Dernière mise à jour : avril 2026
Le responsable du traitement au sens du Règlement général sur la protection des données (RGPD) et de la législation applicable en matière de protection des données est : HeyFlats Düsseldorf, Allemagne E-mail : info@heyflats.com Pour toute question relative au traitement de vos données personnelles, à vos droits en tant que personne concernée ou à la présente politique de confidentialité, veuillez nous contacter à l'adresse e-mail indiquée. Nous répondrons à votre demande dans les délais prévus par la loi applicable.
Nous collectons et traitons des données personnelles uniquement dans la mesure nécessaire pour fournir une plateforme fonctionnelle, exécuter nos obligations contractuelles et respecter les exigences légales. Lorsque le traitement n'est couvert ni par une base contractuelle ni par une base légale, nous recueillerons votre consentement exprès préalablement au traitement. Les données personnelles, telles que définies à l'article 4 du RGPD, comprennent toute information relative à une personne physique identifiée ou identifiable — telle que votre nom, votre adresse e-mail, votre numéro de téléphone, votre adresse IP ou vos données de localisation. Nos activités de traitement sont menées conformément au RGPD, à la loi fédérale allemande sur la protection des données (BDSG), à la loi allemande sur les télémédias (TMG) et à toute autre législation applicable en matière de protection des données. Les bases juridiques de nos activités de traitement comprennent : • Article 6(1)(a) du RGPD — consentement de la personne concernée. • Article 6(1)(b) du RGPD — exécution d'un contrat ou mesures précontractuelles. • Article 6(1)(c) du RGPD — respect d'une obligation légale. • Article 6(1)(f) du RGPD — intérêts légitimes du responsable, sous réserve que ne prévalent pas les intérêts ou droits fondamentaux de la personne concernée. Lorsque nous fondons un traitement sur l'intérêt légitime, nos intérêts incluent l'exploitation, l'amélioration et la sécurité de notre plateforme, la prévention de la fraude et le marketing direct de nos propres services.
Lorsque vous accédez à notre site web, nos serveurs collectent et stockent automatiquement les informations techniques transmises par votre navigateur. Ces données sont nécessaires à la fourniture technique du site et à la stabilité, la sécurité et la performance de nos systèmes. Les données suivantes sont collectées automatiquement : • Type et version du navigateur. • Système d'exploitation. • Fournisseur d'accès à Internet (FAI). • Adresse IP (anonymisée après traitement). • Date et heure de la requête serveur. • URL de provenance (la page d'où vous arrivez). • Pages visitées et ressources consultées. • Volume de données transférées. Ces données sont stockées dans les fichiers journaux du serveur pendant une durée maximale de sept (7) jours puis supprimées ou anonymisées. Les données de journaux ne sont ni liées à des comptes utilisateurs individuels, ni combinées avec d'autres sources de données. La base juridique de ce traitement est l'article 6(1)(f) du RGPD (intérêt légitime à assurer un fonctionnement sécurisé et efficace de notre plateforme).
Notre plateforme est hébergée par des prestataires d'infrastructure tiers qui traitent les données pour notre compte conformément à l'article 28 du RGPD. Nous avons conclu des contrats de sous-traitance (Auftragsverarbeitungsverträge) avec tous nos partenaires d'hébergement et d'infrastructure afin de garantir un niveau adéquat de protection des données. Les images des biens et les fichiers multimédias sont stockés au moyen de Cloudflare R2, un service de stockage d'objets basé sur le cloud. Cloudflare traite les données conformément aux réglementations applicables en matière de protection des données et met en œuvre des mesures techniques et organisationnelles de sécurité appropriées. Nos serveurs et systèmes de stockage se trouvent au sein de l'Espace économique européen (EEE). En cas de transfert de données vers des pays hors EEE, nous veillons à mettre en place des garanties appropriées conformément au chapitre V du RGPD, telles que des Clauses contractuelles types ou des décisions d'adéquation.
