Politique de Confidentialité
Dernière Mise à Jour: 13 août 2025
1) Qui est responsable ?
- Responsable de traitement : MAYPOP CO (SASU), RCS Paris n° 900 901 919, siège : 403 B rue de Vaugirard, 75015 Paris, France.
- Contact vie privée : privacy@rentalpass.co
- DPO / Référent RGPD : mathieu@rentalpass.co
- Champ d’application : cette politique couvre le site rentalpass.co et l’application associée (RentalPass) édités par Maypop Co.
2) À qui s’adresse cette politique ?
- Bailleurs / Professionnels utilisateurs du Service.
- Candidats dont le dossier est analysé via le Service.
- Visiteurs du site.
3) Finalités et bases légales
| Finalité | Données principales | Base légale |
|---|---|---|
| Création et gestion de compte Bailleur/Pro | identité, contact, société, paramètres, logs | Exécution du contrat (art. 6-1-b) |
| Analyse d’un dossier Candidat (scoring, rapport) | identité, pièces justificatives, données bancaires lecture seule via AISP | Consentement du Candidat pour la connexion bancaire (art. 6-1-a) + exécution du contrat avec le Bailleur (art. 6-1-b) |
| Lutte contre la fraude, sécurité, prévention des abus | logs, empreintes techniques, historiques d’accès | Intérêt légitime (art. 6-1-f) |
| Support client et communications de service | identité, contact, contenu des échanges | Exécution du contrat / Intérêt légitime |
| Facturation, comptabilité, conformité | identité pro, factures, paiements | Obligation légale |
| Amélioration du Service / statistiques | données d’usage agrégées/anonymisées | Intérêt légitime |
| Prospection B2B (emails pro) | identité pro, contact | Intérêt légitime (opt-out) |
4) Catégories de données traitées
4.1 Bailleurs / Professionnels
Identité, coordonnées, société/fonction, préférences, historique d’usage, logs de connexions, facturation.
4.2 Candidats
- Identité, coordonnées, pièces justificatives (ex. justificatifs de revenus, bail antérieur), données bancaires en lecture seule (soldes, transactions, IBAN) via AISP (Powens), score/rapport.
- Données sensibles : nous ne recherchons pas de catégories particulières (santé, opinions…). Si des mentions sensibles apparaissent incidemment dans les libellés de transactions, nous appliquons la minimisation et n’utilisons pas ces éléments dans le scoring.
4.3 Visiteurs
Cookies/traceurs (voir §12), adresses IP, identifiants techniques, pages vues.
5) Origine des données
- Fournies par vous (Bailleur/Pro, Candidat).
- Open Banking via AISP (Powens) : données bancaires en lecture seule, après consentement explicite du Candidat et authentification forte auprès de sa banque dans l’interface de Powens.
- Générées par l’usage (logs, événements applicatifs).
6) Rôles et responsabilités (Powens, banques, PSP)
- Powens (AISP) : pour l’authentification bancaire et ses obligations réglementaires Powens agit en qualité de responsable de traitement indépendant. Pour la transmission des données en lecture seule que nous lui demandons dans le cadre de nos instructions, Powens agit en sous-traitant. (Référez-vous à la politique de confidentialité de Powens.)
- Établissements bancaires : responsables de traitement pour leurs propres traitements et la mise à disposition des données.
- PSP (paiements d’abonnement) : responsable de traitement pour la collecte des paiements selon sa politique.
- Maypop Co : responsable de traitement pour l’exploitation des données reçues dans le Service.
7) Avec qui partageons-nous vos données ? (destinataires)
Sous-traitants (au sens RGPD), strictement nécessaires au Service :
- AISP : Powens (Budget Insight / Powens SA) — agrégation bancaire.
- Base de données : Neon hébergé sur AWS à Frankfort
- Site Web : Vercel qui utilise AWS (sans localisation spécifique)
- Stockage des fichiers : AWS
- CDN : Cloudflare
- Email : Zoho
- PSP : Stripe
- Tracking : Google Analytics
- Bailleur/Pro : réceptionne les éléments nécessaires à la décision locative (rapport/score, justificatifs autorisés).
- Autorités : uniquement en cas d’obligation légale ou de décision judiciaire.
Nous ne vendons pas vos données.
8) Transferts hors UE/EEE
- Nous privilégions des hébergements en UE.
- Si un sous-traitant est situé hors UE/EEE (ou y transfère des données), nous utilisons des Clauses Contractuelles Types (SCC) et, si nécessaire, des mesures complémentaires (chiffrement, pseudonymisation, restrictions d’accès).
