Vos données.
Pas un produit.

Comment on traite vos infos, conformément au RGPD. Aucune donnée vendue. Jamais.

Version 1.1 — Dernière mise à jour : 30 mai 2026

Vos données. Pas un produit.

Prizaa est un comparateur indépendant. Aucune donnée personnelle n’est vendue, louée ou cédée à un tiers, jamais.

La présente Politique de Confidentialité est établie conformément au Règlement (UE) 2016/679 du 27 avril 2016 (RGPD), à la loi n° 78-17 du 6 janvier 1978 modifiée (loi Informatique et Libertés) et à la Directive 2002/58/CE (ePrivacy). Elle s’applique à l’application mobile Prizaa (iOS) et au site prizaa.fr.

01 —

Responsable de traitement

Au sens de l’article 4(7) du RGPD, le Responsable de traitement est la personne qui détermine les finalités et les moyens du traitement.

Prizaa
Représentant : Ethan Diart
Projet en cours d’immatriculation — coordonnées légales complètes publiées lors de l’enregistrement de la structure juridique.
Contact RGPD : hello@prizaa.fr

En l’absence de structure juridique immatriculée, Ethan Diart assume personnellement la qualité de Responsable de traitement conformément à l’article 4(7) du RGPD.

02 —

Définitions (art. 4 RGPD)

Donnée à caractère personnel
Toute information se rapportant à une personne physique identifiée ou identifiable — directement (nom, email) ou indirectement (IP, identifiant) (art. 4(1) RGPD).
Traitement
Toute opération appliquée à des données personnelles — collecte, enregistrement, consultation, utilisation, transmission, suppression (art. 4(2) RGPD).
Personne concernée
Toute personne physique dont les données font l’objet d’un traitement par Prizaa.
Sous-traitant
Toute personne physique ou morale traitant des données pour le compte de Prizaa, sous ses instructions (art. 4(8) RGPD).
Violation de données
Toute violation de la sécurité entraînant la destruction, perte, altération ou divulgation non autorisée de données (art. 4(12) RGPD).

03 —

Données collectées par traitement

3.1 — Sans compte (visiteur)

  • Adresse IP — anonymisée sous 24h, conservée 13 mois maximum
  • Analytics anonymes Vercel — uniquement si vous acceptez via le bandeau CNIL
  • Géolocalisation GPS — utilisée uniquement pour la requête en cours, jamais stockée côté serveur

Base légale : intérêt légitime (art. 6(1)(f) RGPD) pour la sécurité et la maintenance. Analytics : consentement (art. 6(1)(a) RGPD). Conservation : logs techniques 6 mois max (recommandation CNIL).

3.2 — Compte utilisateur et authentification

  • Adresse email
  • Prénom / nom (optionnels)
  • Identifiant unique (UUID généré automatiquement)
  • Favoris, alertes prix, préférences de comparaison
  • Historique de recherches récentes (30 jours glissants)
  • Horodatage de création et de dernière connexion

Base légale : exécution du contrat (art. 6(1)(b) RGPD) — compte nécessaire à la fourniture du service. Conservation : durée d’activité du compte + 30 jours après suppression, ou après 24 mois d’inactivité. L’authentification est réalisée par OTP à usage unique — aucun mot de passe permanent n’est stocké.

3.3 — Comparaison carburant, forfaits, box, banques

  • Géolocalisation approximative (ville, département) — traitée en mémoire pour la requête uniquement
  • Critères de recherche et filtres saisis
  • Offres mises en favori

Base légale : exécution du contrat (art. 6(1)(b) RGPD). Conservation : critères 90 jours glissants. Géolocalisation non persistée côté serveur.

3.4 — Formulaire prestataires — Particulier

Lors de la soumission du formulaire de mise en relation artisans :

  • Description du besoin (texte libre)
  • Niveau d’urgence
  • Code postal et ville
  • Numéro de téléphone
  • Adresse email

Finalité : mise en relation avec des artisans disponibles dans votre zone et notification à l’ouverture du service. Ces données ne sont utilisées à aucune autre fin. Base légale : intérêt légitime (art. 6(1)(f) RGPD) — votre démarche volontaire constitue une demande explicite de service. Conservation : 12 mois puis suppression automatique.

3.5 — Formulaire prestataires — Artisan / Prestataire

  • Logo et photos de l’activité
  • Nom commercial, site web
  • Adresse professionnelle complète
  • Email professionnel (affiché publiquement sur le profil)
  • Email personnel (usage interne exclusif — jamais affiché ni transmis)
  • Numéro de téléphone professionnel
  • Secteur d’activité, prestations, tarifs, photos
  • Numéro SIRET
  • Extrait Kbis (facultatif)
  • Attestation d’assurance professionnelle (facultatif)

Base légale : données du profil professionnel — exécution du contrat (art. 6(1)(b)). Email personnel — consentement explicite (art. 6(1)(a)) recueilli par case à cocher distincte. Documents légaux — intérêt légitime vérification (art. 6(1)(f)). Conservation : durée de la relation contractuelle + 5 ans (art. L.110-4 Code de commerce). Documents légaux chiffrés (AES-256) dans un espace privé non accessible au public.

04 —

Principes fondamentaux (art. 5 RGPD)

Licéité, loyauté et transparence art. 5(1)(a)

Tout traitement repose sur une base légale identifiée. Cette Politique constitue l’information préalable requise par les articles 13 et 14 du RGPD.

Limitation des finalités art. 5(1)(b)

Les données ne sont utilisées qu’aux fins décrites ici. Aucune réutilisation incompatible sans information préalable.

