FairePlace est en phase d'accès anticipé. Les retours de nos premiers bailleurs façonnent la plateforme. En savoir plus

Politique de confidentialité

Dernière mise à jour : 4 mai 2026

Date de dernière mise à jour : 4 mai 2026

La présente Politique de confidentialité décrit la manière dont ThinkyLab SAS collecte, utilise, conserve et protège les données personnelles des utilisateurs du site faireplace.com et de la plateforme Faireplace, conformément au Règlement Général sur la Protection des Données (RGPD, Règlement UE 2016/679) et à la loi Informatique et Libertés du 6 janvier 1978 modifiée.

1. Responsable du traitement

Le responsable du traitement des données personnelles est :
ThinkyLab SAS
Société par Actions Simplifiée au capital de 1 000 €
SIREN : 942 915 976
Siège social : 1 rue Marx Dormoy, 44200 Nantes, France
Représentant légal : Yvan Karmouta, Président
Contact : [email protected]

Délégué à la protection des données (DPO)

ThinkyLab n'a pas désigné de délégué à la protection des données. Cette désignation n'est pas obligatoire au sens de l'article 37 du RGPD compte tenu du périmètre actuel des traitements (pas de catégories particulières de données au sens de l'article 9, pas de suivi régulier et systématique de personnes à grande échelle). Toutes les questions relatives aux données personnelles sont traitées directement par le responsable du traitement à l'adresse [email protected].

2. Données collectées

Données fournies directement par l'Utilisateur

  • Nom, prénom
  • Adresse e-mail
  • Numéro de téléphone (facultatif)
  • Adresse postale

Données liées aux baux

  • Identité des parties au bail (bailleur et locataire)
  • Adresse du bien loué
  • Conditions du bail (loyer, charges, durée, etc.)
  • Documents associés (diagnostics, états des lieux, etc.)

Données collectées automatiquement

  • Adresse IP (tronquée pour la mesure d'audience anonymisée)
  • Type et version du navigateur
  • Système d'exploitation
  • Horodatage des connexions et des actions (journal de preuve eIDAS pour les signatures électroniques)
  • Pages consultées et parcours de navigation

Données non collectées (catégories sensibles)

ThinkyLab ne collecte aucune donnée dite « sensible » au sens de l'article 9 du RGPD, notamment : origines raciales ou ethniques, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques, données biométriques, données de santé, données relatives à la vie sexuelle ou à l'orientation sexuelle.

De manière explicite, le Service n'est pas conçu pour le téléversement et le stockage de pièces d'identité, justificatifs de revenus, dossiers de candidature locative ou tout autre document personnel sensible des locataires (l'Utilisateur est invité à recourir à des services tiers spécialisés et agréés tels que DossierFacile pour la constitution et la vérification des dossiers de candidature).

3. Finalités et bases légales du traitement

Les données personnelles sont traitées sur les bases légales suivantes :

Exécution du contrat (art. 6.1.b RGPD)

  • Fourniture du Service (génération et signature de baux)
  • Gestion du compte utilisateur
  • Gestion des baux et des documents associés
  • Traitement des paiements via Stripe

Consentement (art. 6.1.a RGPD)

  • Envoi de newsletters et communications commerciales
  • Dépôt de cookies fonctionnels (le détail figure dans la Politique cookies)

Intérêt légitime (art. 6.1.f RGPD)

  • Sécurité du Service et prévention des fraudes (Cloudflare anti-bot)
  • Amélioration du Service et de l'expérience utilisateur
  • Statistiques de fréquentation et d'utilisation (mesure d'audience anonymisée, exemptée de consentement, recommandation CNIL)

Obligation légale (art. 6.1.c RGPD)

  • Conservation des pièces comptables et fiscales (art. L123-22 du Code de commerce)
  • Conservation des baux signés et journal de preuve eIDAS (loi du 6 juillet 1989, prescription civile)
  • Réponse aux réquisitions judiciaires ou administratives

4. Destinataires des données

En interne

Les données personnelles sont accessibles aux salariés et collaborateurs habilités de ThinkyLab, dans la limite stricte de ce qui est nécessaire à l'exercice de leurs fonctions, sous obligation de confidentialité.

