Politique de confidentialité

S2M Consulting SAS — Éditeur du service Artisan 360 SIREN 819 859 273 · SIRET 819 859 273 00016 · TVA FR47 819859273 · RCS Paris · 10 rue des Rambervilliers, 75012 Paris, France

Version 1.0 — Dernière mise à jour : 17 avril 2026

Préambule

La présente Politique de Confidentialité a pour objet d'informer les utilisateurs (artisans) et les clients finaux dont les données sont saisies dans le Service de la manière dont S2M Consulting SAS (ci-après « nous » ou « l'Éditeur ») collecte, utilise, conserve et protège les données à caractère personnel, conformément au Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée (« Informatique et Libertés »).

Artisan 360 agit en double qualité :

Responsable de traitement des données des utilisateurs artisans (comptes, facturation de l'abonnement, support, etc.) ;
Sous-traitant (au sens de l'article 28 du RGPD) des données des Clients Finaux saisies par les artisans dans le Service (coordonnées, devis, factures, photos de chantier, etc.).

Un DPA (Data Processing Agreement) obligatoire au titre de l'article 28 RGPD est conclu automatiquement entre S2M Consulting et chaque artisan lors de l'acceptation des CGU/CGV. Il est accessible à /legal/dpa ou sur demande à dpo@artisan360.fr.

1. Identité du Responsable de traitement

Dénomination sociale : S2M Consulting
Forme juridique : Société par actions simplifiée (SAS) au capital variable
SIREN : 819 859 273
SIRET (siège) : 819 859 273 00016
RCS : Paris
N° TVA intracommunautaire : FR47 819859273
Code NAF : 7022Z
Siège social : 10 rue des Rambervilliers, 75012 Paris, France
Représentant légal : M. Tom Weisz, en qualité de Président
Contact RGPD : dpo@artisan360.fr
Site : https://artisan360.fr

2. Données collectées et traitées

Nous collectons les catégories suivantes de données :

Catégorie	Exemples de données	Origine
Identification utilisateur	Nom, prénom, email, mot de passe (haché bcrypt), téléphone, métier	Inscription, profil
Identification entreprise	Nom de l'entreprise, SIRET, SIREN, N° TVA intra, forme juridique, adresse	Inscription, paramètres
Professionnel	Numéro RCP, numéro de garantie décennale, logo, IBAN/BIC pour émission de factures	Paramètres entreprise
Facturation de l'abonnement	Moyen de paiement (géré par Stripe), historique facturation abonnement	Stripe checkout
Données Clients Finaux (saisies par l'artisan)	Nom, prénom, raison sociale, SIRET, adresse, téléphone, email	Saisie dans le Service
Données de chantier	Devis, factures, photos avec métadonnées EXIF (géolocalisation, horodatage), descriptions, références, montants	Création dans le Service
Données de signature	IP, user-agent, date, identifiant de session (horodatage des signatures de devis par les Clients Finaux)	Portail signature
Données techniques	Adresse IP, user-agent, logs de connexion, cookie de session (artisan360_token)	Navigation, API
Données IA	Contenu des demandes vocales et textuelles soumises aux modèles IA (Anthropic Claude)	Fonctionnalités IA
Données vocales	Enregistrements audio transmis pour transcription devis (Whisper-large-v3 via Groq, suppression immédiate côté Groq après transcription — zero data retention)	Utilisation de la fonctionnalité « Dicter un devis »

Données sensibles potentielles : les photos de chantier peuvent contenir par accident des personnes identifiables. L'Utilisateur artisan s'engage (via les CGU/CGV) à ne pas uploader volontairement de photos identifiantes de tiers sans consentement préalable.

