Custodi

Politique de confidentialité

Cette politique explique comment nous collectons, utilisons et protégeons vos données personnelles.

Responsable du traitement

David Huh - Software-as-a-Service & IT-Dienstleistungen

Lucian-Reich-Str. 16

76473 Iffezheim

impressum@davidhuh.de

Délégué à la protection des données (DPO)

Vous pouvez contacter notre DPO à impressum@davidhuh.de.

Finalités du traitement

  • Authentification et gestion des comptes
  • Gestion de l'organisation et des biens
  • Relevé de compteurs et traitement des données de consommation
  • Identification des propriétés basée sur la localisation et détection de proximité
  • Sécurité, prévention des abus et journalisation des accès API (art. 6(1)(f) RGPD)
  • Analytique et amélioration du service

Vos droits

  • Accès à vos données personnelles
  • Limitation du traitement
  • Portabilité des données
  • Droit de déposer une plainte

Sous-traitants ultérieurs

Nous utilisons les sous-traitants suivants pour fournir nos services

Vercel Inc.

Ajouté: 5 oct. 2025
Finalité:Hosting & CDN
Lieu:USA
Emplacement du serveur:Germany (Frankfurt)
Garanties:Standard Contractual Clauses (SCC)

Neon Tech Inc.

Ajouté: 5 oct. 2025
Finalité:Database Hosting
Lieu:USA
Emplacement du serveur:Germany (Frankfurt)
Garanties:Standard Contractual Clauses (SCC)

Resend Inc.

Ajouté: 5 oct. 2025
Finalité:Email Service
Lieu:USA
Emplacement du serveur:Ireland
Garanties:Standard Contractual Clauses (SCC)

Meta Platforms, Inc. / Google LLC

Ajouté: 16 janv. 2026
Finalité:AI-powered meter reading analysis (via Vercel AI Gateway)
Lieu:USA
Emplacement du serveur:USA
Garanties:Standard Contractual Clauses (SCC)
Base légale:Art. 6(1)(b) GDPR - Contract performance; Art. 6(1)(f) GDPR - Legitimate interest in automated meter reading
Catégories de données:
  • Meter reading images (utility consumption data)
  • Property identification data
  • Timestamp and location metadata
  • Processing results and accuracy metrics

Mapbox Inc.

Ajouté: 12 nov. 2025
Finalité:Address geocoding, map visualization, and location services
Lieu:USA
Emplacement du serveur:Global CDN (EU nodes available)
Garanties:Standard Contractual Clauses (SCC)
Base légale:Art. 6(1)(b) GDPR - Contract performance; Art. 6(1)(f) GDPR - Legitimate interest in providing accurate location-based services
Catégories de données:
  • Property addresses (search queries)
  • Geographic coordinates (latitude/longitude)
  • IP address (for rate limiting)
  • Browser user agent (technical requirement)

Bright Sky API / Deutscher Wetterdienst (DWD)

Ajouté: 5 janv. 2026
Finalité:Weather data and forecasting services
Lieu:Germany
Emplacement du serveur:Germany (DWD Offenbach)
Garanties:Public sector data provider (DWD is a German federal authority); Server-side API calls only (no client IP addresses transmitted); Coordinates rounded to 2 decimals (~1.1km precision) for data minimization; Data licensed under CC BY 4.0
Base légale:Art. 6(1)(f) GDPR - Legitimate interest in providing weather alerts and forecasts for property management; Data minimization principles (Art. 5(1)(c) GDPR) applied through coordinate rounding and server-side processing
Catégories de données:
  • Property geographic coordinates (rounded to 2 decimals for privacy)
  • Weather forecast data (temperature, precipitation, snowfall)
  • Location-based weather alerts
  • Note: API calls are made server-side via Vercel; no user IP addresses are transmitted to DWD

Stripe, Inc.

