Prolio

Politique de confidentialité

Dernière mise à jour: 2026-04-22

Cette traduction est fournie à titre informatif. La version espagnole sur /es/legal/privacidad prévaut en cas de divergence.

1. Responsable du traitement

L'entité juridique est en cours de constitution ; jusqu'à son enregistrement, le promoteur du service est responsable de traitement au sens du RGPD. Les données d'identification finales seront publiées dès l'enregistrement.

  • Responsable : [TODO-ENTITE-LEGALE] (entité en formation — avis visible en pied de page).
  • NIF : [TODO-NIF]
  • Adresse : [TODO-ADRESSE]
  • Email vie privée : privacidad@prolio.co
  • Pas de DPO désigné : Prolio n'effectue pas de traitement à grande échelle de catégories particulières ni de suivi systématique au sens de l'art. 37 RGPD. À réévaluer à la croissance.

2. Données traitées

  • Fiches pré-chargées (non revendiquées) : nom commercial, activité, ville, adresse professionnelle, téléphone et email pro, site, numéro d'ordre public, coordonnées approximatives, notes publiques. Sources : ordres professionnels, BORME, open data régional, OpenStreetMap, Google Places.
  • Fiches revendiquées : en plus, email du compte, mot de passe haché, données volontaires et preuves de revendication.
  • Leads : nom, email, téléphone (optionnel), message.
  • Visiteurs : données techniques strictement nécessaires et, avec consentement, métriques d'analyse.

3. Minimisation et visibilité réduite avant revendication

Principe de minimisation (art. 5.1.c RGPD). Pour les fiches non revendiquées : (a) seules les données professionnelles strictement nécessaires ; (b) email et téléphone révélés après clic explicite ; (c) pas de NIF/CIF de personnes physiques ; (d) uniquement adresses professionnelles ; (e) suppression immédiate sur demande.

4. Finalités et base légale (art. 6 RGPD)

  • Annuaire professionnel public (fiches non revendiquées) — intérêt légitime (art. 6.1.f), avec test de mise en balance documenté (section 5).
  • Transmission des leads — exécution du service (art. 6.1.b) et intérêt légitime du professionnel destinataire.
  • Authentification, revendication, gestion — contrat (art. 6.1.b).
  • Sécurité et prévention de l'abus — intérêt légitime (art. 6.1.f).
  • Analytique (GA4, PostHog) — consentement explicite (art. 6.1.a).
  • Obligations légales — art. 6.1.c.

5. Test de mise en balance (LIA)

  • Finalité : annuaire fiable, réduction d'asymétrie d'information, visibilité pour indépendants et PME.
  • Nécessité : masse critique initiale impossible sans pré-chargement de données déjà publiques.
  • Pondération : données professionnelles, publiques, minimales ; mécanismes d'opposition/suppression/opt-out en un clic ; pas de décision automatisée à effet juridique.
  • Mesures compensatoires : contact masqué, pas de pub/remarketing, lien d'opt-out permanent, formulaire public, délai légal d'un mois, effacement définitif sur demande.

6. Durées de conservation

  • Fiches non revendiquées : tant qu'elles restent pertinentes ou jusqu'à demande — suppression sous 30 jours.
  • Fiches revendiquées : durée de la relation + prescriptions (jusqu'à 6 ans).
  • Leads : 24 mois.
  • Tokens opt-out : 90 jours.
  • Logs de consentement cookies : 24 mois.
  • Logs techniques : 12 mois.
  • Données de facturation (Stripe actif) : 6 ans.

7. Sous-traitants

  • Supabase (Francfort/Irlande) — EEE.
  • Vercel Inc. — USA, CCS.
  • Google LLC (Places API) — USA, CCS.
  • Google Analytics 4 (avec consentement) — USA, CCS.
  • PostHog Inc. us.i.posthog.com (avec consentement) — USA, CCS.
  • Stripe Payments Europe Ltd. (à l'activation) — Irlande, sous-traitant USA sous CCS.
  • Resend, Inc. (à l'activation) — USA, CCS.
  • Anthropic PBC (à l'activation) — USA, CCS ; les prompts n'incluent pas de PII d'utilisateur final.

8. Transferts internationaux

Plusieurs sous-traitants sont hors EEE (principalement USA). CCS de juin 2021, DPF UE-US le cas échéant, chiffrement TLS, chiffrement au repos, choix de région UE quand possible.

9. Vos droits

Droits d'accès, rectification, effacement, opposition, limitation, portabilité, retrait du consentement à tout moment. Exercice via privacidad@prolio.co ou /fr/ejercer-derechos. Réponse sous un mois.

Vérification d'identité proportionnée lorsque la demande concerne des données non associées à l'email émetteur.

Réclamation possible auprès de l'AEPD (www.aepd.es) ou de la CNIL.

10. Sécurité et notification

Mesures techniques et organisationnelles (art. 32 RGPD) : TLS, chiffrement au repos, moindre privilège, journaux d'audit. Notification à l'AEPD sous 72h (art. 33), aux personnes concernées en cas de risque élevé (art. 34).

11. Décisions automatisées

Pas de décision uniquement automatisée à effet juridique. Les classements sont informatifs.

12. Mineurs

Service non destiné aux mineurs de moins de 14 ans. Suppression immédiate si détection.

13. Modifications

Politique susceptible d'être mise à jour. Les changements substantiels déclenchent une nouvelle demande de consentement cookies.