3. Finalités, bases légales et durées de conservation

Finalité	Données concernées	Base légale (art. 6 RGPD)	Durée de conservation
Authentification et gestion du compte	Email, mot de passe haché, cookie JWT	Exécution du contrat (art. 6.1.b)	Durée de l'abonnement + 30 jours
Facturation de l'abonnement et comptabilité	Données facturation abonnement	Contrat + obligation légale (L. 123-22 Code de commerce)	10 ans
Fourniture du Service (devis, factures, relances clients finaux)	Données Clients Finaux, documents	Contrat (sous-traitant de l'artisan)	Durée du dossier + 10 ans (obligation comptable)
Photos de chantier — preuve de prestation	Fichiers et métadonnées EXIF	Intérêt légitime (art. 6.1.f) : preuve d'exécution, protection décennale	Durée du dossier + 10 ans
Relances email aux Clients Finaux	Coordonnées Clients Finaux	Contrat (sous-traitant)	Durée du dossier + 10 ans
Signature électronique des devis	IP, user-agent, timestamp signature	Contrat + preuve	Durée du dossier + 10 ans
Support utilisateur et tickets	Messages, emails	Exécution du contrat	3 ans après dernière interaction
Amélioration produit (analyses anonymisées)	Données d'usage anonymisées ou pseudonymisées	Intérêt légitime (art. 6.1.f)	24 mois
Détection de fraude et sécurité	Logs techniques (IP, user-agent)	Obligation légale (L. 34-1 CPCE) + intérêt légitime	12 mois
Fonctionnalités IA	Requêtes soumises aux modèles IA	Contrat	Durée de la session ; minimisation immédiate, pas de conservation permanente côté sous-traitant IA

Précisions sur la conservation post-résiliation :

La mention « Durée de l'abonnement + 30 jours » appliquée aux données d'authentification et de compte recouvre la suppression effective des données. Afin de permettre à l'Utilisateur de récupérer ses données avant destruction, un accès en lecture et un droit d'export sont maintenus pendant 90 jours à compter de la résiliation (cf. CGU §10.3 et §14.3). La suppression effective intervient à l'issue de cette période d'export, soit environ 120 jours maximum après résiliation, à l'exception des documents soumis à obligation légale de conservation (notamment factures et documents comptables : 10 ans, art. L. 123-22 du Code de commerce).

4. Destinataires et sous-traitants (art. 28 RGPD)

Les données peuvent être communiquées aux sous-traitants suivants, tous liés par contrat (DPA ou SCCs) :

Sous-traitant	Rôle	Localisation	Garanties
S2M Consulting / Friday	Hébergement de l'application	France	Serveurs dédiés sous administration directe
Hostinger International Ltd.	Hébergement et gestion des noms de domaine	Chypre (UE)	Conforme RGPD, contrat de sous-traitance
Brevo (SendinBlue SAS)	Envoi d'emails transactionnels, relances	France	DPA Brevo conforme, données en UE
Stripe Payments Europe Ltd / Stripe Inc.	Traitement des paiements abonnement	Irlande (UE) + États-Unis	SCCs 2021/914, certifications PCI-DSS
Anthropic (Claude)	Fonctionnalités IA	États-Unis	SCCs 2021/914, minimisation et pas d'entraînement sur les données utilisateur
Groq Inc.	Transcription vocale pour création de devis (Whisper-large-v3)	États-Unis	SCCs 2021/914, zero data retention, pas d'entraînement sur les données utilisateur

Transferts hors UE : en cas de recours à des sous-traitants établis hors UE (Stripe, Anthropic, Groq), les transferts sont encadrés par les Clauses Contractuelles Types de la Commission européenne (SCCs 2021/914) et par les mesures supplémentaires appropriées.

Aucune donnée n'est vendue, louée ou communiquée à des fins de prospection commerciale par des tiers.

La liste détaillée et à jour des sous-traitants est disponible sur demande à dpo@artisan360.fr.

