Politique de Confidentialité
Politique de confidentialité
Dernière mise à jour : 12 avril 2026
La présente Politique de confidentialité explique comment Roraima (« nous », « notre », « la Plateforme »), exploitée par [RAGIONE_SOCIALE], collecte, utilise, partage et protège vos données personnelles lorsque vous utilisez notre plateforme de marketplace IoT, y compris notre site web, nos services mobiles, nos assistants IA et les fonctionnalités de dispositifs connectés.
Nous nous engageons à protéger votre vie privée conformément au Règlement (UE) 2016/679 (le « Règlement général sur la protection des données » ou « RGPD »), au Décret législatif italien 196/2003 tel que modifié par le Décret législatif 101/2018, et à toute législation applicable en matière de protection des données.
Veuillez lire attentivement la présente politique. En utilisant notre Plateforme, vous reconnaissez avoir lu et compris la présente Politique de confidentialité.
1. Responsable du traitement
Le responsable du traitement des données personnelles traitées via la Plateforme est :
| Société | [RAGIONE_SOCIALE] |
| Siège social | [INDIRIZZO] |
| Numéro de TVA (P.IVA) | [P_IVA] |
| [EMAIL] | |
| Email certifié (PEC) | [PEC] |
2. Délégué à la protection des données (DPO)
Nous avons désigné un Délégué à la protection des données que vous pouvez contacter pour toute question relative au traitement de vos données personnelles ou à l'exercice de vos droits :
Contact DPO : [DPO_EMAIL]
3. Catégories de données personnelles que nous collectons
En fonction de la manière dont vous interagissez avec la Plateforme, nous pouvons collecter les catégories suivantes de données personnelles :
3.1 Données de compte et d'identité
- Nom complet, adresse email, numéro de téléphone
- Adresse de facturation et de livraison
- Raison sociale, numéro de TVA (pour les vendeurs)
- Identifiants de compte (mot de passe stocké uniquement sous forme hachée)
- Rôle de l'utilisateur (acheteur, vendeur, installateur)
- Classification du sous-type vendeur (vendeur, installateur ou les deux)
- Documents professionnels téléchargés par les installateurs (certifications, assurances)
3.2 Données de transactions et de commandes
- Historique des commandes, montants, statut de paiement
- Réservations de location (dates, nombre d'invités, durée)
- Informations de facturation
- Identifiants de paiement Stripe (nous ne stockons pas les numéros de carte complets)
- Soldes de crédits IA et historique de consommation
3.3 Données des dispositifs IoT
- État du dispositif : état marche/arrêt, connectivité, version du micrologiciel, niveau de batterie
- Données de télémétrie : relevés de capteurs (température, humidité, mouvement, consommation énergétique), états des relais, métriques de santé du dispositif
- Journaux d'accès des serrures connectées : horodatages des événements de verrouillage/déverrouillage, méthode d'accès utilisée (PIN, application, code temporaire), identifiants utilisateur associés à chaque événement d'accès
- Habitudes d'utilisation : fréquence des interactions avec les dispositifs, historique des déclenchements d'automatisation, journaux d'exécution des scénarios
- Configuration du dispositif : noms personnalisés, pièces/zones attribuées, règles d'automatisation, programmations
- Données d'appairage et de délégation : transferts de propriété de dispositifs, registres de délégation aux installateurs, permissions de partage
3.4 Données d'interaction avec l'IA
- Conversations avec nos assistants IA (Agent Acheteur, Agent Vendeur, Agent Installateur)
- Questions soumises et réponses reçues
- Recherches dans la base de connaissances (Agent Installateur uniquement)
3.5 Données techniques et d'utilisation
- Adresse IP, type et version du navigateur, système d'exploitation
- Pages visitées, temps passé, schémas de clics
- Cookies et technologies de suivi similaires (voir Section 12)
- Source de référence
3.6 Données de localisation
- Adresse professionnelle du vendeur (affichée sur Google Maps pour la commodité de l'acheteur)
- Adresse de livraison de l'acheteur
- Localisation approximative dérivée de l'adresse IP
3.7 Données de communication
- Demandes d'assistance et correspondance
- Communications vendeur-acheteur relatives aux commandes
- Préférences de notification
4. Finalités et bases juridiques du traitement