- Les informations sur les transferts et sous-traitants sont tenues à jour ici : [URL page “Sous-traitants & transferts”].
9) Durées de conservation (recommandations par défaut)
| Donnée | Durée |
|---|---|
| Compte Bailleur/Pro | Durée du contrat + 5 ans (preuve / prescription) |
| Dossier Candidat non retenu | 12 mois après décision |
| Dossier Candidat retenu | 24 mois après décision (puis anonymisation) |
| Logs techniques & sécurité | 12 mois |
| Tokens/consentements AISP | Durée strictement nécessaire (ex. ≤ 90 jours ou selon Powens) |
| Facturation/comptabilité | 10 ans (obligation légale) |
Ces durées peuvent varier selon obligations légales, contentieux, ou paramétrage client ; au-delà, les données sont supprimées ou anonymisées.
10) Décisions automatisées & profilage (art. 22 RGPD)
- Le Service peut calculer un score à partir de données en lecture seule et justificatifs.
- Effets juridiques : la décision d’accepter/refuser un Candidat est prise par le Bailleur ; RentalPass ne décide pas à sa place.
- Vos droits : vous pouvez demander une intervention humaine, exprimer votre point de vue et contester une décision reposant exclusivement sur l’automatisation.
11) Vos droits (RGPD)
- Accès à vos données ; rectification ; effacement (“droit à l’oubli”) ; limitation ; opposition (y compris à la prospection B2B) ; portabilité (données que vous nous avez fournies).
- Retrait du consentement à tout moment pour la connexion bancaire via Powens (sans effet rétroactif).
- Directives post-mortem (France).
- Exercice de vos droits : privacy@rentalpass.co (+ justificatif d’identité en cas de doute).
- Réclamation auprès de l’autorité de contrôle : CNIL.
12) Cookies & traceurs (e-Privacy)
- Essentiels (fonctionnement, sécurité) : déposés sans consentement.
- Mesure d’audience : [Matomo/Plausible] (sans cookie si paramétré) ou sur consentement si traçants.
- Marketing / tiers : sur consentement.
- Bandeau conforme : Accepter / Refuser / Paramétrer ; la preuve du consentement est conservée ; retrait aussi simple que l’accord.
- Gérer vos préférences : [URL / bouton “Préférences cookies”].
- Liste et durée des cookies/traceurs : [URL politique cookies] (ou tableau intégré si unique page).
13) Sécurité
- Mesures techniques et organisationnelles appropriées : chiffrement en transit/au repos, cloisonnement, contrôle d’accès, journalisation, sauvegardes, gestion de vulnérabilités, tests.
- Les identifiants bancaires sont saisis uniquement sur l’interface de Powens ; ils ne transitent pas par nos systèmes.
- Procédure de notification des violations : en cas de violation de données personnelles, nous notifierons la CNIL sous 72 h lorsque requis et, si le risque est élevé, les personnes concernées.
14) Mineurs
Le Service vise des majeurs. Si un mineur accède au Service : en France, le consentement numérique autonome est admis à partir de 15 ans ; en-dessous, un consentement parental est requis pour les traitements fondés sur le consentement.
15) Où vos données sont-elles stockées ?
Principalement dans l’Union européenne chez [Hébergeur]. Des sauvegardes et services auxiliaires peuvent impliquer des prestataires listés au §7 / page “Sous-traitants”.
16) Sous-traitants : liste tenue à jour
Nous maintenons une liste à jour des sous-traitants (nom, service, pays/UE, base de transfert) accessible ici : [URL page Sous-traitants]. Nous vous informerons en amont des changements significatifs lorsque requis.
17) Bases contractuelles et documentation
- Contrats de sous-traitance conformes à l’art. 28 RGPD avec nos prestataires.
- Analyses d’impact (AIPD/DPIA) réalisées lorsqu’un traitement présente un risque élevé.
- Registre des traitements tenu par Maypop Co.
18) Comment nous contacter ?
- Pour toute question ou exercice de droits : privacy@rentalpass.co
- Courrier : MAYPOP CO — Privacy, 403 B rue de Vaugirard, 75015 Paris, France.
19) Modifications de cette politique
Nous pouvons mettre à jour cette politique. La date de mise à jour figure en en-tête ; nous notifierons les changements matériels par email/notification in-app. L’usage du Service après notification vaut prise de connaissance.