Sous-traitants techniques (article 28 RGPD)

ThinkyLab fait appel aux sous-traitants suivants, agissant exclusivement sur instruction documentée du responsable du traitement, conformément à l'article 28 du RGPD :

Sous-traitant Localisation Finalité Encadrement transferts
Scaleway SAS
8 rue de la Ville l'Évêque, 75008 Paris		 France (UE) Hébergement des données principales (baux, documents, profils) Pas de transfert hors UE
Cloudflare, Inc.
101 Townsend St, San Francisco, CA 94107, USA		 États-Unis (avec edge UE) CDN, sécurité anti-bot, authentification, gestion des sessions, traitement des signatures électroniques EU-US Data Privacy Framework (décision d'adéquation 10/07/2023) + Clauses contractuelles types (CCT) UE 2021/914
Stripe, Inc.
354 Oyster Point Blvd, South San Francisco, CA 94080, USA		 États-Unis (avec edge UE) Traitement des paiements par carte bancaire (PCI DSS niveau 1) EU-US Data Privacy Framework + CCT UE 2021/914
DO Global Limited
(prestataire signature électronique avancée)		 Union européenne Traitement technique des signatures électroniques eIDAS (génération OTP, certificat, journal de preuve, scellement PAdES) Pas de transfert hors UE
PostHog Inc.
(mesure d'audience)		 Union européenne (région EU Cloud) Mesure d'audience anonymisée (IP tronquée, exemptée de consentement) Pas de transfert hors UE

La liste actualisée des sous-traitants est disponible sur demande à l'adresse [email protected]. ThinkyLab notifie les Utilisateurs en cas de changement substantiel de sous-traitant.

Tiers

ThinkyLab ne partage aucune donnée personnelle avec des tiers à des fins commerciales sans le consentement préalable de l'Utilisateur. Des données peuvent être communiquées à des tiers uniquement en cas d'obligation légale (réquisition judiciaire, demande d'une autorité administrative compétente).

5. Durée de conservation

Les données personnelles sont conservées pendant une durée n'excédant pas celle nécessaire aux finalités pour lesquelles elles sont collectées, conformément à l'article 5.1.e du RGPD :

  • Données liées aux baux signés : pendant toute la durée du bail actif, puis 10 ans après la fin du bail (obligations légales comptables et fiscales, art. L123-22 du Code de commerce ; durée pertinente pour la prescription civile décennale et la défense en justice).
  • Journal de preuve des signatures électroniques (eIDAS) : 10 ans après la signature.
  • Données de compte : durée de vie du compte, puis 10 ans après sa suppression pour les données liées aux baux ; 3 ans pour les autres données personnelles.
  • Données de contact / prospection : 3 ans à compter du dernier échange (recommandation CNIL).
  • Données de navigation / cookies : 13 mois maximum (cookies) et 25 mois maximum (données issues des cookies).

6. Droits des utilisateurs

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants concernant vos données personnelles :

  • Droit d'accès (art. 15 RGPD) : obtenir la confirmation que vos données sont traitées et en recevoir une copie
  • Droit de rectification (art. 16) : demander la correction de données inexactes ou incomplètes
  • Droit à l'effacement (art. 17, « droit à l'oubli ») : demander la suppression de vos données dans les conditions prévues par la réglementation
  • Droit d'opposition (art. 21) : vous opposer au traitement de vos données pour des motifs légitimes ou à fins de prospection
  • Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine
  • Droit à la limitation du traitement (art. 18) : demander la suspension du traitement de vos données dans certains cas
  • Droit de retirer votre consentement à tout moment lorsque le traitement est fondé sur le consentement
  • Droit de définir des directives post-mortem (art. 85 loi Informatique et Libertés)

Pour exercer ces droits, contactez-nous à l'adresse : [email protected]. Nous nous engageons à répondre à votre demande dans un délai d'un (1) mois à compter de sa réception (art. 12.3 RGPD). Ce délai peut être prolongé de deux (2) mois supplémentaires en cas de demande complexe ou de nombre élevé de demandes ; vous en serez informé.