Nous traitons vos données personnelles aux fins suivantes, chacune avec la base juridique correspondante au titre de l'article 6, paragraphe 1, du RGPD :
4.1 Exécution du contrat (Art. 6(1)(b))
| Finalité | Données concernées |
|---|---|
| Création et gestion de votre compte | Données de compte et d'identité |
| Traitement des commandes, paiements et remboursements | Données de transaction, données d'identité |
| Gestion des jetons d'accès IoT liés aux achats | Données de commande, données de dispositif |
| Exécution des réservations de location | Données de réservation, données d'identité |
| Fourniture des services d'assistant IA | Données d'interaction IA, soldes de crédits |
| Gestion de l'allocation et de la consommation des crédits IA | Soldes de crédits, données d'utilisation |
| Facilitation des transactions vendeur-acheteur | Données d'identité, de transaction et de communication |
| Gestion des délégations et certifications des installateurs | Documents professionnels, registres de délégation |
| Fourniture de codes d'accès temporaires pour serrures connectées | Journaux d'accès, données de réservation |
4.2 Intérêt légitime (Art. 6(1)(f))
| Finalité | Intérêt légitime |
|---|---|
| Sécurité de la plateforme et prévention de la fraude | Protection des utilisateurs et de la plateforme contre les abus |
| Analyses et amélioration du service | Amélioration de l'expérience utilisateur et de la fiabilité de la plateforme |
| Télémétrie IoT pour le dépannage | Garantir le fonctionnement des dispositifs et résoudre les problèmes techniques |
| Application des Conditions générales | Maintien de l'intégrité de la plateforme |
| Vérification et contrôle de conformité des vendeurs | Garantir la confiance et la sécurité du marketplace |
4.3 Obligation légale (Art. 6(1)(c))
- Conservation des registres fiscaux et comptables (droit fiscal italien)
- Conformité aux réglementations de protection des consommateurs
- Réponse aux demandes légitimes des autorités publiques
- Calcul et déclaration de la TVA pour les transactions transfrontalières au sein de l'UE
4.4 Consentement (Art. 6(1)(a))
- Communications marketing et newsletters (le cas échéant)
- Cookies non essentiels et analyses (gérés via le gestionnaire de consentement Klaro)
- Traitement de catégories particulières de données, si nécessaire
Lorsque le traitement est fondé sur le consentement, vous pouvez retirer votre consentement à tout moment sans affecter la licéité du traitement effectué avant le retrait.
5. Données des dispositifs IoT — Dispositions spécifiques
Compte tenu de la nature de notre plateforme, les données des dispositifs IoT nécessitent une attention particulière :
5.1 Quelles données IoT nous collectons et pourquoi
- L'état du dispositif et la télémétrie sont collectés pour permettre la surveillance en temps réel, les scénarios d'automatisation et le dépannage. Ces données transitent par notre passerelle IoT et peuvent être temporairement mises en cache pour des raisons de performance.
- Les journaux d'accès des serrures connectées enregistrent qui a accédé à une propriété et quand. Ces données sont essentielles pour la sécurité, la vérification des réservations et la résolution des litiges. Les journaux d'accès incluent les horodatages, la méthode d'entrée (PIN, code temporaire, application) et l'identifiant de l'utilisateur ou de l'invité associé.
- Les journaux d'exécution des scénarios d'automatisation sont conservés pour permettre les automatisations basées sur des déclencheurs, permettre aux utilisateurs de consulter l'historique des scénarios et diagnostiquer les défaillances.
- Les données MQTT en temps réel peuvent être transmises pour les dispositifs utilisant le protocole MQTT. Ces données sont chiffrées en transit et ne sont pas stockées au-delà de la durée nécessaire au traitement en temps réel, sauf si l'utilisateur les configure explicitement dans un scénario d'automatisation.
5.2 Minimisation des données pour l'IoT
Nous ne collectons que les points de données des dispositifs nécessaires aux fonctionnalités que vous avez activées. Si vous n'utilisez pas de scénarios d'automatisation, aucune donnée d'exécution de scénario n'est générée. La granularité de la télémétrie est déterminée par le micrologiciel du fabricant du dispositif et les fonctionnalités que vous choisissez d'activer.