Ajouté: 14 févr. 2026
Finalité:Payment processing and fraud prevention
Lieu:USA
Emplacement du serveur:USA / Global
Garanties:Standard Contractual Clauses (SCC)
Base légale:Art. 6(1)(b) GDPR - Contract performance; Art. 6(1)(f) GDPR - Legitimate interest in fraud prevention
Catégories de données:
  • Payment information (credit card details, bank account info)
  • Billing address
  • Transaction metadata
  • Customer identification data

Cookies

Nous utilisons des cookies et des technologies similaires pour assurer la fonctionnalité du site, analyser l'utilisation et stocker vos préférences. Pour des informations détaillées sur les cookies que nous utilisons, leur finalité, leur durée de conservation et leurs bases juridiques, veuillez consulter notre Politique de cookies complète à /legal/cookie-policy.

Informations sur l'usage des cookies

Notre site web utilise différentes catégories de cookies :

Cookies strictement nécessaires

Ces cookies sont essentiels pour le fonctionnement du site et ne peuvent pas être désactivés. Ils incluent les cookies de consentement et de préférence (custodi_consent, sidebar_state), les cookies d'authentification, les paramètres de langue et les cookies de prévention de la fraude de Stripe. Base juridique : Art. 6(1)(f) RGPD.

Cookies analytiques

Nous utilisons Vercel Analytics et Vercel Speed Insights pour collecter des données d'utilisation consenties. En complément, nous mesurons, après votre consentement explicite, les interactions produit finalisées, comme les connexions, les réinitialisations de mot de passe, les actions terminées sur les biens, les tâches, les signalements de dommages, les relevés de compteurs, les calendriers de déchets ou le profil. Nous ne transmettons aucun identifiant direct, aucun texte libre et aucun ID brut. Base juridique : Art. 6(1)(a) RGPD.

Cookies marketing

Nous n'utilisons actuellement aucun cookie marketing ou outil de suivi à des fins publicitaires.

Vers la Politique de cookies complète

Mesures de sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles complètes (MTO) pour protéger vos données conformément à l'art. 32 du RGPD. Pour les appels API, nous utilisons Vercel Runtime Logs comme journalisation technique des requêtes et, pour les accès authentifiés, nous ajoutons un contexte d'authentification minimal (userId, organizationId, identifiant de procédure) à des fins d'analyse de sécurité.

Mesures techniques et organisationnelles (MTO)

Pour protéger vos données personnelles, nous avons mis en œuvre les mesures suivantes :

Chiffrement

Toutes les transmissions de données se font via HTTPS/TLS 1.3. Les mots de passe sont stockés hachés avec bcrypt. Les jetons de session sont chiffrés dans le stockage. Les connexions à la base de données sont chiffrées SSL.

Contrôle d'accès

Contrôle d'accès basé sur les rôles (RBAC) au niveau de l'organisation avec séparation stricte des locataires. Support de l'authentification à deux facteurs (2FA/TOTP) pour une sécurité renforcée. Journaux d'audit automatiques pour les événements liés à la sécurité (connexions, changements de mot de passe, activation 2FA).

Stockage et sauvegardes

Sauvegardes automatisées quotidiennes de la base de données avec le fournisseur cloud Neon Tech à Francfort. Conservation des sauvegardes pendant 30 jours avec stockage géo-redondant des données critiques. Archivage supplémentaire en stockage froid local chez le sous-traitant.

Traitement IA

Pour l'analyse automatique des relevés de compteurs assistée par IA, les images sont transmises via Vercel AI Gateway à Meta/Google. Le traitement s'effectue dans le cadre de l'application de clauses contractuelles types (CCT). Les résultats sont mis en cache pour minimiser les appels API.

Surveillance

Surveillance continue des systèmes pour détecter les activités suspectes. Mise en œuvre de rate-limiting pour les points de terminaison API. Vercel Runtime Logs enregistre les métadonnées techniques des requêtes; en complément, pour chaque accès tRPC authentifié, nous journalisons uniquement le contexte d'authentification minimal requis (userId, organizationId, identifiant de procédure, résultat, code d'erreur), sans payload de requête/réponse. Base légale: art. 6(1)(f) RGPD.

Mesures organisationnelles

Séparation stricte des organisations : chaque organisation peut accéder exclusivement à ses propres données. Filtrage automatique de toutes les requêtes de base de données par ID d'organisation. Aucun accès inter-organisations possible.