Notre plateforme utilise des cookies et des technologies similaires (comme le stockage local) pour assurer ses fonctionnalités de base, maintenir les sessions utilisateur et améliorer votre expérience. Les cookies sont de petits fichiers texte placés sur votre appareil par votre navigateur. Nous utilisons les catégories de cookies suivantes : • Cookies strictement nécessaires : ils sont indispensables au fonctionnement de la plateforme, y compris l'authentification, la gestion des sessions et la sécurité. Ils ne peuvent pas être désactivés sans altérer les fonctionnalités de la plateforme. Base juridique : article 6(1)(f) du RGPD. • Cookies fonctionnels : ils mémorisent vos préférences, telles que la langue et les options d'affichage, pour offrir une expérience personnalisée. Base juridique : article 6(1)(f) du RGPD. • Cookies analytiques : ils nous aident à comprendre la manière dont les visiteurs interagissent avec notre plateforme en collectant des statistiques d'utilisation anonymisées. Nous utilisons ces données pour identifier les axes d'amélioration et optimiser l'expérience utilisateur. Base juridique : article 6(1)(a) du RGPD (consentement). Vous pouvez gérer, désactiver ou supprimer les cookies à tout moment via les paramètres de votre navigateur. Veuillez noter que la désactivation des cookies peut affecter le fonctionnement de certaines fonctionnalités de la plateforme. Pour plus d'informations sur la gestion des cookies, veuillez consulter la documentation d'aide de votre navigateur.
Lorsque vous créez un compte sur notre plateforme, nous collectons et traitons les données personnelles suivantes : • Nom (prénom et nom de famille). • Adresse e-mail. • Informations de profil fournies volontairement (par ex. numéro de téléphone). L'authentification et la gestion des identités sont assurées par Clerk, un prestataire d'identité tiers. Clerk traite les données d'authentification (y compris les adresses e-mail, les jetons de session et les métadonnées de connexion) conformément à sa propre politique de confidentialité et à notre contrat de sous-traitance. Nous ne stockons pas de mots de passe ni d'identifiants d'authentification directement sur nos serveurs. Pour les locataires participant au processus de vérification, nous pouvons collecter et traiter en outre, avec votre consentement exprès : • Date de naissance et nationalité. • Informations sur l'emploi (nom de l'employeur, intitulé du poste, revenus mensuels). • Type et numéro de document d'identité (passeport, carte d'identité ou titre de séjour). • Résultats de la vérification de solvabilité (score et résultat de la SCHUFA-BonitätsCheck). • Coordonnées du contact d'urgence. Ces données sont collectées uniquement à des fins de vérification du locataire et ne sont partagées avec les propriétaires que dans la mesure nécessaire à la prise de décision de réservation. La base juridique du traitement des données de vérification du locataire est l'article 6(1)(a) du RGPD (consentement exprès) et l'article 6(1)(b) du RGPD (exécution de mesures précontractuelles). Pour les propriétaires, nous pouvons également collecter : • Dénomination sociale et numéro d'immatriculation (pour les propriétaires personnes morales). • IBAN et informations financières pour le règlement des commissions. • Numéro d'identification à la TVA. • Adresse de facturation. Ces données sont traitées aux fins de l'exécution du contrat et du règlement des commissions. La base juridique est l'article 6(1)(b) du RGPD.
Notre plateforme utilise des technologies d'intelligence artificielle (IA) et d'apprentissage automatique pour fournir une fonction de recherche, mettre en correspondance les locataires avec des biens adaptés et générer des descriptions de biens. Ces services sont fournis par des prestataires d'IA tiers, notamment Anthropic et OpenAI, accessibles via la passerelle API OpenRouter. Lorsque vous utilisez la fonction de recherche, vos requêtes sont traitées par des modèles d'IA afin de comprendre vos préférences et de renvoyer des résultats pertinents. Les requêtes peuvent être converties en représentations mathématiques (embeddings) et comparées aux annonces de biens par similarité sémantique. Ces embeddings sont stockés dans notre base de données pour permettre des opérations de recherche efficaces. Le traitement par IA vise à aider les utilisateurs à trouver des biens adaptés et ne produit pas d'effets juridiques ou significatifs comparables à l'égard de la personne concernée au sens de l'article 22 du RGPD. Toutes les décisions de réservation sont prises par des parties humaines (propriétaires et locataires). Les requêtes de recherche et les interactions avec l'IA peuvent être conservées aux fins d'améliorer la qualité de la recherche et la performance de la plateforme. Ces données sont anonymisées ou pseudonymisées lorsque cela est possible. La base juridique est l'article 6(1)(f) du RGPD (intérêt légitime à fournir et améliorer le service de recherche).
