Politique de confidentialité
Dernière mise à jour : 11 mars 2026
Batikko (ci-après "nous", "notre" ou "le Service") s'engage à protéger et à respecter votre vie privée. Cette Politique de confidentialité explique comment nous collectons, utilisons, partageons et protégeons vos données personnelles lorsque vous utilisez notre plateforme SaaS destinée aux professionnels du BTP.
Cette politique est conforme au Règlement Général sur la Protection des Données (RGPD - UE 2016/679) et à la loi Informatique et Libertés modifiée.
1. Responsable de traitement des données
Raison sociale
Batikko
Adresse
6 rue d'Armaillé 75017 Paris, France
Email de contact
Délégué à la Protection des Données (DPO)
2. Données personnelles collectées
Dans le cadre de l'utilisation de notre Service, nous collectons et traitons les catégories de données personnelles suivantes :
📝 Données d'identification
- • Nom et prénom
- • Adresse email
- • Numéro de téléphone
- • Mot de passe (chiffré de manière sécurisée)
- • Photo de profil (optionnelle)
🏢 Données professionnelles
- • Raison sociale de l'entreprise
- • Numéro SIRET
- • Adresse professionnelle
- • Numéro de TVA intracommunautaire
- • Secteur d'activité BTP
📊 Données d'utilisation
- • Adresses IP et logs de connexion
- • Type de navigateur et appareil
- • Pages visitées et actions effectuées
- • Dates et heures d'utilisation
- • Préférences d'affichage (thème, langue)
💼 Données métier
- • Chantiers et projets BTP
- • Informations clients et prospects
- • Devis et factures
- • Photos horodatées et géolocalisées
- • Documents et plans
- • Rendez-vous et événements
💳 Données de paiement
- • Informations de facturation
- • Historique des transactions
- ✓ Les données bancaires (numéro de carte, CVV, etc.) sont traitées exclusivement par Stripe et ne sont jamais stockées sur nos serveurs
🔗 Données tierces (avec consentement)
- • Google Calendar : Tokens OAuth, événements synchronisés
- • Google Maps : Coordonnées GPS des chantiers
- • Révocables à tout moment depuis les paramètres
3. Finalités et bases légales du traitement
Conformément au RGPD (Article 6), vos données personnelles sont traitées uniquement sur la base des fondements juridiques suivants :
| Finalité du traitement | Base légale (RGPD Article 6) | Durée de conservation |
|---|---|---|
| Création et gestion de votre compte utilisateur | Exécution du contrat (Article 6.1.b) | Durée du compte + 90 jours |
| Fourniture des services de la plateforme Batikko | Exécution du contrat (Article 6.1.b) | Durée du compte actif |
| Gestion des abonnements et paiements via Stripe | Exécution du contrat (Article 6.1.b) | Durée de l'abonnement |
| Synchronisation avec Google Calendar (optionnelle) | Consentement (Article 6.1.a) | Jusqu'à révocation |
| Géolocalisation des chantiers via Google Maps | Exécution du contrat (Article 6.1.b) | Durée du chantier |
| Conservation des factures et documents comptables | Obligation légale (Article 6.1.c - Code de commerce L123-22) | 10 ans |
| Prévention de la fraude et sécurité du Service | Intérêt légitime (Article 6.1.f) | 12 mois (logs) |
| Support client et assistance technique | Exécution du contrat (Article 6.1.b) | 3 ans après résolution |
| Amélioration du Service et analytics anonymisés | Intérêt légitime (Article 6.1.f) | 24 mois |
| Envoi de communications marketing (newsletters) | Consentement (Article 6.1.a - opt-in) | Jusqu'à désinscription |
4. Destinataires des données
Vos données personnelles sont accessibles uniquement aux catégories de destinataires suivantes :
👥 Personnel interne autorisé
Seuls les employés et collaborateurs de Batikko ayant besoin d'accéder à vos données pour vous fournir le Service (équipe support, développeurs pour maintenance, etc.) peuvent y accéder, sous engagement de confidentialité.
🔧 Sous-traitants techniques (RGPD Article 28)
Nous faisons appel à des prestataires de services tiers certifiés pour assurer le fonctionnement du Service. Ces sous-traitants agissent uniquement sur nos instructions et sont liés par des contrats de sous-traitance conformes au RGPD :
- • Hébergement web : OVH (France, UE)
- • Base de données : Supabase (PostgreSQL, UE)
- • Stockage fichiers : Amazon Web Services S3 (UE - région eu-west)
- • Paiements : Stripe, Inc. (certifié PCI-DSS niveau 1, USA - CCT)
- • Cartographie/Calendrier : Google LLC (Maps, Calendar - sur consentement, USA - CCT)
- • Vérification d'identité (KYC) : Didit (documents d'identité et biométrie faciale, conformément aux obligations LCB-FT)
- • SMS/Notifications : Twilio (USA - CCT)
- • Monitoring d'erreurs : Sentry (aucune donnée personnelle identifiable transmise)
- • Synchronisation bancaire : Bridge API (France, UE)
- • Connexions comptables : Pennylane, CEGID, Sage, MyUnisoft, Inqom (France, UE)
- • Intelligence artificielle : OpenAI (USA - CCT), Anthropic (USA - CCT) — utilisés uniquement pour la génération de devis assistée, aucune donnée client transmise
- • Facturation électronique : Seqino (France, UE)
⚖️ Autorités compétentes
En cas de réquisition judiciaire ou administrative, nous pouvons être amenés à communiquer vos données aux autorités compétentes (police, justice, CNIL, administration fiscale, etc.) dans le respect des obligations légales.
