§ Confidentialité

Politique de confidentialité

Comment nous traitons vos données personnelles, à quelles fins, sur quelle base légale et pendant combien de temps.

CAREX accorde une importance particulière à la protection des données personnelles de ses utilisateurs et clients. La présente politique décrit, en application du règlement (UE) 2016/679 (« RGPD ») et de la loi Informatique et Libertés modifiée, les traitements mis en œuvre par CAREX SAS dans le cadre du site carex.immo et de l'application CAREX.immo.

1. Responsable de traitement

Le responsable de traitement est :

CAREX SAS (anciennement CARTERON EXPERTISES SAS)
Société par actions simplifiée au capital de 200 000 €
Siège social : 460 route de Villavit, 74450 Le Grand-Bornand, France
SIREN 814 000 832 — RCS Annecy
TVA intracommunautaire FR57814000832

Représentée par Bertrand Carteron, Président, Directeur de la publication.

2. Référent données personnelles

CAREX n'est pas légalement tenu de désigner un délégué à la protection des données (DPO) au sens de l'article 37 du RGPD. Un référent données personnelles assure néanmoins le suivi des obligations RGPD et le point de contact des personnes concernées.

  • Référent : Bertrand Carteron
  • Email : bertrand@carex.immo
  • Courrier : CAREX SAS — Référent RGPD — 460 route de Villavit, 74450 Le Grand-Bornand

3. Données collectées et finalités

CAREX collecte uniquement les données nécessaires à la fourniture de ses services. Le tableau ci-dessous récapitule, pour chaque traitement, les finalités, les catégories de données, la base légale au sens de l'article 6 du RGPD et la durée de conservation.

3.1 Navigation sur le site carex.immo

  • Finalités : fournir le site, sécuriser l'accès, mesurer l'audience.
  • Données : adresse IP, identifiant de session, user-agent, pages consultées, date et heure de connexion, référent.
  • Base légale : intérêt légitime de CAREX à exploiter et sécuriser son site (Art. 6.1.f RGPD) pour les logs techniques ; consentement (Art. 6.1.a RGPD) pour la mesure d'audience non exemptée.
  • Conservation : logs techniques 12 mois maximum ; identifiants de mesure d'audience 13 mois maximum (recommandation CNIL).

3.2 Demande de contact ou de démonstration

  • Finalités : répondre aux demandes, organiser une démonstration commerciale, qualifier les prospects.
  • Données : civilité, nom, prénom, fonction, raison sociale, email professionnel, téléphone, contenu du message.
  • Base légale : mesures précontractuelles prises à la demande de la personne (Art. 6.1.b RGPD) et intérêt légitime de CAREX à développer son activité commerciale (Art. 6.1.f RGPD).
  • Conservation : 3 ans à compter du dernier contact entrant pour les prospects ; durée de la relation commerciale pour les clients (puis archivage probatoire).

3.3 Création de compte et utilisation de l'application CAREX.immo

  • Finalités : permettre l'authentification, fournir le service d'estimation automatisée (AVM), historiser les estimations réalisées, gérer l'abonnement et la facturation.
  • Données : nom, prénom, fonction, email professionnel, mot de passe haché, identifiants de connexion, pack souscrit, quotas, identifiants Stripe (customer ID, subscription ID), historique des estimations (adresses de biens saisies, payloads transmis à l'API AVM, valeurs retournées, références de dossier de type CX-2026-0429-142).
  • Base légale : exécution du contrat de souscription (Art. 6.1.b RGPD).
  • Conservation : durée du contrat, puis 3 ans à compter de la résiliation pour la prescription civile, à l'exception des éléments comptables et fiscaux (voir 3.5).

3.4 Estimation immobilière (API AVM)

  • Finalités : produire une estimation de valeur vénale ou locative d'un bien immobilier à partir des données saisies par l'utilisateur et des bases publiques (DVF, BDNB, INSEE, OpenStreetMap notamment).
  • Données : caractéristiques du bien (adresse, surface, typologie, état, parcelle cadastrale), références de l'utilisateur ayant lancé l'estimation.
  • Base légale : exécution du contrat (Art. 6.1.b RGPD).
  • Conservation : durée du contrat client, à des fins de traçabilité et de reproductibilité de l'expertise. Les payloads techniques transitant par l'API AVM (api-avm.carteron-solutions.com) sont conservés sous forme de logs applicatifs pendant 12 mois.
Les estimations produites par CAREX sont anonymes du point de vue du bien : les adresses traitées ne se rapportent pas, en elles-mêmes, à des personnes physiques identifiées ou identifiables, sauf à recouper avec d'autres sources. Les utilisateurs s'engagent par contrat à ne pas verser à la plateforme de donnée personnelle relative à un tiers sans base légale appropriée.

