Politique de confidentialité

La présente politique décrit la manière dont BW Capital (« nous ») collecte, utilise et protège les données personnelles dans le cadre du service Crible, conformément au Règlement général sur la protection des données (RGPD) et à la loi « Informatique et Libertés ».

1. Responsable du traitement

BW Capital, dont les coordonnées figurent dans les mentions légales, est responsable des traitements effectués sur les données personnelles via Crible.

Pour toute question relative à vos données : contact.presseagrume@gmail.com

2. Données collectées

2.1 Données fournies par l'Utilisateur

• Email professionnel (pour l'authentification et les digests)
• Profil entreprise : SIRET, raison sociale, code NAF, effectif, tranche de chiffre d'affaires, certifications, références chantiers, mots-clés métier
• Préférences de notification : canaux choisis (Telegram, WhatsApp, email), seuils de scoring, fréquence de digest
• Numéros de téléphone (optionnel, si lien WhatsApp activé)

2.2 Données techniques

• Adresse IP et User-Agent (pour la sécurité et la prévention de fraude)
• Cookies de session (cf. section 7)
• Logs techniques (durée 30 jours)

2.3 Données enrichies depuis sources publiques

Lors de la saisie de votre SIRET, nous interrogeons des sources ouvertes et publiques (API Recherche Entreprises de la DINUM, DECP) pour enrichir automatiquement votre profil. Ces données restent publiques par nature mais sont associées à votre compte pour personnaliser le scoring.

3. Finalités des traitements

• Authentification et sécurisation du compte (intérêt légitime)
• Fourniture du Service : scoring AO, génération de mémoires, notifications (exécution du contrat)
• Communication : envoi d'alertes selon les préférences (consentement, révocable à tout moment)
• Amélioration du Service : analyse anonymisée des usages (intérêt légitime)
• Obligations légales : facturation, conservation des transactions

4. Destinataires des données

Les données sont accessibles à :

• L'équipe BW Capital strictement habilitée
• Nos sous-traitants techniques :
  • Cloudflare (hébergement, infrastructure)
  • Resend (envoi des emails magic-link et digests)
  • Mistral AI (scoring contextuel des AO, hébergement européen)
  • Telegram (canal de notification, sur opt-in)

Aucune donnée n'est vendue, louée ou cédée à des tiers à des fins commerciales. Aucun transfert hors de l'UE n'est effectué sauf clauses contractuelles types ou pays adéquats.

5. Durée de conservation

• Compte actif : tant que vous utilisez le Service + 3 mois après résiliation
• Logs techniques : 30 jours
• Données comptables : 10 ans (obligation légale)
• Sessions : 30 jours puis suppression automatique
• Magic-links : 15 minutes puis usage unique

6. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

• Droit d'accès : obtenir une copie de vos données
• Droit de rectification : corriger des données inexactes
• Droit à l'effacement : faire supprimer vos données (« droit à l'oubli »)
• Droit à la portabilité : récupérer vos données dans un format structuré (JSON)
• Droit d'opposition aux traitements fondés sur l'intérêt légitime
• Droit de retrait du consentement à tout moment

Pour exercer ces droits, contactez-nous à contact.presseagrume@gmail.com. Nous répondons sous 30 jours maximum.

Vous pouvez également utiliser les fonctions « Exporter mes données » et « Supprimer mon compte » directement depuis la page Compte du Service.

Vous avez le droit d'introduire une réclamation auprès de la CNIL : cnil.fr/fr/plaintes.

7. Cookies

Nous utilisons un nombre limité de cookies, tous strictement nécessaires :

• crible_session (HttpOnly, Secure, SameSite=Lax) : authentification, durée 30 jours

Aucun cookie de tracking publicitaire ni de tiers n'est posé. Aucun consentement spécifique cookies n'est donc requis pour le fonctionnement du Service.

8. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles pour protéger vos données : chiffrement TLS 1.3 en transit, isolation des données par organisation, secrets stockés en KMS Cloudflare, audit de sécurité interne périodique, accès limité par rôle.

Aucune méthode n'étant 100% sûre, en cas de violation de données, nous nous engageons à notifier la CNIL et les Utilisateurs concernés sous 72 heures conformément à l'article 33 du RGPD.

9. Modification de la politique

La présente politique peut être mise à jour. Les modifications substantielles seront notifiées par email avec un préavis raisonnable.