Nous intégrons les services tiers suivants à notre plateforme. Chaque service peut traiter des données personnelles conformément à sa propre politique de confidentialité : • Clerk (clerk.com) — authentification, gestion des utilisateurs et gestion des sessions. Clerk traite les adresses e-mail, les métadonnées de connexion et les informations de session. • Google Maps (Google LLC) — affichage de l'emplacement des biens sur des cartes interactives. Google peut collecter des adresses IP, des informations sur l'appareil et des données de localisation lors du chargement des cartes. Base juridique : article 6(1)(f) du RGPD. • Cloudflare (Cloudflare, Inc.) — réseau de diffusion de contenu (CDN), protection anti-DDoS et stockage d'images (R2). Cloudflare peut traiter les adresses IP et les métadonnées de requête. • Anthropic / OpenAI (via OpenRouter) — recherche propulsée par IA, mise en correspondance sémantique et traitement du langage naturel. Les requêtes de recherche et les données des biens peuvent être transmises à ces prestataires aux fins du traitement. Aucune donnée d'identification personnelle n'est incluse dans les requêtes IA au-delà du texte de recherche lui-même. Lorsque ces services impliquent le transfert de données personnelles vers des pays situés en dehors de l'Espace économique européen (EEE), y compris les États-Unis, nous veillons à la mise en place de garanties appropriées conformément au chapitre V du RGPD. Ces garanties peuvent inclure des Clauses contractuelles types (CCT), des règles d'entreprise contraignantes ou l'invocation de décisions d'adéquation prises par la Commission européenne. Nous avons conclu des contrats de sous-traitance avec tous les prestataires tiers lorsque l'article 28 du RGPD l'exige.
Lorsque vous nous contactez par e-mail, via la page de contact de la plateforme ou par tout autre canal de communication, nous traitons les données personnelles que vous fournissez (généralement votre nom, votre adresse e-mail et le contenu de votre message) aux fins de répondre à votre demande. Ces données sont conservées pendant la durée de la conversation et, le cas échéant, pour l'exécution de toute obligation contractuelle ou légale qui en résulte. Les données relatives à des demandes closes sans pertinence contractuelle ultérieure sont supprimées au bout de six (6) mois, sauf exigence légale de conservation. La base juridique du traitement des données de contact est l'article 6(1)(b) du RGPD (mesures précontractuelles ou exécution du contrat) ou l'article 6(1)(f) du RGPD (intérêt légitime à répondre aux demandes).
Nous conservons les données personnelles uniquement pendant la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées, ou selon les exigences des obligations légales de conservation applicables. Les durées de conservation suivantes s'appliquent : • Données de compte (nom, e-mail, informations de profil) : conservées pendant la durée de la relation de compte. Supprimées dans les 30 jours suivant une demande de suppression du compte, sous réserve des durées de conservation ci-dessous. • Données de réservation et de location : conservées pendant la durée de la location et pour une période de trois (3) ans suivant celle-ci, aux fins du règlement de litiges éventuels. • Données financières et à pertinence fiscale (factures, relevés de commissions, informations de paiement) : conservées dix (10) ans conformément à l'article 147 du Code fiscal allemand (Abgabenordnung) et à l'article 257 du Code de commerce allemand (Handelsgesetzbuch). • Fichiers journaux du serveur : conservés pour une durée maximale de sept (7) jours. • Requêtes de recherche et embeddings IA : conservés jusqu'à douze (12) mois à des fins d'amélioration du service, puis anonymisés ou supprimés. • Enregistrements de communication (e-mails, demandes de support) : conservés pendant six (6) mois après leur résolution, sauf si une durée plus longue est requise pour des motifs légaux ou contractuels. À l'expiration de la durée de conservation applicable, les données personnelles sont supprimées de façon sécurisée ou anonymisées de manière irréversible. Lorsque la suppression n'est pas techniquement possible (par ex. dans les systèmes de sauvegarde), les données sont marquées pour suppression et exclues de tout traitement ultérieur.