3.5 Facturation et gestion comptable

  • Finalités : émission des factures, encaissement, conformité comptable et fiscale.
  • Données : raison sociale, adresse de facturation, numéro de TVA, identifiants Stripe, montants, dates, références de paiement.
  • Base légale : exécution du contrat (Art. 6.1.b RGPD) et obligation légale (Art. 6.1.c RGPD — Art. L123-22 du Code de commerce, Art. 286-I-3° du CGI).
  • Conservation : 10 ans à compter de la clôture de l'exercice comptable.

3.6 Prospection commerciale par email

  • Finalités : informer les prospects et clients des nouveautés produit, des contenus éditoriaux (études de marché, analyses DVF, retours d'expérience), des événements professionnels organisés ou soutenus par CAREX, et de toute offre commerciale relevant des services d'expertise et d'évaluation automatisée. Les envois sont opérés via Mailchimp.
  • Données : civilité, nom, prénom, fonction, raison sociale, email professionnel, segment d'activité, statistiques d'ouverture et de clic destinées à mesurer la pertinence des communications.
  • Base légale :
    • Prospects B2B — intérêt légitime de CAREX à promouvoir son offre auprès de professionnels du secteur immobilier (Art. 6.1.f RGPD), dans les conditions fixées par la CNIL pour la prospection B2B : adresse professionnelle, contenu en rapport avec la fonction occupée, information préalable claire et lien de désabonnement effectif dans chaque message.
    • Clients existants — intérêt légitime fondé sur l'article L.34-5 alinéa 5 du Code des postes et des communications électroniques (« soft opt-in »), pour des produits ou services analogues à ceux déjà fournis.
    • Newsletter ouverte (inscription via formulaire public) — consentement libre, spécifique, éclairé et univoque (Art. 6.1.a RGPD), recueilli au moyen d'une case à cocher non pré-cochée.
  • Conservation : 3 ans à compter du dernier contact émanant de la personne concernée (clic, ouverture suivie d'une action, réponse), conformément à la recommandation CNIL. Les données des personnes inactives ou désabonnées sont supprimées ou archivées en base de suppression, à seule fin de ne pas les re-solliciter.
  • Droit d'opposition : un lien de désabonnement (« unsubscribe ») figure dans le pied de page de chaque email. L'opposition peut également être exercée à tout moment par email à bertrand@carex.immo, sans justification ni frais.

3.7 Cookies et mesure d'audience

Voir la section 8. Cookies ci-dessous.

4. Origine des données

L'ensemble des données traitées par CAREX sont collectées directement auprès des personnes concernées, à l'exception :

  • des données techniques de navigation (adresse IP, user-agent), collectées automatiquement lors de l'accès au site ;
  • des données de bases publiques de référence utilisées par le moteur AVM (DVF, BDNB, INSEE, OpenStreetMap, etc.), qui ne sont pas des données personnelles relatives à l'utilisateur.

5. Destinataires et sous-traitants

Les données sont accessibles aux personnels habilités de CAREX SAS dans le cadre strict de leurs missions. CAREX ne procède à aucune cession, location ou vente de données personnelles à des tiers.

CAREX recourt aux sous-traitants suivants, encadrés par un contrat de sous-traitance conforme à l'article 28 du RGPD :

Sous-traitantRôlePays d'hébergement
OVH SASHébergement du site carex.immo et de l'applicationFrance (UE)
Supabase Inc.Authentification et base de données de l'applicationUE — région eu-west-3
Stripe Payments Europe LtdEncaissement et gestion des abonnementsIrlande (UE), transferts vers Stripe Inc. (États-Unis)
The Rocket Science Group LLC (Mailchimp)Envoi des emails marketing (newsletter, communications produit)États-Unis
Mandrill (Mailchimp Transactional)Envoi des emails transactionnels (création de compte, réinitialisation de mot de passe, factures, notifications)États-Unis
Google Ireland LtdMesure d'audience (Google Analytics)Irlande (UE), transferts vers Google LLC (États-Unis)

6. Transferts hors Union européenne

Certains sous-traitants peuvent transférer des données vers des pays situés hors de l'Union européenne (notamment les États-Unis). Ces transferts sont encadrés par les mécanismes prévus aux articles 44 et suivants du RGPD :

  • Clauses contractuelles types (CCT) de la Commission européenne, version 2021, pour les transferts vers Stripe Inc., The Rocket Science Group LLC (Mailchimp et Mandrill) et Google LLC ;
  • Décision d'adéquation UE — États-Unis du 10 juillet 2023 (« EU-US Data Privacy Framework »), pour les organismes adhérents (Mailchimp et Google LLC sont notamment certifiés au titre du DPF).

