Politique de confidentialité

Dernière mise à jour : 30 avril 2026

La présente politique décrit la manière dont CEPVAM SASU, éditrice du service LAVARANG, collecte, utilise et protège vos données personnelles, conformément au RGPD (Règlement UE 2016/679) et à la loi Informatique et Libertés du 6 janvier 1978 modifiée.

1. Responsable du traitement

CEPVAM SASU, éditeur du service lavarang.fr, est responsable du traitement de vos données personnelles au sens de l'article 4.7 du RGPD.

Les informations d'immatriculation (SIRET, siège social, RCS) sont disponibles sur la page Mentions légales.

Référent protection des données :

Pour exercer vos droits ou pour toute question relative à la protection de vos données : privacy@lavarang.fr

2. Données collectées et finalités

2.1 Données de compte utilisateur

Adresse e-mail (identifiant de connexion)
Mot de passe (haché avec Argon2id — non lisible, non récupérable)
Nom de l'organisation
Type de plan souscrit

Base légale : Exécution du contrat (art. 6.1.b RGPD) — nécessaire pour créer et gérer votre compte.

2.2 Données de gestion locative

Toutes les données saisies dans LAVARANG (informations sur les biens immobiliers, données locataires, montants de loyers, dates de bail, documents) sont chiffrées avec AES-256-GCM avant stockage en base de données, avec une clé dérivée par utilisateur (HKDF).

Les champs suivants sont obligatoirement chiffrés : IBAN, RIB, coordonnées bancaires, numéros de sécurité sociale et tout champ fiscal ou personnel sensible. LAVARANG ne peut pas accéder à ces données en clair sans la clé dérivée de votre compte.

Base légale : Exécution du contrat (art. 6.1.b RGPD).

2.3 Données de facturation

Les paiements sont traités par Stripe. LAVARANG ne stocke aucune donnée de carte bancaire sur ses propres serveurs. Nous conservons uniquement les identifiants de transaction Stripe, le plan souscrit, les dates de facturation et les montants, nécessaires à l'émission des factures.

Base légale : Exécution du contrat et obligation légale (art. 6.1.b et 6.1.c RGPD).

2.4 Données techniques et logs de sécurité

Adresses IP (logs serveur — sécurité et détection d'abus)
Horodatages des connexions et des actions significatives
User-Agent du navigateur
Tokens CSRF (rotation à chaque requête, non persistés)

Base légale : Intérêt légitime (art. 6.1.f RGPD) — sécurité, prévention de la fraude et protection contre les attaques.

2.5 Données analytiques (Umami Analytics)

LAVARANG utilise Umami Analytics, un outil open-source auto-hébergé sur nos propres serveurs en France. Umami ne dépose aucun cookie et ne collecte aucune donnée personnelle identifiable. Les données mesurées sont exclusivement agrégées et anonymisées.

LAVARANG collecte également, lors de l'inscription, les paramètres UTM éventuellement présents dans l'URL (utm_source, utm_medium, utm_campaign). Ces paramètres ne constituent pas des données personnelles et sont utilisés exclusivement à des fins d'analyse de l'efficacité des campagnes d'acquisition internes.

Base légale : Intérêt légitime (art. 6.1.f RGPD) — amélioration du service sur statistiques anonymes agrégées.

2.6 Données spécifiques — Plan SCI

Pour les utilisateurs du plan SCI, LAVARANG traite en sus les données relatives aux co-gestionnaires invités (adresse e-mail, rôle) et aux quotes-parts de chaque associé. Base légale : exécution du contrat (art. 6.1.b RGPD).

2.7 Données spécifiques — Plan Régie

Pour les utilisateurs du plan Régie, LAVARANG traite en sus les données relatives aux organisations mandantes et à leurs biens. L'utilisateur Régie est responsable de traitement vis-à-vis de ses propres mandants ; LAVARANG agit en qualité de sous-traitant au sens de l'art. 28 RGPD pour ces données.

Tout accès aux données d'une organisation mandante génère une entrée dans le journal d'audit cross-organisation, conservé 12 mois, à des fins de traçabilité et de conformité loi Hoguet.

3. Durées de conservation

Catégorie de données	Durée	Motif
Données de compte (actif)	Durée de l'abonnement	Exécution du contrat
Données de compte (après résiliation)	30 jours, puis archivage 3 ans	Réactivation possible + prescription commerciale
Données de gestion locative (biens, locataires)	30 jours après résiliation	Export possible, puis suppression définitive
Données de facturation	10 ans	Obligation comptable (Code de Commerce, art. L123-22)
Logs techniques et de sécurité	12 mois	Sécurité, investigation incidents (LCEN art. 6 II)
Journal d'audit cross-org (Régie)	12 mois	Traçabilité et conformité loi Hoguet
Statistiques Umami (anonymes)	Sans limitation	Données anonymes — exemption CNIL
Hash SHA-256 de l'e-mail (post-suppression)	90 jours après anonymisation	Protection anti-abus — intérêt légitime (Art. 6(1)(f) RGPD)

Conservation post-suppression de compte

Lorsque vous demandez la suppression de votre compte (Art. 17 RGPD), vos données sont anonymisées dans un délai de 30 jours. À l'issue de ce délai, une empreinte SHA-256 de votre adresse e-mail est conservée pendant 90 jours supplémentaires dans le seul but d'empêcher les inscriptions abusives. Cette empreinte est unidirectionnelle et ne permet pas de retrouver votre adresse e-mail. Base légale : intérêt légitime de l'opérateur (Art. 6(1)(f) RGPD).