HeyFlats met en œuvre des mesures techniques et organisationnelles appropriées afin de protéger vos données personnelles contre les accès non autorisés, les altérations, les divulgations ou les destructions. Ces mesures comprennent, sans s'y limiter : • Chiffrement des données en transit au moyen de protocoles TLS/SSL. • Chiffrement des données sensibles au repos. • Contrôles d'accès et systèmes de permissions par rôle. • Évaluations de sécurité régulières et recherches de vulnérabilités. • Formation des collaborateurs à la protection des données et à la sécurité de l'information. • Pratiques de développement sécurisé et processus de revue de code. Malgré ces mesures, aucune méthode de transmission ou de stockage électronique n'est totalement sûre. Nous ne pouvons pas garantir une sécurité absolue de vos données, mais nous nous engageons à traiter rapidement tout incident de sécurité conformément aux exigences de notification applicables du RGPD.
Au titre du Règlement général sur la protection des données (RGPD), vous disposez des droits suivants concernant vos données personnelles : • Droit d'accès (article 15 du RGPD) : vous avez le droit d'obtenir la confirmation que vos données personnelles sont traitées et, dans ce cas, d'en recevoir une copie ainsi que des informations sur les finalités, les catégories, les destinataires et les durées de conservation du traitement. • Droit de rectification (article 16 du RGPD) : vous avez le droit de demander la correction des données personnelles inexactes et la complétion des données personnelles incomplètes. • Droit à l'effacement (article 17 du RGPD) : vous avez le droit de demander la suppression de vos données personnelles lorsque celles-ci ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées, lorsque vous retirez votre consentement ou lorsque le traitement est illicite. Ce droit est soumis aux exigences légales de conservation et à d'autres obligations légales. • Droit à la limitation du traitement (article 18 du RGPD) : vous avez le droit de demander que le traitement de vos données personnelles soit limité dans certaines circonstances, par exemple lorsque vous contestez l'exactitude des données ou lorsque le traitement est illicite mais que vous vous opposez à l'effacement. • Droit à la portabilité des données (article 20 du RGPD) : vous avez le droit de recevoir vos données personnelles dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable du traitement sans entrave. • Droit d'opposition (article 21 du RGPD) : vous avez le droit de vous opposer au traitement de vos données personnelles lorsqu'il est fondé sur des intérêts légitimes (article 6(1)(f) du RGPD), y compris au traitement à des fins de marketing direct. • Droit de retirer le consentement (article 7(3) du RGPD) : lorsque le traitement repose sur votre consentement, vous avez le droit de le retirer à tout moment. Le retrait du consentement n'affecte pas la licéité du traitement effectué antérieurement. • Droit d'introduire une réclamation : vous avez le droit d'introduire une réclamation auprès d'une autorité de contrôle si vous estimez que le traitement de vos données personnelles enfreint la législation applicable en matière de protection des données. L'autorité de contrôle compétente pour HeyFlats est la Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen. Pour exercer l'un de ces droits, veuillez nous contacter à info@heyflats.com. Nous répondrons à votre demande dans un délai d'un (1) mois, ou dans le délai étendu autorisé par le RGPD si votre demande est particulièrement complexe.
HeyFlats se réserve le droit de mettre à jour et de modifier la présente politique de confidentialité à tout moment pour refléter les évolutions de nos pratiques de traitement des données, l'introduction de nouveaux services ou fonctionnalités ou les évolutions de la législation applicable en matière de protection des données. Les modifications seront publiées sur cette page avec une date de révision mise à jour. Lorsque les modifications sont substantielles et affectent de manière significative vos droits, nous publierons un avis bien visible sur la plateforme et, le cas échéant, vous informerons par e-mail. Nous vous encourageons à consulter régulièrement cette politique de confidentialité pour rester informé de la manière dont nous collectons, traitons et protégeons vos données personnelles. La poursuite de votre utilisation de la plateforme après la publication de toute modification vaut prise de connaissance de la politique mise à jour.