5.3 Partage des données de dispositifs
Lorsqu'un dispositif est délégué à un installateur ou partagé avec d'autres utilisateurs, la partie délégataire accède aux données du dispositif nécessaires à son rôle. La délégation est suivie et peut être révoquée à tout moment par le propriétaire du dispositif. En cas de révocation, l'accès de la partie délégataire aux données du dispositif cesse immédiatement.
6. Assistants IA — Dispositions spécifiques
6.1 Fonctionnement de nos assistants IA
Roraima propose trois assistants alimentés par l'IA (Agent Acheteur, Agent Vendeur et Agent Installateur) fonctionnant grâce au modèle de langage Claude d'Anthropic. Ces assistants aident les utilisateurs pour les questions sur les produits, la gestion des dispositifs IoT et les conseils d'installation.
6.2 Données traitées par les assistants IA
- Vos messages et requêtes soumis lors d'une session de conversation
- Données contextuelles pertinentes (par ex., état du dispositif, informations de commande) fournies à l'IA pour générer des réponses utiles
- Pour l'Agent Installateur : documentation indexée de la base de connaissances (RAG) utilisée pour répondre aux questions techniques
6.3 Ce que nous ne faisons PAS avec les données IA
- Nous n'utilisons pas vos conversations pour entraîner ou affiner un modèle d'IA
- Nous ne partageons pas le contenu de vos conversations avec d'autres utilisateurs
- Nous n'utilisons pas les conversations IA à des fins de profilage ou de prise de décision automatisée produisant des effets juridiques ou similairement significatifs
6.4 Conservation des données IA
Les journaux de conversations IA sont conservés pendant 90 jours maximum afin de permettre la continuité des conversations et de faciliter la résolution des litiges. Passé ce délai, les conversations sont définitivement supprimées. Vous pouvez demander une suppression anticipée à tout moment (voir Section 10).
6.5 Sous-traitant
Le traitement IA est effectué par Anthropic, PBC (États-Unis) en tant que sous-traitant. Voir les Sections 7 et 8 pour les détails sur les transferts internationaux et les garanties.
7. Destinataires et sous-traitants
Nous pouvons partager vos données personnelles avec les catégories suivantes de destinataires :
7.1 Vendeurs du marketplace (responsables de traitement indépendants)
Lorsque vous passez une commande auprès d'un vendeur sur Roraima, le vendeur reçoit les données personnelles nécessaires à l'exécution de votre commande (nom, adresse de livraison, détails de la commande). Chaque vendeur est un responsable de traitement indépendant pour les données qu'il reçoit et traite dans le cadre de sa relation client avec vous. Les vendeurs sont contractuellement tenus de se conformer au RGPD et aux lois applicables en matière de protection des données. Nous vous encourageons à consulter la politique de confidentialité de chaque vendeur.
7.2 Prestataire de paiement
Stripe, Inc. (États-Unis) et sa filiale Stripe Payments Europe, Ltd. (Irlande) traitent les transactions de paiement via Stripe Connect. Stripe agit en tant que responsable de traitement indépendant pour les données de paiement. La politique de confidentialité de Stripe est disponible sur stripe.com/privacy.
7.3 Fournisseur de services IA
Anthropic, PBC (États-Unis) fournit le modèle de langage Claude qui alimente nos assistants IA. Anthropic traite les données de conversation uniquement pour notre compte en tant que sous-traitant et n'utilise pas ces données pour entraîner ses modèles.
7.4 Service de cartographie
Google LLC (États-Unis) fournit les services Google Maps pour afficher les emplacements des vendeurs. La politique de confidentialité de Google est disponible sur policies.google.com/privacy.
7.5 Hébergement et infrastructure
Notre plateforme est hébergée sur des serveurs situés à [HOSTING_LOCATION]. Notre hébergeur traite les données uniquement pour notre compte dans le cadre d'un accord de traitement des données conforme à l'article 28 du RGPD.
