Custodi

Politique de confidentialité

Cette politique explique comment nous collectons, utilisons et protégeons vos données personnelles.

Responsable du traitement

David Huh - Software-as-a-Service & IT-Dienstleistungen

Lucian-Reich-Str. 16

76473 Iffezheim

impressum@davidhuh.de

Délégué à la protection des données (DPO)

Vous pouvez contacter notre DPO à impressum@davidhuh.de.

Finalités du traitement

  • Authentification et gestion des comptes
  • Gestion de l'organisation et des biens
  • Relevé de compteurs et traitement des données de consommation
  • Identification des propriétés basée sur la localisation et détection de proximité
  • Sécurité et prévention de la fraude
  • Analytique et amélioration du service

Vos droits

  • Accès à vos données personnelles
  • Limitation du traitement
  • Portabilité des données
  • Droit de déposer une plainte

Sous-traitants ultérieurs

Nous utilisons les sous-traitants suivants pour fournir nos services

Vercel Inc.

Ajouté: 5 oct. 2025
Finalité:Hosting & CDN
Lieu:USA
Emplacement du serveur:Germany (Frankfurt)
Garanties:Standard Contractual Clauses (SCC)

Neon Tech Inc.

Ajouté: 5 oct. 2025
Finalité:Database Hosting
Lieu:USA
Emplacement du serveur:Germany (Frankfurt)
Garanties:Standard Contractual Clauses (SCC)

Resend Inc.

Ajouté: 5 oct. 2025
Finalité:Email Service
Lieu:USA
Emplacement du serveur:Ireland
Garanties:Standard Contractual Clauses (SCC)

Meta Platforms, Inc. / Google LLC

Ajouté: 16 janv. 2026
Finalité:AI-powered meter reading analysis (via Vercel AI Gateway)
Lieu:USA
Emplacement du serveur:USA
Garanties:Standard Contractual Clauses (SCC)
Base légale:Art. 6(1)(b) GDPR - Contract performance; Art. 6(1)(f) GDPR - Legitimate interest in automated meter reading
Catégories de données:
  • Meter reading images (utility consumption data)
  • Property identification data
  • Timestamp and location metadata
  • Processing results and accuracy metrics

Mapbox Inc.

Ajouté: 12 nov. 2025
Finalité:Address geocoding, map visualization, and location services
Lieu:USA
Emplacement du serveur:Global CDN (EU nodes available)
Garanties:Standard Contractual Clauses (SCC)
Base légale:Art. 6(1)(b) GDPR - Contract performance; Art. 6(1)(f) GDPR - Legitimate interest in providing accurate location-based services
Catégories de données:
  • Property addresses (search queries)
  • Geographic coordinates (latitude/longitude)
  • IP address (for rate limiting)
  • Browser user agent (technical requirement)

Bright Sky API / Deutscher Wetterdienst (DWD)

Ajouté: 5 janv. 2026
Finalité:Weather data and forecasting services
Lieu:Germany
Emplacement du serveur:Germany (DWD Offenbach)
Garanties:Public sector data provider (DWD is a German federal authority); Server-side API calls only (no client IP addresses transmitted); Coordinates rounded to 2 decimals (~1.1km precision) for data minimization; Data licensed under CC BY 4.0
Base légale:Art. 6(1)(f) GDPR - Legitimate interest in providing weather alerts and forecasts for property management; Data minimization principles (Art. 5(1)(c) GDPR) applied through coordinate rounding and server-side processing
Catégories de données:
  • Property geographic coordinates (rounded to 2 decimals for privacy)
  • Weather forecast data (temperature, precipitation, snowfall)
  • Location-based weather alerts
  • Note: API calls are made server-side via Vercel; no user IP addresses are transmitted to DWD

Stripe, Inc.

Ajouté: 14 févr. 2026
Finalité:Payment processing and fraud prevention
Lieu:USA
Emplacement du serveur:USA / Global
Garanties:Standard Contractual Clauses (SCC)
Base légale:Art. 6(1)(b) GDPR - Contract performance; Art. 6(1)(f) GDPR - Legitimate interest in fraud prevention
Catégories de données:
  • Payment information (credit card details, bank account info)
  • Billing address
  • Transaction metadata
  • Customer identification data

Cookies

Nous utilisons des cookies et des technologies similaires pour assurer la fonctionnalité du site, analyser l'utilisation et stocker vos préférences. Pour des informations détaillées sur les cookies que nous utilisons, leur finalité, leur durée de conservation et leurs bases juridiques, veuillez consulter notre Politique de cookies complète à /legal/cookie-policy.

Informations sur l'usage des cookies

Notre site web utilise différentes catégories de cookies :

Cookies strictement nécessaires

Ces cookies sont essentiels pour le fonctionnement du site et ne peuvent pas être désactivés. Il s'agit notamment des cookies d'authentification (custodi_session), des paramètres de langue (custodi_locale), des paramètres de thème (custodi_theme) et des cookies de prévention de la fraude de Stripe (__stripe_mid, __stripe_sid). Base juridique : Art. 6(1)(f) RGPD.

Cookies analytiques

Nous utilisons Vercel Analytics pour collecter des données d'utilisation anonymisées. Ces cookies ne sont définis qu'après votre consentement explicite et nous aident à améliorer les performances et la convivialité. Base juridique : Art. 6(1)(a) RGPD.

Cookies marketing

Nous n'utilisons actuellement aucun cookie marketing ou outil de suivi à des fins publicitaires.