❌ Aucune vente ou location de données
Nous ne vendons, ne louons et ne partageons jamais vos données personnelles avec des tiers à des fins commerciales ou marketing. Aucune donnée n'est transmise à des régies publicitaires ou des courtiers en données.
5. Transferts de données hors Union Européenne
Principe : Toutes vos données sont hébergées et traitées dans l'Union Européenne (France - conformité RGPD).
Exceptions : Seuls les services suivants impliquent un transfert hors UE, avec garanties appropriées approuvées par la Commission Européenne :
💳 Stripe (Paiements)
Localisation : États-Unis (Stripe, Inc., 510 Townsend Street, San Francisco, CA 94103)
Garanties RGPD : Clauses Contractuelles Types (CCT) approuvées par la Commission Européenne (Décision 2021/914)
Certification : PCI-DSS niveau 1 (norme de sécurité la plus stricte)
📍 Google (Maps, Calendar)
Localisation : États-Unis (Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043)
Garanties RGPD : Privacy Shield successor framework + Clauses Contractuelles Types (CCT)
Révocation : Vous pouvez révoquer l'accès à tout moment depuis les paramètres de l'application ou votre compte Google
🤖 OpenAI / Anthropic (Intelligence artificielle)
Localisation : États-Unis
Garanties RGPD : Clauses Contractuelles Types (CCT) + Data Processing Addendum (DPA)
Usage : Génération assistée de devis uniquement. Aucune donnée client nominative n'est transmise aux API d'IA.
Opt-out : Les données envoyées ne sont pas utilisées pour l'entraînement des modèles (API mode, opt-out par défaut).
📱 Twilio (SMS)
Localisation : États-Unis (Twilio Inc.)
Garanties RGPD : Clauses Contractuelles Types (CCT) + Binding Corporate Rules (BCR)
Données transmises : Numéro de téléphone du destinataire et contenu du SMS uniquement.
6. Sécurité et protection des données
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD :
🔒 Mesures techniques
- • Chiffrement en transit : HTTPS pour toutes les communications
- • Chiffrement au repos : Données chiffrées sur les serveurs
- • Mots de passe : Hachage sécurisé irréversible
- • Authentification 2FA : Disponible pour renforcer la sécurité des comptes
- • Protection contre les attaques : Pare-feu et protection anti-DDoS
- • Intégrations tierces : Connexions sécurisées OAuth 2.0
📋 Mesures organisationnelles
- • Sauvegardes quotidiennes : Backup automatique à 2h00 (rétention 90 jours)
- • Logs d'audit : Traçabilité des accès et actions sensibles
- • Accès restreint : Principe du moindre privilège (need-to-know basis)
- • Surveillance active : Monitoring des menaces et incidents de sécurité
- • Mises à jour régulières : Patches de sécurité appliqués rapidement
- • Tests de sécurité : Audits réguliers et tests de pénétration
- • Formation du personnel : Sensibilisation RGPD et sécurité
🚨 Notification des violations de données
En cas de violation de données personnelles susceptible d'engendrer un risque élevé pour vos droits et libertés, nous vous en informerons dans les 72 heures suivant la prise de connaissance de l'incident, conformément à l'article 34 du RGPD. Nous notifierons également la CNIL si requis.
7. Vos droits sur vos données personnelles (RGPD)
Conformément aux articles 15 à 22 du RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants :
👁️ Droit d'accès (Art. 15)
Obtenir une copie complète de toutes vos données personnelles que nous détenons, ainsi que des informations sur leur traitement.
✏️ Droit de rectification (Art. 16)
Corriger ou mettre à jour vos données personnelles si elles sont inexactes ou incomplètes. Disponible directement depuis votre espace "Paramètres → Profil".
🗑️ Droit à l'effacement "droit à l'oubli" (Art. 17)
Demander la suppression de vos données personnelles, sauf si une obligation légale de conservation s'applique (ex: factures - 10 ans). Disponible via "Paramètres → Profil → Supprimer le compte".