7.6 Autres destinataires
- Conseillers professionnels : avocats, comptables et auditeurs, soumis à des obligations de secret professionnel
- Autorités publiques : lorsque la loi, la réglementation ou une procédure judiciaire l'exige
- Fabricants de dispositifs IoT : certaines données de dispositifs peuvent être échangées avec la plateforme cloud du fabricant (par ex., Tuya Smart) pour permettre le fonctionnement du dispositif. Ces échanges sont régis par la politique de confidentialité du fabricant et nos accords de traitement des données
8. Transferts internationaux de données
Certains de nos sous-traitants et partenaires sont situés en dehors de l'Espace économique européen (EEE), en particulier aux États-Unis. Nous veillons à ce que tout transfert de données personnelles vers des pays situés en dehors de l'EEE soit protégé par des garanties appropriées conformément au chapitre V du RGPD :
- Clauses contractuelles types (CCT) : Nous avons conclu les Clauses contractuelles types de la Commission européenne (Décision d'exécution (UE) 2021/914 de la Commission) avec nos sous-traitants américains (Anthropic, Stripe, Google) pour assurer un niveau de protection adéquat des données transférées.
- Cadre de protection des données UE-États-Unis : Le cas échéant, nous nous appuyons sur la certification de nos sous-traitants au titre du Cadre de protection des données UE-États-Unis comme garantie supplémentaire.
- Mesures supplémentaires : Nous mettons en œuvre des mesures techniques et organisationnelles complémentaires si nécessaire, notamment le chiffrement en transit et au repos, les contrôles d'accès et la minimisation des données.
Vous pouvez demander une copie des garanties pertinentes en contactant notre DPO.
9. Conservation des données
Nous conservons vos données personnelles uniquement pendant la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées, ou conformément aux exigences de la loi applicable. Voici les durées de conservation spécifiques par catégorie de données :
| Catégorie de données | Durée de conservation |
|---|---|
| Données de compte | Durée de la relation de compte + 12 mois après la suppression du compte (pour les demandes de réactivation et la résolution des litiges) |
| Données de transactions et de commandes | 10 ans à compter de la date de la transaction (droit fiscal et comptable italien, art. 2220 du Code civil) |
| Factures et registres fiscaux | 10 ans (obligations fiscales italiennes) |
| Télémétrie des dispositifs IoT | 12 mois à compter de la collecte, sauf si une durée plus longue est requise pour un scénario d'automatisation actif |
| Journaux d'accès des serrures connectées | 24 mois (sécurité et résolution des litiges) |
| Registres de réservation/location | 10 ans (obligations fiscales) pour les données financières ; 24 mois pour les données d'accès des invités |
| Journaux de conversations IA | 90 jours |
| Registres de crédits IA | Durée du compte + 10 ans pour les registres fiscaux |
| Documentation des installateurs | Durée du statut actif d'installateur + 24 mois |
| Registres de cookies et de consentement | 24 mois à compter du consentement |
| Journaux de serveur et adresses IP | 6 mois |
| Registres de consentement marketing | Durée du consentement + 24 mois |
| Accords vendeurs et acceptation des CGV | Durée de la relation vendeur + 10 ans |
Lorsque les données ne sont plus nécessaires, elles sont supprimées de manière sécurisée ou anonymisées afin qu'elles ne puissent plus être associées à votre personne.