4. Destinataires des données

Vos données peuvent être communiquées aux sous-traitants techniques suivants, dans le strict cadre de la fourniture du Service :

Hébergeur (France) : Serveur privé virtuel situé en France (UE). Les données sont stockées et traitées exclusivement sur le territoire français.
Stripe Inc. (États-Unis) : Traitement des paiements, couvert par les Clauses Contractuelles Types (CCT) approuvées par la Commission Européenne (art. 46 RGPD). LAVARANG ne stocke aucune donnée bancaire sur ses serveurs.
Service d'e-mails transactionnels (UE) : Envoi des notifications, confirmations et factures. Prestataire localisé dans l'Union Européenne.

Aucune donnée n'est vendue à des tiers. Aucune donnée n'est transmise à des partenaires à des fins publicitaires.

5. Sécurité des données

LAVARANG met en œuvre les mesures techniques et organisationnelles suivantes :

Chiffrement des données sensibles : AES-256-GCM avec clé dérivée par utilisateur (HKDF).
Hachage des mots de passe : Argon2id (résistant aux attaques par force brute et GPU).
Authentification : JWT à courte durée de vie dans des cookies httpOnly (inaccessibles au JavaScript), avec protection CSRF double-submit.
Protection contre les abus : Limitation du débit (rate limiting) sur les endpoints sensibles.
Isolation des données : Chaque organisation dispose d'un espace isolé (tenant) ; l'accès aux données d'une autre organisation est techniquement impossible sans mandat explicite (Régie).
Transport chiffré : Toutes les communications entre votre navigateur et nos serveurs sont chiffrées via TLS 1.3.

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, LAVARANG s'engage à vous en informer dans les 72 heures conformément à l'art. 34 RGPD.

6. Transferts hors Union Européenne

Le traitement des paiements est assuré par Stripe Inc. (États-Unis). Ce transfert est encadré par les Clauses Contractuelles Types (CCT) adoptées par la Commission Européenne (décision 2021/914), conformément à l'art. 46 RGPD.

Aucune autre donnée n'est transférée hors de l'Union Européenne.

7. L'utilisateur, responsable de traitement pour ses locataires

En utilisant LAVARANG, vous saisissez des données personnelles relatives à vos locataires. Dans ce cadre, vous agissez en qualité de responsable de traitement au sens de l'art. 4.7 RGPD, et LAVARANG en qualité de sous-traitant (art. 4.8 RGPD).

À ce titre, vous êtes responsable :

D'informer vos locataires de la collecte et du traitement de leurs données.
De ne collecter que les données strictement nécessaires à la gestion locative.
De répondre à leurs demandes d'exercice de droits RGPD.
De respecter les durées de conservation légales applicables.

8. Vos droits (art. 15 à 22 RGPD)

Conformément au RGPD, vous disposez des droits suivants sur vos données :

→Droit d'accès (art. 15) : Obtenir une copie de vos données personnelles traitées par LAVARANG.
→Droit de rectification (art. 16) : Corriger des données inexactes ou incomplètes.
→Droit à l'effacement (art. 17) : Demander la suppression de vos données, sous réserve des obligations légales de conservation.
→Droit à la portabilité (art. 20) : Recevoir vos données dans un format structuré, lisible par machine (JSON/CSV).
→Droit d'opposition (art. 21) : Vous opposer à un traitement fondé sur l'intérêt légitime.
→Droit à la limitation (art. 18) : Demander la suspension temporaire d'un traitement contesté.

Comment exercer vos droits ?

Envoyez votre demande à privacy@lavarang.fr. Nous répondrons dans un délai de 30 jours (art. 12 RGPD).

Vous disposez également du droit d'introduire une réclamation auprès de la CNIL : www.cnil.fr

9. Cookies et traceurs

Cookies strictement nécessaires — aucun consentement requis

Ces cookies sont indispensables au fonctionnement sécurisé du service (maintien de session, protection CSRF). Ils ne peuvent pas être désactivés sans compromettre la sécurité et l'accès au compte.

Cookie	Finalité	Durée
`auth_token`	Token d'authentification JWT (httpOnly)	15 min (access) / 7 jours (refresh)
`csrf_token`	Protection contre les attaques CSRF	Session

Mesure d'audience — Umami Analytics (sans cookie)

LAVARANG utilise Umami Analytics, auto-hébergé en France. Umami ne dépose aucun cookie et ne collecte aucune donnée personnelle. Vous pouvez bloquer ce script via votre navigateur ou une extension sans aucun impact sur l'utilisation du service.

10. Modifications de la présente politique

LAVARANG se réserve le droit de modifier la présente politique à tout moment. En cas de modification substantielle, vous serez informé par e-mail ou via une notification dans l'application avec un préavis de 30 jours.

Cette politique de confidentialité a été rédigée conformément au RGPD (Règlement UE 2016/679) et à la loi Informatique et Libertés. Pour toute question : privacy@lavarang.fr.