Politique de confidentialité
Dernière mise à jour : 12 juin 2026 · Version 1.0
1. Responsable de traitement
Le responsable du traitement des données personnelles est :
- Clément Foucat, entrepreneur individuel (Nestwo) — SIREN 919 122 911
- 30 boulevard de Sébastopol, 75004 Paris
- Email : privacy@nestwo.fr
2. Délégué à la protection des données (DPO)
La désignation d'un DPO n'est pas obligatoire pour Nestwo au regard de l'article 37 du RGPD ; la Plateforme a toutefois désigné un point de contact dédié à la protection des données.
Contact : privacy@nestwo.fr · Référent : Clément Foucat.
3. Catégories de données collectées
Données d'identification et de contact
- nom, prénom, date de naissance, photo de profil (facultative) ;
- adresse électronique, numéro de téléphone, adresse postale ;
- identifiant unique de compte (UID).
Données relatives au logement (Propriétaires)
- adresse du bien, type, surface, loyer, charges, équipements, photographies ;
- diagnostic de performance énergétique (DPE).
Données relatives à la solvabilité (Candidats)
- profession, employeur, type de contrat, ancienneté, revenus nets mensuels ;
- type de garantie déclarée (Visale, garant physique, caution bancaire, garant société) ;
- pièces justificatives (pièce d'identité, justificatifs de revenus, avis d'imposition, justificatif de domicile, contrat de travail). Ces pièces sont fournies à la discrétion du Candidat et conformément au décret n° 2015-1437.
Données d'usage et techniques
- logs de connexion (horodatage, adresse IP, type de navigateur, version d'application) ;
- actions effectuées sur la Plateforme (candidatures, signatures, échanges) ;
- identifiants techniques (App Check, jetons d'authentification) ;
- données de diagnostic d'erreur (Sentry).
Documents juridiques générés
- états des lieux, baux signés électroniquement ;
- signatures électroniques associées (preuves d'identité, horodatages).
Aucune donnée sensible au sens de l'article 9 du RGPD (origine raciale ou ethnique, opinions politiques, convictions religieuses, état de santé, orientation sexuelle, etc.) n'est sciemment collectée.
4. Finalités et bases légales (article 6 RGPD)
| Finalité | Base légale | Durée associée |
|---|---|---|
| Création et gestion du compte utilisateur | Exécution du contrat (art. 6 §1 b) | Durée du compte |
| Mise en relation propriétaires / locataires | Exécution du contrat (art. 6 §1 b) | Durée du compte |
| Génération de documents juridiques (états des lieux, baux) | Exécution du contrat (art. 6 §1 b) — Obligation légale (art. 6 §1 c) | 10 ans après fin du bail |
| Notifications et emails transactionnels | Exécution du contrat (art. 6 §1 b) | Durée du compte |
| Score de compatibilité (cf. §5) | Intérêt légitime (art. 6 §1 f) | Durée de la candidature |
| Lutte contre la fraude et la sécurité | Intérêt légitime (art. 6 §1 f) | 1 an |
| Vérification d'identité (KYC) | Obligation légale (art. 6 §1 c) — Intérêt légitime (art. 6 §1 f) | Durée du compte + 5 ans |
| Facturation et obligations comptables | Obligation légale (art. 6 §1 c) | 10 ans |
| Cookies de mesure d'audience (anonymisés) | Consentement (art. 6 §1 a) | 13 mois |
| Amélioration produit (analytics) | Consentement (art. 6 §1 a) | 13 mois |
5. Profilage et score de compatibilité (article 22)
Nestwo met en œuvre un traitement automatisé calculant un score de compatibilité pour chaque candidature. Conformément à l'article 22 du RGPD, l'Utilisateur est informé :
Logique du traitement
Le score est calculé à partir des éléments suivants :
- Score déclaré : ratio revenus / loyer, type de garantie, complétude du dossier ;
- Score vérifié : nombre de pièces justificatives déposées et vérifiées sur les 5 pièces requises ;
- Modificateur de réputation : note moyenne issue des avis reçus (mécanique double-blind, §11 CGU) ;
- Bonus de garantie : présence et niveau de vérification de la garantie (Visale, garant physique, caution bancaire, garant société), modulé par le ratio de revenus.