10. Vos droits en tant que personne concernée
En vertu du RGPD, vous disposez des droits suivants concernant vos données personnelles :
| Droit | Description |
|---|---|
| Accès (Art. 15) | Vous avez le droit d'obtenir la confirmation que nous traitons vos données personnelles et, le cas échéant, de recevoir une copie de ces données ainsi que des informations sur le traitement. |
| Rectification (Art. 16) | Vous avez le droit de demander la correction de données personnelles inexactes et de faire compléter des données incomplètes. |
| Effacement (Art. 17) | Vous avez le droit de demander la suppression de vos données personnelles lorsque, entre autres, les données ne sont plus nécessaires au regard de leur finalité initiale, vous retirez votre consentement ou les données ont été traitées de manière illicite. Ce droit est soumis aux obligations légales de conservation. |
| Limitation (Art. 18) | Vous avez le droit de demander la limitation du traitement de vos données dans certaines circonstances, par exemple lorsque vous contestez l'exactitude des données ou vous opposez au traitement. |
| Portabilité des données (Art. 20) | Vous avez le droit de recevoir vos données personnelles dans un format structuré, couramment utilisé et lisible par machine (par ex., JSON ou CSV) et de les transmettre à un autre responsable de traitement, lorsque le traitement est fondé sur le consentement ou un contrat et est effectué par des moyens automatisés. |
| Opposition (Art. 21) | Vous avez le droit de vous opposer au traitement fondé sur l'intérêt légitime. Nous cesserons le traitement sauf si nous démontrons des motifs légitimes impérieux qui prévalent sur vos intérêts. Vous pouvez vous opposer au marketing direct à tout moment. |
| Retrait du consentement (Art. 7(3)) | Lorsque le traitement est fondé sur le consentement, vous pouvez retirer votre consentement à tout moment. Le retrait ne porte pas atteinte à la licéité du traitement effectué avant le retrait. |
| Réclamation (Art. 77) | Vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente. |
Comment exercer vos droits
Vous pouvez exercer l'un des droits mentionnés ci-dessus en nous contactant à [EMAIL] ou notre DPO à [DPO_EMAIL]. Nous répondrons à votre demande dans un délai de 30 jours, lequel peut être prolongé de 60 jours supplémentaires pour les demandes complexes, auquel cas nous vous informerons de la prolongation et de ses motifs.
Nous pouvons vous demander de vérifier votre identité avant de donner suite à votre demande afin de prévenir tout accès non autorisé aux données personnelles.
Autorité de contrôle
L'autorité de contrôle compétente pour les réclamations est :
Garante per la protezione dei dati personali
Piazza Venezia 11, 00187 Roma, Italy
Site web : www.garanteprivacy.it
Email : protocollo@gpdp.it
PEC : protocollo@pec.gpdp.it
11. Rôles au sein du marketplace — Responsable et sous-traitant
Roraima fonctionne comme une plateforme de marketplace mettant en relation vendeurs et acheteurs. Cela crée des rôles distincts de responsable du traitement :
11.1 Roraima en tant que responsable du traitement
Nous sommes le responsable du traitement pour :
- Les données de compte utilisateur (inscription, authentification, gestion du profil)
- Les données d'utilisation et d'analyse de la plateforme
- La coordination du traitement des paiements (via Stripe Connect)
- Les données des dispositifs IoT gérées via la plateforme
- Les conversations avec les assistants IA
- La gestion des crédits IA
- La gestion du consentement aux cookies
- Les communications et l'assistance de la plateforme
11.2 Vendeurs en tant que responsables de traitement indépendants
Chaque vendeur sur le marketplace Roraima est un responsable de traitement indépendant pour les données personnelles qu'il collecte et traite dans le cadre de sa relation avec les acheteurs, notamment :
- L'exécution des commandes et le service après-vente
- La gestion de leurs propres communications clients
- Le traitement des retours et des réclamations au titre de la garantie
- Les services d'installation et les modalités d'accès aux propriétés
Les vendeurs sont tenus, en vertu de nos Conditions générales, de se conformer au RGPD et de maintenir leurs propres politiques de confidentialité. Nous ne sommes pas responsables des pratiques de traitement des données des vendeurs au-delà de ce qui se produit via la Plateforme.
11.3 Responsabilité conjointe
Pour certaines activités de traitement (par ex., affichage des pages de profil des vendeurs, facilitation des avis), Roraima et le vendeur peuvent agir en tant que responsables conjoints au titre de l'article 26 du RGPD. Les responsabilités respectives sont définies dans notre Accord Vendeur.
12. Cookies et technologies similaires
Nous utilisons des cookies et des technologies similaires sur notre Plateforme. Nous utilisons Klaro comme plateforme de gestion du consentement pour vous permettre de gérer vos préférences en matière de cookies.
En résumé, nous utilisons :
- Cookies strictement nécessaires : essentiels au fonctionnement de la Plateforme (par ex., gestion de session, panier d'achat, sécurité). Ils ne requièrent pas de consentement.