📦 Droit à la portabilité (Art. 20)
Récupérer vos données personnelles dans un format structuré, couramment utilisé et lisible par machine (JSON, CSV, PDF) pour les transférer à un autre service.
Accès garanti même après fin d'abonnement : en cas de résiliation ou d'expiration de votre période d'essai, vous conservez l'accès aux outils de récupération suivants :
- Export RGPD complet — toutes vos données (profil, clients, devis, factures, chantiers, employés) au format JSON et CSV dans une archive ZIP.
- Récupération rapide — exports individuels de vos clients, factures et devis au format CSV.
- Exports comptables — Fichier des Écritures Comptables (FEC) et balance générale restent téléchargeables.
- Sauvegardes Cloud — si vous disposez du module Cloud Backup, vos sauvegardes restent accessibles en lecture seule pendant 30 jours après expiration.
Un lien "Télécharger mes données" est affiché directement sur l'écran d'expiration pour un accès immédiat.
🚫 Droit d'opposition (Art. 21)
Vous opposer à certains traitements de vos données, notamment pour les traitements basés sur l'intérêt légitime ou à des fins de marketing direct.
⏸️ Droit de limitation (Art. 18)
Demander la limitation temporaire du traitement de vos données dans certains cas (contestation de l'exactitude, traitement illicite, etc.).
🤖 Droit à ne pas faire l'objet d'une décision automatisée (Art. 22)
Ne pas être soumis à une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques. (Batikko n'utilise pas de profilage automatisé)
📜 Droit de définir des directives post-mortem (Art. 85 LIL)
Définir des directives relatives au sort de vos données personnelles après votre décès (conservation, communication, suppression).
📧 Comment exercer vos droits ?
Pour exercer l'un de ces droits, vous pouvez :
- • Email au DPO : [email protected]
- • Depuis l'application : Paramètres → Profil → Mes données personnelles
- • Courrier postal : Batikko - DPO, Paris, France
Informations à fournir dans votre demande :
- • Nom, prénom et adresse email associés à votre compte
- • Nature de votre demande (accès, rectification, suppression, etc.)
- • Copie d'une pièce d'identité (pour vérifier votre identité)
Délai de réponse : Nous nous engageons à répondre à votre demande dans un délai de 1 mois maximum à compter de sa réception. Ce délai peut être prolongé de 2 mois supplémentaires en cas de demande complexe ou de multiples demandes (nous vous en informerons).
Gratuité : L'exercice de vos droits est entièrement gratuit, sauf en cas de demandes manifestement infondées ou excessives (répétitives).
⚖️ Réclamation auprès de la CNIL
Si vous estimez que vos droits ne sont pas respectés ou que le traitement de vos données n'est pas conforme au RGPD, vous disposez du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- • En ligne : www.cnil.fr/fr/plaintes
- • Par courrier : CNIL - 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07
- • Par téléphone : 01 53 73 22 22
8. Cookies et traceurs
Conformément à la Directive ePrivacy et à la loi Informatique et Libertés, nous utilisons des cookies et traceurs sur notre plateforme. Voici les détails :
✓ Cookies strictement nécessaires (exemptés de consentement)
Ces cookies sont indispensables au fonctionnement de la plateforme et ne peuvent pas être désactivés :
- • Session utilisateur : Maintien de votre connexion
- • Protection CSRF : Sécurité contre les attaques Cross-Site Request Forgery
- • Authentification : Vérification de votre identité
- • Préférences d'affichage : Thème (clair/sombre), langue, paramètres d'interface
Cookies fonctionnels et analytics
Ces cookies améliorent l'expérience utilisateur (avec consentement si applicable) :
- • Mémorisation des choix : Filtres, vues préférées, paramètres personnalisés
- • Analytics anonymisés : Statistiques d'utilisation sans données personnelles identifiables
- • Amélioration du Service : Détection des bugs, optimisation des performances
Important : Aucun cookie publicitaire ni de reciblage
Batikko n'utilise aucun cookie publicitaire ni de reciblage publicitaire. Nous utilisons Google Tag Manager à des fins d'analyse d'audience anonymisée, soumis à votre consentement via notre bannière cookies. Vos données de navigation ne sont jamais partagées avec des régies publicitaires.
Gestion des cookies
Vous pouvez gérer vos préférences de cookies :
- • Depuis votre navigateur : Paramètres → Confidentialité → Cookies (consultez l'aide de votre navigateur pour plus d'informations)
- • Durée de conservation : Les cookies de session sont supprimés à la fermeture du navigateur. Les cookies persistants sont conservés pour une durée maximale de 13 mois.
⚠️ Attention : La désactivation des cookies strictement nécessaires empêchera le bon fonctionnement de la plateforme (impossibilité de se connecter, perte de session, etc.).