En cas de litige, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

www.cnil.fr
3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07

7. Sécurité des données

ThinkyLab met en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité et la confidentialité des données personnelles, conformément à l'article 32 du RGPD :

  • Chiffrement des données en transit (TLS 1.2/1.3, HTTPS obligatoire)
  • Chiffrement des données au repos (chiffrement disque Scaleway)
  • Contrôle d'accès et authentification sécurisée (mots de passe hashés Argon2, 2FA disponible)
  • Sauvegardes régulières et chiffrées
  • Surveillance et détection des incidents de sécurité (Cloudflare WAF, journalisation)
  • Tests d'intrusion périodiques

ThinkyLab exige de ses sous-traitants des garanties équivalentes en matière de sécurité des données, conformément à l'article 28 du RGPD (clauses contractuelles type avec audit annuel).

Référentiel sectoriel CNIL, Pack Conformité Immobilier

L'activité de gestion locative en ligne entre dans le périmètre du Pack Conformité Immobilier de la CNIL (référentiel sectoriel publié en 2018, mis à jour en 2023) et des référentiels sur les traitements de données dans le secteur du logement social et privé. ThinkyLab s'inspire de ces recommandations pour l'ensemble de ses traitements : minimisation des données collectées (pas de pièce d'identité, pas de justificatif de revenus), durées de conservation alignées sur les obligations légales, mention claire des bases légales, suivi des sous-traitants, procédures de réponse aux droits des personnes. Les écarts éventuels entre le référentiel CNIL et la mise en œuvre actuelle peuvent faire l'objet d'une réclamation directement à [email protected].

8. Notification de violation de données

En cas de violation de données personnelles susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, ThinkyLab notifie la CNIL dans un délai maximal de 72 heures après en avoir pris connaissance (art. 33 RGPD). Si la violation est susceptible d'engendrer un risque élevé pour les droits et libertés, les personnes concernées sont informées dans les meilleurs délais (art. 34 RGPD).

9. Transfert de données hors de l'Union européenne

Les données principales de la plateforme (baux, documents, profils utilisateurs) sont hébergées en France chez Scaleway SAS, sans transfert hors UE.

Certaines données techniques sont traitées par des sous-traitants américains :

  • Cloudflare (CDN, sécurité, authentification, signature) : transfert encadré par l'EU-US Data Privacy Framework (décision d'adéquation de la Commission européenne du 10 juillet 2023), Cloudflare est certifiée DPF active, complétée par les clauses contractuelles types adoptées par la décision d'exécution UE 2021/914.
  • Stripe (paiement par carte bancaire) : transfert encadré par l'EU-US Data Privacy Framework (Stripe est certifiée DPF active) + clauses contractuelles types UE 2021/914.

En cas d'invalidation future de la décision d'adéquation EU-US DPF, ThinkyLab et ses sous-traitants américains s'appuieraient exclusivement sur les CCT UE 2021/914 complétées le cas échéant par des mesures supplémentaires (chiffrement, pseudonymisation), conformément aux recommandations EDPB 01/2020.

10. Cookies

Le détail de l'usage des cookies (catégories, finalités, durées, gestion du consentement, table détaillée) est précisé dans notre Politique cookies dédiée.

11. Modification de la politique

ThinkyLab se réserve le droit de modifier la présente Politique de confidentialité à tout moment. La date de dernière mise à jour est indiquée en haut de cette page.

En cas de modification significative (changement de finalité, ajout d'un sous-traitant majeur, transfert hors UE supplémentaire), les Utilisateurs sont informés par e-mail ou par une notification visible sur le Site au moins 15 jours avant l'entrée en vigueur. L'utilisation continue du Service après notification vaut acceptation de la politique modifiée.

12. Contact

Pour toute question relative à la présente Politique de confidentialité ou au traitement de vos données personnelles, vous pouvez nous contacter :

  • Par e-mail : [email protected]
  • Par courrier : ThinkyLab SAS, 1 rue Marx Dormoy, 44200 Nantes, France