Vers la Politique de cookies complète

Mesures de sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles complètes (MTO) pour protéger vos données conformément à l'art. 32 du RGPD. Des informations détaillées sur nos mesures de sécurité figurent dans notre documentation relative à l'Accord de traitement des données (ATD) et dans les mesures énumérées ci-dessous.

Mesures techniques et organisationnelles (MTO)

Pour protéger vos données personnelles, nous avons mis en œuvre les mesures suivantes :

Chiffrement

Toutes les transmissions de données se font via HTTPS/TLS 1.3. Les mots de passe sont stockés hachés avec bcrypt. Les jetons de session sont chiffrés dans le stockage. Les connexions à la base de données sont chiffrées SSL.

Contrôle d'accès

Contrôle d'accès basé sur les rôles (RBAC) au niveau de l'organisation avec séparation stricte des locataires. Support de l'authentification à deux facteurs (2FA/TOTP) pour une sécurité renforcée. Journaux d'audit automatiques pour les événements liés à la sécurité (connexions, changements de mot de passe, activation 2FA).

Stockage et sauvegardes

Sauvegardes automatisées quotidiennes de la base de données avec le fournisseur cloud Neon Tech à Francfort. Conservation des sauvegardes pendant 30 jours avec stockage géo-redondant des données critiques. Archivage supplémentaire en stockage froid local chez le sous-traitant.

Traitement IA

Pour l'analyse automatique des relevés de compteurs assistée par IA, les images sont transmises via Vercel AI Gateway à Meta/Google. Le traitement s'effectue dans le cadre de l'application de clauses contractuelles types (CCT). Les résultats sont mis en cache pour minimiser les appels API.

Surveillance

Surveillance continue des systèmes pour détecter les activités suspectes. Mise en œuvre de rate-limiting pour les points de terminaison API. Vérifications et mises à jour de sécurité régulières.

Mesures organisationnelles

Séparation stricte des organisations : chaque organisation peut accéder exclusivement à ses propres données. Filtrage automatique de toutes les requêtes de base de données par ID d'organisation. Aucun accès inter-organisations possible.

Transferts internationaux de données

En tant qu'entreprise mondiale, nous travaillons avec des fournisseurs de services situés en dehors de l'Espace économique européen (EEE). Pour tous les transferts de données vers des pays tiers, nous assurons des garanties appropriées conformément aux art. 44-49 du RGPD.

Informations sur les transferts de données

Nous transférons des données personnelles à des sous-traitants aux États-Unis. Les mesures de sécurité suivantes s'appliquent à ces transferts :

Clauses contractuelles types (CCT)

Pour tous les transferts de données vers les États-Unis, nous utilisons les clauses contractuelles types de l'UE (CCT) conformément à la Décision d'exécution (UE) 2021/914 de la Commission. Ces clauses ont été conclues entre nous et tous les fournisseurs de services américains et contiennent des mesures techniques et organisationnelles supplémentaires.

Fournisseurs de services concernés

Les sous-traitants suivants sont situés aux États-Unis : Vercel Inc. (Hébergement & CDN), Neon Tech Inc. (Hébergement de bases de données), Resend Inc. (Service de messagerie), Meta Platforms/Google LLC (Analyse IA), Mapbox Inc. (Services de cartographie), Stripe Inc. (Traitement des paiements). Tous les serveurs de ces fournisseurs sont situés en Allemagne (Francfort), à l'exception de Resend (Irlande).

Traitement IA aux États-Unis

Pour l'analyse automatique des relevés de compteurs, les images sont transmises aux serveurs de Meta/Google aux États-Unis pour traitement. Cela s'effectue sur la base de l'art. 6(1)(b) et (f) du RGPD (Exécution du contrat et intérêt légitime) dans le cadre de l'application des clauses contractuelles types.

Mesures techniques supplémentaires

Appels API côté serveur pour protéger les adresses IP des utilisateurs. Arrondi des coordonnées pour les données météorologiques (2 décimales = ~1,1 km de précision) pour la minimisation des données. Aucun transfert de données personnelles vers les services IA, excepté les ID de propriété anonymisés.

Vos droits concernant les transferts internationaux

Vous avez le droit de demander une copie des clauses contractuelles types auprès de nous. Pour toute question concernant les transferts internationaux de données, veuillez nous contacter à notre adresse e-mail.

Rétention des données

Durée de conservation des données

  • Comptes utilisateurs: Until the account is deleted
  • Relevés de compteurs: Until account deletion or mandatory statutory retention ends
  • Journaux d'activité: 12 months
  • Sauvegardes: 30 days
  • Registres de consentement: 3 years

Infos complémentaires sur la rétention

Données météorologiques et attribution

Notre plateforme utilise des données météorologiques pour fournir des prévisions et alertes météo pour vos propriétés.

Source des données

Données météorologiques fournies par Bright Sky / Deutscher Wetterdienst (DWD). Sous licence CC BY 4.0.

Implémentation de la confidentialité

  • Les appels API sont effectués exclusivement côté serveur via Vercel - aucune adresse IP utilisateur n'est transmise au DWD
  • Les coordonnées des propriétés sont arrondies à 2 décimales (~1,1 km de précision) pour la minimisation des données
  • Aucune donnée personnelle n'est liée aux données météo ; seules les coordonnées anonymes sont utilisées

Dernière mise à jour: 14 février 2026