Politique de confidentialité

La présente Politique de confidentialité décrit la manière dont TALQOR (ci-après « TALQOR » ou « le Service ») collecte, utilise, stocke et protège les données personnelles dans le cadre de son service. Elle est conforme au Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée, dite « Informatique et Libertés ».

Le responsable de traitement est Jessi Pacaud, entrepreneur individuel, exerçant son activité sous le nom commercial « TALQOR ». Pour toute demande relative à vos données personnelles : contact@talqor.fr.

Conformément à la réglementation en vigueur, l'entrepreneur individuel n'est pas tenu de désigner un délégué à la protection des données (DPO). Toutes les demandes RGPD sont traitées directement par le responsable de traitement à l'adresse ci-dessus, dans un délai maximum d'un (1) mois.

Les données traitées par TALQOR se répartissent en cinq familles :

• Données de compte : nom, prénom, email, mot de passe (chiffré via bcrypt par Supabase Auth), photo de profil, raison sociale ou nom commercial, zone d'activité, spécialités immobilières. Collectées au signup et au cours de l'onboarding.
• Données d'intégrations OAuth : jetons d'accès (chiffrés AES-256 au repos), identifiants de comptes connectés (ID utilisateur Meta, ID compte Instagram Business, ID Page Facebook, URN LinkedIn, identifiant Google), nom affiché du compte, emails associés. Stockés uniquement pour permettre les actions explicitement demandées par l'utilisateur (publication programmée, lecture d'agenda, envoi d'email, etc.).
• Données métier (dossiers, contacts, contenus) :informations sur les biens immobiliers, vendeurs, acquéreurs, prospects, événements de calendrier, échanges email/WhatsApp, photos de propriétés, posts programmés et publiés. Saisies par l'utilisateur ou importées via les intégrations qu'il connecte.
• Données techniques : logs de connexion (IP, user agent, horodatage), métriques d'usage anonymisées, logs des appels aux modèles d'IA (anonymisés et nécessaires au support et à la facturation des appels).
• Cookies strictement nécessaires : cookie de session d'authentification, cookies CSRF temporaires (5 minutes) pendant les flux OAuth. Aucun cookie publicitaire ni de tracking tiers.

Lorsque vous connectez un service externe à TALQOR via OAuth, vous autorisez TALQOR à accéder à un ensemble limité de données et de permissions précisé dans l'écran de consentement de chaque plateforme. TALQOR n'utilise ces accès que pour exécuter les actions que vous demandez.

• Meta (Instagram + Facebook) : permissionsinstagram_business_basic, instagram_business_content_publish, pages_show_list, pages_read_engagement, pages_manage_posts, business_management. Données collectées : ID utilisateur Meta, identifiant Page, identifiant Instagram Business, nom de Page, jetons d'accès. Usage : publication des posts programmés sur la Page Facebook et le compte Instagram que vous sélectionnez. Aucun envoi de données Meta vers des tiers.
• LinkedIn : scopes openid, profile, email, w_member_social. Données collectées : nom, email, photo, URN du profil, jeton d'accès. Usage : publication des posts programmés sur votre profil LinkedIn.
• Google (Gmail + Calendar + Drive) : scopes lus à l'écran de consentement Google. Usage : lecture du calendrier pour détecter les rendez-vous, classement automatique d'emails entrants, import de documents stockés sur Drive.
• WhatsApp Business (Meta Cloud API) : envoi des messages clients (rappels, anniversaires) que vous activez explicitement.

Vous pouvez à tout moment révoquer ces accès depuis les paramètres de chaque plateforme (Facebook → Apps autorisées, LinkedIn → Apps connectées, Google → Sécurité → Apps tierces) ou directement dans TALQOR via Paramètres → Intégrations → Déconnecter.

TALQOR fait appel à des sous-traitants dûment encadrés par des accords de traitement de données (DPA) conformes à l'article 28 du RGPD :

• Hébergement applicatif : Vercel Inc. (USA — sous Clauses Contractuelles Types).
• Base de données : Supabase Inc. via région eu-central-1 (UE — Allemagne).
• Stockage objet (photos, documents) : Cloudflare R2 (UE).
• Modèles d'IA : Anthropic PBC (USA — Claude), OpenAI L.L.C. (USA — GPT-4 et GPT-image-1), Google AI Studio (USA — Gemini). Les données envoyées à ces modèles sont strictement limitées au contexte nécessaire à la génération demandée. Aucun jeton OAuth, aucune donnée de paiement ni information bancaire n'est jamais transmis à ces modèles.
• API Meta (Instagram, Facebook, WhatsApp) : Meta Platforms Ireland Limited (Irlande).
• API LinkedIn : LinkedIn Ireland Unlimited Company (Irlande).
• API Google : Google Ireland Limited (Irlande).
• Enrichissement de marque (logos, couleurs) : Brandfetch (UE — Suisse, jugée adéquate par la Commission européenne).