La formule globale est : Score global = Score déclaré × (0,4 + 0,6 × Score vérifié / 100) + Modificateur réputation + Bonus garantie.
Absence de décision automatisée à effets juridiques
Le score est un indicateur d'aide à la décision présenté au Propriétaire. Aucune décision produisant des effets juridiques (acceptation ou refus d'une candidature) n'est prise par Nestwo sur le seul fondement d'un traitement automatisé : la décision revient toujours au Propriétaire, qui en assume seul la responsabilité.
Vos droits sur le profilage
- droit d'obtenir une explication détaillée du score et de ses composants ;
- droit de contester le résultat et de fournir des éléments complémentaires ;
- droit de demander une révision humaine en écrivant à privacy@nestwo.fr ;
- droit de s'opposer à ce profilage (sous réserve de l'analyse de la balance des intérêts).
6. Durées de conservation
- Compte actif : tant que le compte n'est pas supprimé par l'Utilisateur ou Nestwo ;
- Compte inactif : suppression automatique après 3 ans d'inactivité, après notification préalable ;
- Données après suppression du compte : suppression sous 30 jours, hors obligations légales ;
- Documents juridiques (états des lieux, baux) : 10 ans à compter de la fin du bail (valeur probante — articles 2224 et 1366 du Code civil) ;
- Factures et données comptables : 10 ans (article L.123-22 du Code de commerce) ;
- Données fiscales : 6 ans (article L.102 B du Livre des procédures fiscales) ;
- Logs de sécurité : 1 an (recommandation CNIL) ;
- Cookies de mesure d'audience : 13 mois maximum.
7. Destinataires et sous-traitants
Vos données sont accessibles :
- à vous-même via votre espace personnel ;
- aux autres Utilisateurs strictement nécessaires à votre relation (Propriétaire / Locataire de la candidature concernée) ;
- à nos collaborateurs habilités (équipe support / technique), dans la stricte mesure nécessaire à leurs missions ;
- à nos sous-traitants techniques (cf. tableau ci-dessous) ;
- aux autorités administratives ou judiciaires sur réquisition légale dûment formée.
Nestwo ne cède, ne loue ni ne vend vos données à des fins commerciales ou publicitaires.
Liste des sous-traitants (article 28 RGPD)
| Sous-traitant | Rôle | Localisation | Garanties |
|---|---|---|---|
| Google Ireland Ltd / Firebase (Auth, Firestore, Storage, Hosting, Functions, FCM, App Check) | Hébergement, base de données, authentification, notifications push, anti-abus | Union européenne (région europe-west1) |
Clauses contractuelles types (CCT) — DPF (Data Privacy Framework) pour Google LLC |
| Yousign | Signature électronique qualifiée (eIDAS) des baux et états des lieux | France / Union européenne | Traitement intégralement réalisé dans l'UE |
| Resend | Envoi d'emails transactionnels (quittances, rappels, notifications) | États-Unis | CCT — DPF |
| Stripe Payments Europe Ltd | Traitement des paiements (abonnements et frais de service) | Irlande / États-Unis | CCT — DPF |
| Functional Software Inc. (Sentry) | Journalisation des erreurs techniques et supervision applicative | États-Unis | CCT |
| Google reCAPTCHA Enterprise | Lutte contre les abus automatisés (bots, fraude) | Union européenne / États-Unis | CCT — DPF |
Les contrats avec ces sous-traitants comprennent les clauses imposées par l'article 28 RGPD : confidentialité, sécurité, sous-traitance ultérieure encadrée, assistance et notification de violation, restitution / suppression des données à la fin du contrat.