Une copie des garanties applicables peut être obtenue sur demande adressée à bertrand@carex.immo.

7. Sécurité

CAREX met en œuvre les mesures techniques et organisationnelles appropriées, au sens de l'article 32 du RGPD, pour protéger les données contre la perte, l'altération ou l'accès non autorisé :

  • chiffrement TLS 1.2+ pour l'ensemble des échanges (HTTPS) ;
  • stockage des mots de passe sous forme hachée (bcrypt) ;
  • cloisonnement des environnements (production, recette, développement) ;
  • journalisation des accès et des opérations sensibles ;
  • gestion stricte des droits d'accès au principe du moindre privilège ;
  • sauvegardes régulières et chiffrées de la base de données ;
  • audits de sécurité réguliers sur l'application et l'API AVM.

En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, CAREX procède à une notification à la CNIL dans les 72 heures, conformément à l'article 33 du RGPD, et le cas échéant à une information des personnes concernées (Art. 34 RGPD).

8. Cookies

Le site carex.immo dépose des cookies sur le terminal de l'utilisateur lors de sa visite. On distingue deux catégories :

8.1 Cookies strictement nécessaires (exemptés de consentement)

Indispensables au fonctionnement du site et à la sécurité de la session. Ils sont déposés sans consentement préalable, conformément à l'article 82 de la loi Informatique et Libertés.

CookieFinalitéDurée
__sessionIdentifiant de session utilisateurSession
cookie_consentMémorisation du choix de consentement6 mois
csrf_tokenProtection contre la falsification de requêteSession

8.2 Cookies de mesure d'audience (soumis à consentement)

CAREX utilise Google Analytics 4 pour mesurer l'audience du site. Ces cookies ne sont déposés qu'après recueil du consentement explicite de l'utilisateur via le bandeau affiché à la première visite. L'utilisateur peut à tout moment retirer son consentement via le lien « Gérer mes cookies » présent en pied de page.

CookieFinalitéDurée
_gaIdentifiant unique de navigateur Google Analytics13 mois
_ga_<container-id>État de la session Google Analytics 413 mois

Configuration appliquée à Google Analytics : anonymisation des adresses IP, désactivation du partage de données avec d'autres services Google, durée de conservation des données utilisateur limitée à 14 mois.

9. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez sur vos données personnelles des droits suivants :

  • Accès — obtenir la confirmation que vos données sont traitées et en obtenir une copie ;
  • Rectification — corriger des données inexactes ou incomplètes ;
  • Effacement (« droit à l'oubli ») — obtenir la suppression de vos données, sous réserve des obligations légales de conservation ;
  • Limitation du traitement ;
  • Opposition au traitement pour un motif tenant à votre situation particulière, notamment pour les traitements fondés sur l'intérêt légitime ;
  • Portabilité — recevoir vos données dans un format structuré et lisible par machine ;
  • Retrait du consentement à tout moment, sans remettre en cause la licéité des traitements antérieurs ;
  • Directives post-mortem — définir le sort de vos données après votre décès.

Ces droits s'exercent par email à bertrand@carex.immo ou par courrier à l'adresse du siège social. Une réponse est apportée dans un délai d'un mois à compter de la réception de la demande, prorogeable de deux mois en cas de complexité.

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL (Commission nationale de l'informatique et des libertés) — 3 place de Fontenoy, TSA 80715, 75334 Paris cedex 07 — www.cnil.fr.

10. Modifications de la présente politique

CAREX se réserve la faculté de modifier la présente politique à tout moment, notamment pour tenir compte d'évolutions réglementaires, jurisprudentielles ou techniques. La date de dernière mise à jour figure en tête de document. En cas de modification substantielle, les utilisateurs disposant d'un compte sont informés par email.

Dernière mise à jour : 14 mai 2026.