9. Utilisation des API Google (Calendar, Maps)
📅 Google Calendar API
Si vous choisissez de connecter votre compte Google Calendar (fonctionnalité optionnelle avec consentement explicite), nous utilisons l'API Google Calendar pour :
- • Créer des événements dans votre calendrier lors de l'ajout de rendez-vous dans Batikko
- • Mettre à jour les événements lors de la modification de rendez-vous
- • Supprimer les événements lors de la suppression de rendez-vous
- • Synchronisation bidirectionnelle en temps réel via webhooks
🔒 Utilisation limitée des données Google (Limited Use Policy)
L'utilisation que fait Batikko des informations reçues des API Google respecte strictement la Règle relative aux données utilisateur des services d'API Google (Google API Services User Data Policy), y compris les exigences d'utilisation limitée (Limited Use).
Cela signifie que nous :
- • N'utilisons vos données Google Calendar que pour fournir la fonctionnalité de synchronisation
- • Ne transférons jamais vos données Google à des tiers
- • Ne vendons jamais vos données Google
- • N'utilisons jamais vos données Google à des fins publicitaires
Révocation de l'accès : Vous pouvez révoquer l'accès à tout moment depuis :
- • Batikko : Paramètres → Intégrations → Déconnecter Google Calendar
- • Votre compte Google : myaccount.google.com/permissions
📍 Google Maps API
Nous utilisons l'API Google Maps pour :
- • Géolocaliser vos chantiers (coordonnées GPS stockées dans notre base de données)
- • Afficher des cartes interactives pour visualiser l'emplacement des chantiers
- • Auto-complétion d'adresses lors de la création de chantiers ou clients
Les coordonnées GPS sont stockées uniquement dans notre base de données et ne sont pas partagées avec Google au-delà de l'utilisation de l'API.
10. Durée de conservation des données
Vos données personnelles sont conservées uniquement pendant la durée nécessaire aux finalités pour lesquelles elles sont collectées, conformément à l'article 5.1.e du RGPD :
| Type de données | Durée de conservation | Fondement légal |
|---|---|---|
| Données de compte actif | Tant que le compte est actif et utilisé | Exécution du contrat |
| Données après suppression volontaire du compte | 90 jours (puis suppression définitive) | Permettre une restauration en cas d'erreur |
| Factures et documents comptables | 10 ans après clôture de l'exercice | Obligation légale (Article L123-22 du Code de commerce) |
| Sauvegardes Cloud Backup (module optionnel) | 90 jours après résiliation du module | Exécution du contrat |
| Logs de connexion et sécurité | 12 mois maximum | Intérêt légitime (sécurité, prévention fraude) |
| Tokens Google Calendar (OAuth) | Jusqu'à déconnexion ou révocation | Consentement |
| Données de paiement (Stripe) | Tant que l'abonnement est actif + durée légale de contestation | Exécution du contrat |
| Données de prospects (leads non convertis) | 3 ans après dernier contact | Intérêt légitime (prospection commerciale) |
| Tickets de support client | 3 ans après résolution du ticket | Intérêt légitime (amélioration du service) |
🗑️ Suppression définitive
À l'expiration des durées de conservation, vos données sont définitivement et irréversiblement supprimées de nos systèmes de production et de sauvegarde. Cette suppression inclut toutes les copies, sauvegardes et archives (sauf obligations légales impératives comme les factures).
11. Modifications de cette politique
Nous nous réservons le droit de modifier cette Politique de confidentialité à tout moment pour :
- •Nous conformer aux évolutions législatives et réglementaires (RGPD, ePrivacy, etc.)
- •Refléter les changements dans nos pratiques de traitement des données
- •Améliorer la clarté et la transparence de nos engagements
- •Intégrer de nouvelles fonctionnalités ou services tiers
📧 Notification des modifications importantes
Toute modification substantielle de cette politique vous sera notifiée au moins 30 jours à l'avance par :
- • Email à l'adresse associée à votre compte
- • Notification dans l'application lors de votre connexion
- • Bannière visible sur la plateforme
La date de "Dernière mise à jour" en haut de cette page sera systématiquement mise à jour lors de chaque modification.
Votre consentement : La poursuite de l'utilisation du Service après l'entrée en vigueur des modifications vaut acceptation de la nouvelle politique. Si vous n'acceptez pas les modifications, vous pouvez résilier votre compte avant leur entrée en vigueur.
12. Contact et questions
Pour toute question, demande d'information ou exercice de vos droits concernant le traitement de vos données personnelles, vous pouvez nous contacter :
Email général
[email protected]Délégué à la Protection des Données (DPO)
[email protected](Pour toutes questions relatives à la protection de vos données personnelles)
Site web
batikko.comDocuments complémentaires
Dernière mise à jour : 11 mars 2026
Cette politique de confidentialité est conforme au RGPD (UE) 2016/679, à la loi Informatique et Libertés, et aux exigences de Google pour l'utilisation des API Google (Limited Use Policy).