- Cookies fonctionnels : mémorisent vos préférences (par ex., langue, devise).
- Cookies analytiques : nous aident à comprendre comment la Plateforme est utilisée afin de pouvoir l'améliorer.
- Cookies tiers : placés par nos partenaires (par ex., Stripe pour la sécurité des paiements, Google Maps pour les emplacements des vendeurs).
Vous pouvez gérer vos préférences en matière de cookies à tout moment en cliquant sur le lien de paramétrage des cookies dans le pied de page de notre site web. Pour plus de détails, veuillez consulter notre Politique relative aux cookies.
13. Prise de décision automatisée
Nous ne procédons pas actuellement à une prise de décision automatisée, y compris le profilage, produisant des effets juridiques vous concernant ou vous affectant de manière significative de façon similaire au sens de l'article 22 du RGPD.
Nos assistants IA fournissent des réponses informatives et des suggestions mais ne prennent pas de décisions ayant des effets juridiques ou significatifs sur les utilisateurs. Toutes les décisions d'achat, actions de compte et activations de services nécessitent une action explicite de l'utilisateur.
Si nous devions introduire toute forme de prise de décision automatisée à l'avenir, nous mettrons à jour la présente Politique de confidentialité et, le cas échéant, obtiendrons votre consentement explicite ou mettrons en place des garanties appropriées, y compris le droit d'obtenir une intervention humaine, d'exprimer votre point de vue et de contester la décision.
14. Protection de la vie privée des enfants
La Plateforme Roraima n'est pas destinée aux personnes de moins de 18 ans. Nous ne collectons pas sciemment de données personnelles auprès de mineurs de moins de 18 ans. Si nous apprenons que nous avons collecté des données personnelles d'un enfant de moins de 18 ans, nous prendrons les mesures nécessaires pour supprimer ces données dans les meilleurs délais.
Si vous êtes un parent ou un tuteur et pensez que votre enfant nous a fourni des données personnelles, veuillez nous contacter à [EMAIL] afin que nous puissions prendre les mesures appropriées.
15. Mesures de sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles contre l'accès non autorisé, la modification, la divulgation ou la destruction, notamment :
- Chiffrement des données en transit (TLS/SSL) et au repos le cas échéant
- Stockage des mots de passe sous forme hachée à l'aide d'algorithmes standards de l'industrie
- Contrôles d'accès et permissions basées sur les rôles
- Évaluations régulières de la sécurité et tests de vulnérabilité
- Génération sécurisée des codes d'accès pour serrures connectées et transmission chiffrée
- Limitation du débit et prévention des abus sur tous les points d'accès API
- Protection CSRF sur tous les formulaires
- En-têtes Content Security Policy (CSP)
- Validation et assainissement des entrées côté serveur
16. Modifications de la présente Politique de confidentialité
Nous pouvons mettre à jour la présente Politique de confidentialité de temps à autre pour refléter les changements dans nos pratiques, notre technologie, les exigences légales ou d'autres facteurs. En cas de modifications importantes, nous :
- Mettrons à jour la date de « Dernière mise à jour » en haut de la présente politique
- Informerons les utilisateurs inscrits par email ou notification sur la plateforme en cas de changements significatifs
- Solliciterons, le cas échéant et conformément à la loi, votre consentement renouvelé avant d'appliquer les modifications à vos données
Nous vous encourageons à consulter la présente Politique de confidentialité périodiquement. Votre utilisation continue de la Plateforme après la date d'entrée en vigueur de toute modification vaut reconnaissance de la politique mise à jour.
17. Nous contacter
Si vous avez des questions, des préoccupations ou des demandes concernant la présente Politique de confidentialité ou nos pratiques de traitement des données, veuillez nous contacter :
| Demandes générales | [EMAIL] |
| Demandes relatives à la protection des données | [DPO_EMAIL] |
| Adresse postale | [RAGIONE_SOCIALE], [INDIRIZZO] |
| PEC | [PEC] |
Cette Politique de confidentialité est disponible dans les langues suivantes : English, Italiano, Deutsch, Ελληνικά, Español, Français, Polski, Português.