5. Vos droits (art. 15 à 22 RGPD)

Vous disposez des droits suivants à l'égard de vos données personnelles :

Droit d'accès (art. 15)
Droit de rectification (art. 16)
Droit à l'effacement (art. 17) — « droit à l'oubli », sous réserve des obligations légales de conservation (documents comptables : 10 ans)
Droit à la limitation du traitement (art. 18)
Droit à la portabilité (art. 20) — export des données en CSV/JSON
Droit d'opposition (art. 21)
Droit de ne pas faire l'objet d'une décision entièrement automatisée (art. 22) — les fonctionnalités IA produisent des suggestions ; l'artisan reste décideur final
Droit de retirer son consentement lorsque le traitement est fondé sur le consentement

Modalités d'exercice

Via l'interface : export de données et suppression de compte accessibles depuis les paramètres ;
Par email à dpo@artisan360.fr avec justificatif d'identité ;
Délai de réponse : un mois à compter de la réception de la demande, extensible à trois mois pour les demandes complexes (art. 12 RGPD).

Pour les Clients Finaux de l'artisan

Les Clients Finaux dont les données sont saisies par un artisan dans le Service doivent, en premier lieu, contacter l'artisan (responsable de traitement pour ces données). L'Éditeur, en qualité de sous-traitant, n'agit qu'à la demande et sur instruction de l'artisan, sauf obligation légale.

Recours

Vous pouvez introduire une réclamation auprès de la CNIL : 3 place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07 — www.cnil.fr/plaintes.

6. Sécurité des données (art. 32 RGPD)

Nous mettons en œuvre les mesures techniques et organisationnelles suivantes :

Transit : HTTPS / TLS 1.3 sur toutes les connexions ;
Repos : chiffrement de la base de données PostgreSQL ;
Authentification : mots de passe hachés avec bcrypt (cost 12), cookies JWT HttpOnly + Secure + SameSite=Lax ;
Vérification email : double opt-in avec token expirant ;
Protection contre le brute force : rate limiting de 7 tentatives de connexion par IP et par fenêtre de 15 minutes ;
Sauvegardes : sauvegardes quotidiennes avec rotation, restauration testée périodiquement ;
Minimisation : collecte limitée aux données nécessaires à chaque finalité ;
Contrôle d'accès : isolation stricte par organisation (multi-tenant), contrôle d'accès côté serveur sur toutes les routes API ;
Notification : en cas de violation de données, notification à la CNIL sous 72 heures (art. 33) et information des personnes concernées en cas de risque élevé (art. 34).

7. Cookies

Seuls des cookies strictement nécessaires au fonctionnement du Service sont utilisés, sans recueil de consentement supplémentaire requis selon les recommandations CNIL :

Cookie	Finalité	Durée	Type
`artisan360_token`	Authentification de la session	30 jours	HttpOnly, Secure, SameSite=Lax

Aucun traceur publicitaire ni analytique non essentiel n'est déployé à ce jour. Si de tels traceurs devaient être ajoutés ultérieurement, une bannière de consentement conforme CNIL serait mise en place.

8. Mineurs

Le Service est exclusivement réservé aux professionnels âgés de 18 ans et plus. Aucune donnée de mineur n'est collectée volontairement. Si un parent ou représentant légal constate qu'un mineur a fourni des données, il est invité à nous contacter à dpo@artisan360.fr pour effacement.

9. Modifications de la Politique

Nous nous réservons le droit de modifier la présente Politique. Toute modification substantielle est notifiée par email ou via l'interface au moins 30 jours avant son entrée en vigueur. L'historique des versions est conservé et accessible sur demande à dpo@artisan360.fr.

10. Contact

Délégué RGPD / Protection des données : dpo@artisan360.fr
Support général : contact@artisan360.fr
Sécurité (divulgation responsable) : security@artisan360.fr

S2M Consulting SAS

10 rue des Rambervilliers, 75012 Paris, France

Fin de la Politique de Confidentialité Artisan 360 — v1.0 — 17 avril 2026

CGU/CGV·Confidentialité·DPA RGPD·Mentions légales