurées validées par l'utilisateur sont enregistrées.

7. Vos droits

Conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi luxembourgeoise du 1er août 2018, vous disposez des droits suivants :

• Droit d'accès à vos données personnelles
• Droit de rectification
• Droit à l'effacement (« droit à l'oubli »)
• Droit à la portabilité des données — un bouton « Exporter toutes mes données (JSON) » est disponible dans la section « Données & plan » de votre profil
• Droit d'opposition au traitement

Pour exercer ces droits, contactez-nous à contact@tevaxia.lu.

8. Cookies

• Cookies techniques (nécessaires) : indispensables au fonctionnement du site (préférences de langue, session). Aucun consentement requis.
• Cookies analytiques (consentement) : Google Analytics, déposés uniquement après consentement explicite. Permettent la mesure d'audience anonymisée.
• Cookies d'authentification : gestion de la session Supabase (token de connexion). Nécessaires au fonctionnement du compte utilisateur.

9. Transferts de données hors Union européenne

Certains de nos sous-traitants sont situés aux États-Unis. Ces transferts sont encadrés par des clauses contractuelles types approuvées par la Commission européenne et/ou la décision d'adéquation EU-US Data Privacy Framework.

Les données de compte et de simulation sont hébergées par Supabase sur des serveurs situés dans l'Union européenne (AWS eu-central-1, Francfort, Allemagne).

10. Mesures de sécurité

Nous mettons en œuvre les mesures techniques et organisationnelles suivantes pour protéger vos données :

• Chiffrement des communications via HTTPS (TLS)
• Politique de sécurité du contenu (Content Security Policy — CSP)
• Row Level Security (RLS) sur Supabase : chaque utilisateur n'accède qu'à ses propres données
• Mots de passe hashés (jamais stockés en clair)
• Traitement local navigateur pour l'OCR de factures (PDF.js + Tesseract.js) : aucun envoi de document à un service d'IA externe
• Clés PSD2 stockées en variables d'environnement serveur, signature JWT RS256 pour chaque requête bancaire

11. Délégué à la protection des données / Contact

Pour toute question relative à la protection de vos données personnelles, vous pouvez nous contacter à contact@tevaxia.lu.

12. Droit de réclamation

Si vous estimez que le traitement de vos données personnelles constitue une violation du RGPD, vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle luxembourgeoise :

Commission Nationale pour la Protection des Données (CNPD)
15 Boulevard du Jazz, L-4370 Belvaux, Luxembourg
cnpd.public.lu