Les transferts hors UE (Vercel, Anthropic, OpenAI, Google AI) sont encadrés par les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne ou par toute autre garantie appropriée. La liste détaillée des sous-traitants est disponible sur demande à contact@talqor.fr.

Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :

• Droit d'accès : obtenir une copie des données vous concernant.
• Droit de rectification : corriger des données inexactes ou incomplètes.
• Droit à l'effacement (« droit à l'oubli ») : demander la suppression de vos données, sous réserve des obligations légales de conservation.
• Droit à la limitation du traitement : geler le traitement de vos données dans certains cas.
• Droit à la portabilité : récupérer vos données dans un format structuré et lisible (JSON / CSV).
• Droit d'opposition : vous opposer au traitement fondé sur l'intérêt légitime.
• Droit de retirer votre consentement à tout moment pour les traitements basés sur le consentement.
• Droit d'introduire une réclamation auprès de la CNIL ( www.cnil.fr).

Pour exercer ces droits, écrivez à contact@talqor.fr. Nous répondons sous un délai maximum d'un (1) mois.

Si vous avez connecté votre compte Instagram ou Facebook à TALQOR et souhaitez que nous supprimions toutes les données associées, vous disposez de deux options :

1. Depuis TALQOR : Paramètres → Intégrations → cliquer sur « Déconnecter » pour Instagram et/ou Facebook. La déconnexion purge immédiatement les jetons d'accès et les identifiants de compte associés.
2. Depuis Facebook : Paramètres → Sécurité → Applications autorisées → TALQOR → Supprimer. Meta enverra alors automatiquement à TALQOR une notification de suppression que nous traiterons sous 24 heures. Vous recevrez un code de confirmation accessible à l'URL /data-deletion-status?code=....

Le retrait Meta n'affecte que les intégrations Meta. Pour supprimer également votre compte TALQOR ou vos autres intégrations, contactez-nous à contact@talqor.fr.

TALQOR met en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre la perte, l'accès non autorisé, la divulgation, l'altération ou la destruction. En particulier :

• Chiffrement TLS 1.3 sur tous les échanges, chiffrement au repos (AES-256-GCM) sur les jetons OAuth.
• Mots de passe hashés via bcrypt par Supabase Auth — jamais stockés en clair.
• Isolation par workspace via Row-Level Security PostgreSQL — chaque utilisateur ne voit que ses propres données.
• Audit log des actions sensibles, conservé 13 mois.
• Sauvegardes journalières chiffrées, restauration testée régulièrement.
• Accès aux données de production restreint au strict minimum nécessaire à la maintenance du Service.

TALQOR n'utilise que des cookies strictement nécessaires au fonctionnement du Service :

• Cookie de session (Supabase Auth) — durée de la session utilisateur, indispensable à l'authentification.
• Cookies CSRF temporaires (5 minutes) pendant les flux OAuth (Google, Meta, LinkedIn) pour prévenir les attaques par requête forgée.
• Cookie de parrainage talqor_ref (90 jours) si l'utilisateur arrive via un lien d'invitation.

Aucun cookie publicitaire, aucun cookie de tracking tiers, aucune revente de données d'usage. Aucun consentement préalable n'est requis pour les cookies strictement nécessaires (article 82 de la loi Informatique et Libertés, exemption ePrivacy).

Lorsque vous saisissez dans TALQOR des informations sur des tiers (vendeurs, acquéreurs, prospects, contacts importés depuis vos dossiers), vous agissez en qualité de responsable de traitement et TALQOR en qualité de sous-traitant.

À ce titre, vous vous engagez à informer ces tiers de l'usage de leurs données via TALQOR et à recueillir, le cas échéant, leur consentement. TALQOR met à votre disposition les outils nécessaires à l'exercice des droits RGPD par ces personnes (export, suppression ciblée).

Le Service est destiné exclusivement à des professionnels de l'immobilier majeurs. TALQOR ne collecte pas sciemment de données personnelles concernant des personnes de moins de 13 ans. Si vous êtes parent ou tuteur et pensez qu'un mineur nous a transmis des données, écrivez à contact@talqor.fr pour suppression immédiate.

La présente Politique peut évoluer pour refléter des changements légaux, techniques ou de service. Toute modification substantielle sera notifiée par email avec un préavis raisonnable et publiée sur cette page. La date de dernière mise à jour est affichée en haut du document.