8. Transferts hors Union européenne
Certains sous-traitants (Resend, Sentry, parties de Stripe et Google) sont situés aux États-Unis. Ces transferts sont encadrés par :
- les Clauses contractuelles types (CCT) adoptées par décision d'exécution 2021/914 de la Commission européenne ;
- l'adhésion au Data Privacy Framework (DPF) pour les sous-traitants concernés, suite à la décision d'adéquation du 10 juillet 2023 ;
- des mesures complémentaires techniques (chiffrement) et organisationnelles le cas échéant.
Une copie des CCT applicables peut être obtenue sur demande à privacy@nestwo.fr.
9. Mesures de sécurité (TOM)
Nestwo met en œuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté aux risques (article 32 RGPD), notamment :
- chiffrement en transit : TLS 1.2+ avec HSTS strict (
max-age2 ans,preload) ; - chiffrement au repos : géré par Google Cloud Storage (AES-256) ;
- authentification forte : Firebase Authentication avec vérification d'email obligatoire ; possibilité de connexion fédérée (Google) ;
- App Check (reCAPTCHA v3) pour la lutte contre les abus automatisés ;
- contrôle d'accès granulaire : règles Firestore à 400+ lignes contrôlées par tests automatisés à chaque déploiement ;
- journalisation des accès sensibles ;
- politique de sécurité du contenu (Content Security Policy) et entêtes de sécurité (X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy) ;
- séparation des environnements de développement / production ;
- sauvegarde régulière et plan de continuité d'activité ;
- sensibilisation des collaborateurs à la sécurité.
10. Notification de violation
En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, Nestwo s'engage à :
- notifier la CNIL dans un délai de 72 heures après en avoir pris connaissance (article 33 RGPD) ;
- informer les personnes concernées dans les meilleurs délais lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés (article 34 RGPD).
11. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Droit d'accès : obtenir confirmation que vos données sont traitées et en recevoir une copie ;
- Droit de rectification : faire corriger des données inexactes ou incomplètes ;
- Droit à l'effacement (« droit à l'oubli ») : demander la suppression de vos données, sous réserve des obligations légales de conservation ;
- Droit d'opposition : refuser pour des raisons tenant à votre situation particulière le traitement de vos données fondé sur l'intérêt légitime ;
- Droit à la limitation : demander que le traitement de vos données soit gelé temporairement ;
- Droit à la portabilité : récupérer vos données dans un format structuré, couramment utilisé et lisible par machine, ou demander qu'elles soient transmises à un autre responsable de traitement ;
- Droit de retirer son consentement à tout moment, sans remise en cause de la licéité des traitements antérieurs ;
- Droits relatifs à la décision automatisée et au profilage (article 22 — cf. §5) ;
- Directives post-mortem : organiser le sort de vos données après votre décès (article 85 de la loi Informatique et Libertés).
Exercice des droits
Pour exercer ces droits :
- via la rubrique « Mes données et droits » de l'application (recommandé) ;
- par email à privacy@nestwo.fr ;
- par courrier à l'adresse de notre siège social (cf. Mentions légales).
Une pièce d'identité pourra être demandée en cas de doute sur votre identité. Nous nous engageons à répondre dans un délai d'un mois à compter de la réception de la demande, prorogeable de deux mois en cas de demande complexe.
13. Mineurs
Le Service est strictement réservé aux personnes majeures. La création d'un compte par un mineur entraîne sa suppression dès constatation. Si vous estimez qu'un mineur s'est créé un compte malgré cette interdiction, merci de nous le signaler à privacy@nestwo.fr.
14. Réclamation auprès de la CNIL
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés :
CNIL — 3 place de Fontenoy — TSA 80715 — 75334 Paris cedex 07
Téléphone : 01 53 73 22 22
Site : www.cnil.fr
Nous vous encourageons toutefois à nous contacter au préalable à privacy@nestwo.fr afin que nous puissions tenter de résoudre votre demande directement.
15. Évolution de la politique
La présente politique peut évoluer pour tenir compte des évolutions légales, jurisprudentielles ou techniques. Les utilisateurs sont informés de toute modification substantielle par notification dans l'application et/ou par email, au moins 15 jours avant son entrée en vigueur.