Transferts internationaux de données

En tant qu'entreprise mondiale, nous travaillons avec des fournisseurs de services situés en dehors de l'Espace économique européen (EEE). Pour tous les transferts de données vers des pays tiers, nous assurons des garanties appropriées conformément aux art. 44-49 du RGPD.

Informations sur les transferts de données

Nous transférons des données personnelles à des sous-traitants aux États-Unis. Les mesures de sécurité suivantes s'appliquent à ces transferts :

Clauses contractuelles types (CCT)

Pour tous les transferts de données vers les États-Unis, nous utilisons les clauses contractuelles types de l'UE (CCT) conformément à la Décision d'exécution (UE) 2021/914 de la Commission. Ces clauses ont été conclues entre nous et tous les fournisseurs de services américains et contiennent des mesures techniques et organisationnelles supplémentaires.

Fournisseurs de services concernés

Les sous-traitants suivants peuvent traiter des données aux États-Unis : Vercel Inc. (Hébergement & CDN), Neon Tech Inc. (Hébergement de bases de données), Resend Inc. (Service de messagerie), Meta Platforms/Google LLC (Analyse IA), Mapbox Inc. (Services de cartographie), Stripe Inc. (Traitement des paiements). Selon le service, les traitements sont effectués dans l'UE (notamment Francfort/Irlande) et aux États-Unis.

Traitement IA aux États-Unis

Pour l'analyse automatique des relevés de compteurs, les images sont transmises aux serveurs de Meta/Google aux États-Unis pour traitement. Cela s'effectue sur la base de l'art. 6(1)(b) et (f) du RGPD (Exécution du contrat et intérêt légitime) dans le cadre de l'application des clauses contractuelles types.

Mesures techniques supplémentaires

Appels API côté serveur pour protéger les adresses IP des utilisateurs. Arrondi des coordonnées pour les données météorologiques (2 décimales = ~1,1 km de précision) pour la minimisation des données. Aucun transfert de données personnelles vers les services IA, excepté les ID de propriété anonymisés.

Vos droits concernant les transferts internationaux

Vous avez le droit de demander une copie des clauses contractuelles types auprès de nous. Pour toute question concernant les transferts internationaux de données, veuillez nous contacter à notre adresse e-mail.

Rétention des données

Durée de conservation des données

  • Comptes utilisateurs: Until the account is deleted
  • Relevés de compteurs: Reading records remain until account deletion or mandatory statutory retention ends; linked photo blobs may be removed 12 months after submission
  • Fichiers multimédias et images: Object gallery images are removed when an object is archived. Damage report photos remain until the report is permanently deleted. Meter reading photos may be removed 12 months after submission while the reading record remains.
  • Journaux d'activité et d'accès API: Vercel Runtime Logs: up to 24 hours (plan-dependent); minimal application auth-context logs: only as long as required for security and abuse analysis
  • Sauvegardes: 30 days
  • Registres de consentement: 3 years

Informations complémentaires de conservation : les images de galerie d'une propriété sont supprimées lorsqu'une propriété est archivée. Les photos des signalements de dommages sont conservées jusqu'à la suppression définitive du signalement. Les photos des relevés de compteurs peuvent être supprimées 12 mois après la soumission, tandis que l'enregistrement du relevé reste conservé. La télémétrie des requêtes API est traitée via Vercel Runtime Logs. Avec l'offre Pro, la conservation y est généralement d'environ 24 heures (selon le plan). En complément, les journaux minimaux de contexte d'authentification applicatif sont conservés uniquement aussi longtemps que nécessaire à l'analyse de sécurité et d'abus.

Données météorologiques et attribution

Notre plateforme utilise des données météorologiques pour fournir des prévisions et alertes météo pour vos propriétés.

Source des données

Données météorologiques fournies par Bright Sky / Deutscher Wetterdienst (DWD). Sous licence CC BY 4.0.

Implémentation de la confidentialité

  • Les appels API sont effectués exclusivement côté serveur via Vercel - aucune adresse IP utilisateur n'est transmise au DWD
  • Les coordonnées des propriétés sont arrondies à 2 décimales (~1,1 km de précision) pour la minimisation des données
  • Aucune donnée personnelle n'est liée aux données météo ; seules les coordonnées anonymes sont utilisées

Dernière mise à jour: 7 avril 2026