Politique deconfidentialité
On collecte le strict minimum, on ne le revend à personne, et vous gardez la main sur vos données. Cette page détaille comment.
Dernière mise à jour : 6 mai 2026
Responsable du traitement
Le responsable du traitement est DiagnosticPrêt, éditeur du présent site (coordonnées complètes sur la page Mentions légales).
Pour toute question relative à vos données personnelles ou pour exercer vos droits : contact@diagnosticpret.fr.
Données que nous collectons
Nous distinguons trois cas selon votre interaction avec le site :
1. Vous testez le simulateur
À la fin du simulateur, si vous choisissez de recevoir votre rapport ou d'être contacté par un courtier, nous collectons :
- Identité : prénom, email, téléphone
- Données financières : revenus mensuels, charges fixes, apport, mensualités existantes
- Données projet : type de bien, montant emprunté, durée, code postal du projet
- Données professionnelles : type de contrat, ancienneté, période d'essai
- Données comportement bancaire : incidents de paiement, découvert, épargne résiduelle
- Données techniques : empreinte IP hashée (SHA-256 tronquée, non réversible) et user-agent — pour la lutte contre le spam uniquement
2. Vous candidatez comme courtier partenaire
Sur la page /devenir-partenaire/, nous collectons :
- Identité professionnelle : nom, email professionnel, téléphone, ville d'exercice
- Profil : années d'expérience, secteur d'intervention (centre + rayon), message libre
- Données techniques : empreinte IP hashée et user-agent
3. Vous consultez simplement le site
Le site utilise Google Analytics 4 pour mesurer son audience (pages visitées, source de trafic, type d'appareil, parcours utilisateur). GA4 pose des cookies sur votre navigateur uniquement après votre acceptation explicite via le bandeau de consentement (Consent Mode v2 — par défaut tout est désactivé). Si vous refusez, aucun cookie GA4 n'est posé et aucune donnée n'est collectée.
Vous pouvez modifier votre choix à tout moment via le lien « Gérer les cookies » en pied de page.
Pourquoi nous collectons ces données (bases légales)
- Exécution d'une mesure précontractuelle (art. 6.1.b RGPD) — vous demandez un diagnostic ou une mise en relation avec un courtier : nous traitons les données nécessaires pour répondre.
- Intérêt légitime (art. 6.1.f RGPD) — sécurité du service (anti-spam via IP hashée), amélioration du score (calibration sur dossiers anonymisés).
- Consentement (art. 6.1.a RGPD) — pour vous notifier dès qu'un courtier de votre secteur rejoint le réseau (opt-in explicite via la case « Tenez-moi informé(e) »), pour la transmission ultérieure de vos coordonnées à un courtier partenaire (qui fera l'objet d'un nouveau consentement explicite), et pour les emails de nurturing si votre score est inférieur à 50.
Destinataires des données
Vos données ne sont jamais vendues. Elles peuvent être partagées avec :
- Le courtier partenaire dont la zone d'intervention couvre votre code postal — uniquement si votre score est ≥ 50, si vous avez coché l'opt-in, et lorsqu'un courtier de votre secteur aura rejoint le réseau. À ce stade, le réseau est en cours de constitution : aucun courtier ne reçoit vos coordonnées pour le moment.
- Nos sous-traitants techniques (hébergeur Vercel, base de données Neon, automatisation n8n, expéditeur d'emails Resend, mesure d'audience Google Analytics 4 — Google Ireland Limited) — strictement pour faire fonctionner le service, sous contrat de sous-traitance conforme à l'article 28 du RGPD.
- Les autorités, en cas de demande légale légitime (réquisition judiciaire, enquête fiscale).
Durées de conservation
| Donnée | Durée |
|---|---|
| Lead avec contact courtier | 3 ans après le dernier contact |
| Lead sans suite (nurturing) | 12 mois après la dernière interaction |
| Candidature courtier | 12 mois maximum |
| Données techniques (IP, UA) | 12 mois maximum |
| Données anonymisées (calibration du score) | Sans limite — non identifiables |
Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Accès — obtenir une copie des données vous concernant.
- Rectification — corriger des données inexactes ou incomplètes.
- Effacement — demander la suppression de vos données (« droit à l'oubli »).
- Opposition — refuser un traitement basé sur l'intérêt légitime.
- Limitation — geler temporairement le traitement.
- Portabilité — récupérer vos données dans un format interopérable.
- Retrait du consentement — à tout moment, sans affecter la licéité des traitements antérieurs.
Pour exercer un de ces droits : contact@diagnosticpret.fr. Nous répondons sous un mois maximum. Si la réponse ne vous satisfait pas, vous pouvez introduire une réclamation auprès de la CNIL.
Cookies et traceurs
Le site utilise deux familles de cookies :
- Cookies strictement nécessaires (sans consentement préalable) : session de connexion sur le dashboard courtier et l'admin (cookie
dp_courtier_sess, durée 8 h, HttpOnly + Secure). - Cookies de mesure d'audience Google Analytics 4 (avec consentement explicite) :
_ga,_ga_*et apparentés. Posés uniquement si vous cliquez « Accepter » sur le bandeau de consentement. Adresse IP anonymisée. Durée maximale 13 mois.
Consent Mode v2 est en place : par défaut, GA4 charge mais aucun cookie n'est posé tant que vous n'avez pas accepté. Si vous refusez, GA4 reste actif en mode « stockage refusé » — aucune donnée n'est collectée ni envoyée à Google.
Vous pouvez à tout moment modifier votre choix via le lien « Gérer les cookies » dans le pied de page.
Sécurité
Les données sont stockées dans une base PostgreSQL chiffrée au repos. Les mots de passe (courtiers, admin) sont hashés avec bcrypt. Les sessions sont signées (JWT) et transmises uniquement en cookies HttpOnly et Secure. Les communications avec le simulateur passent en HTTPS (TLS 1.3). Les empreintes IP sont hashées (SHA-256 tronquée), donc non réversibles.
Transfert hors UE
Les données fonctionnelles (leads, candidatures, comptes courtier) sont hébergées dans l'Union européenne (Vercel — région Paris ou Frankfurt ; Neon — Frankfurt). Le service d'envoi d'emails Resend traite les emails sortants depuis Dublin (Irlande).
Google Analytics 4 peut transférer des données vers les serveurs Google aux États-Unis. Google Ireland Limited s'appuie sur les Clauses Contractuelles Types (SCCs) approuvées par la Commission européenne (décision 2021/914) pour encadrer ces transferts, complétées par des mesures techniques supplémentaires (chiffrement, anonymisation IP). Vous pouvez refuser ce transfert en cliquant « Refuser » sur le bandeau de consentement.
Modifications
Cette politique peut être mise à jour pour refléter des évolutions techniques, réglementaires ou de pratiques. La date en haut de page indique la dernière révision. En cas de changement substantiel, nous notifierons les utilisateurs concernés par email.