Minimisation des données art. 5(1)(c) + art. 25 RGPD

Nous collectons uniquement ce qui est strictement nécessaire à chaque finalité. La géolocalisation précise n’est jamais persistée.

Limitation de la conservation art. 5(1)(e)

Des durées définies sont appliquées pour chaque catégorie. Des suppressions automatiques sont programmées à l’échéance.

Intégrité et confidentialité art. 5(1)(f)

Mesures techniques et organisationnelles appropriées en place — voir section Sécurité.

05 —

Sous-traitants et destinataires (art. 28 RGPD)

Conformément à l’article 28 du RGPD, des contrats de traitement de données sont conclus avec chaque sous-traitant. Aucune donnée n’est vendue ou partagée avec des réseaux publicitaires.

Sous-traitant Rôle Localisation Garanties
Supabase Inc. Base de données, authentification OTP Irlande (UE) DPA RGPD — hébergement EU-West
Vercel Inc. Hébergement site web prizaa.fr USA DPA + Clauses Contractuelles Types (CCT) UE-USA
Resend Inc. Envoi emails transactionnels (OTP, confirmations) USA DPA + CCT UE-USA
Google LLC API Places — géolocalisation artisans (backend uniquement) USA Accord sous-traitant Google Cloud — aucune donnée utilisateur personnelle transmise

06 —

Transferts hors Union européenne (art. 44–49 RGPD)

Certains sous-traitants (Vercel, Resend, Google) sont établis aux États-Unis. Ces transferts sont encadrés par :

  • Les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne (Décision d’exécution 2021/914 du 4 juin 2021)
  • Le Cadre de protection des données UE-États-Unis (EU-US Data Privacy Framework), en vigueur depuis le 10 juillet 2023

Pour Supabase, la région d’hébergement par défaut est EU-West (Irlande) — les données restent dans l’Espace Économique Européen.

07 —

Vos droits (art. 12–22 RGPD + art. 48–55 loi IL)

Droit d’accès art. 15 RGPD

Obtenir confirmation que vos données sont traitées et en recevoir une copie.

Droit de rectification art. 16 RGPD

Corriger des données inexactes ou incomplètes.

Droit à l’effacement — « droit à l’oubli » art. 17 RGPD

Demander la suppression de vos données, sauf obligation légale de conservation.

Droit à la limitation du traitement art. 18 RGPD

Suspendre temporairement le traitement en cas de contestation de l’exactitude ou d’opposition.

Droit à la portabilité art. 20 RGPD

Recevoir vos données dans un format structuré (JSON) et les transférer à un autre service — pour les traitements fondés sur le consentement ou le contrat.

Droit d’opposition art. 21 RGPD

S’opposer aux traitements fondés sur l’intérêt légitime (art. 6(1)(f)). Nous cessons alors le traitement sauf motif impérieux prévalant.

Retrait du consentement art. 7(3) RGPD

Retirer votre consentement à tout moment, sans remettre en cause la licéité des traitements antérieurs.

Délai de réponse : 1 mois maximum (art. 12(3) RGPD), prolongeable à 3 mois en cas de demande complexe. Réponse généralement sous 48h. Gratuit (art. 12(5) RGPD), sauf demandes manifestement infondées ou excessives. Justificatif d’identité pouvant être demandé.

08 —

Sécurité des données (art. 32 RGPD)

Mesures techniques et organisationnelles en place :

  • Chiffrement en transit via HTTPS / TLS 1.3
  • Chiffrement des documents sensibles au repos (AES-256)
  • Authentification sans mot de passe permanent — OTP à usage unique
  • Clés API Supabase segmentées (clé publique / clé service à permissions minimales)
  • Buckets de stockage privés pour les documents légaux (Kbis, assurance)
  • Row Level Security (RLS) Supabase — chaque utilisateur n’accède qu’à ses propres données
  • Journalisation des accès aux données sensibles

En cas de violation de données, la CNIL est notifiée dans les 72 heures (art. 33 RGPD). Si la violation présente un risque élevé pour vos droits, vous en serez informé sans délai (art. 34 RGPD).

09 —

Protection des mineurs (art. 8 RGPD + art. 45 loi IL)

Prizaa est destiné aux personnes de 16 ans ou plus. Nous ne collectons pas sciemment de données concernant des mineurs de moins de 16 ans.

Si vous êtes parent ou tuteur légal et constatez qu’un mineur a fourni des données, contactez-nous à hello@prizaa.fr pour suppression immédiate.

10 —

Cookies et traceurs (Directive ePrivacy + art. 82 loi IL)

Application iOS

L’application n’utilise pas de cookies au sens strict. Les identifiants de session (Supabase, préférences) sont stockés dans le Keychain iOS sécurisé — il ne s’agit pas de traceurs publicitaires.

Site prizaa.fr

  • Cookie de session — authentification. Strictement nécessaire, exempt de consentement.
  • Cookie préférences — thème (clair/sombre), choix CNIL. Strictement nécessaire.
  • Vercel Analytics — mesure d’audience anonyme. Uniquement après votre consentement via le bandeau CNIL (délibération n° 2020-091 du 17 septembre 2020).

Aucun cookie publicitaire tiers n’est déposé. Vous pouvez retirer votre consentement aux analytics à tout moment en cliquant sur le bandeau en pied de page.

11 —

Décisions automatisées et profilage (art. 22 RGPD)

Prizaa n’effectue aucune prise de décision automatisée produisant des effets juridiques ou vous affectant de manière significative. Les algorithmes de tri et comparaison constituent une aide à la décision sans substituer à un acte humain à conséquences juridiques.

12 —

Modifications

Nous pouvons modifier cette Politique en cas d’évolution légale, réglementaire ou des Services. En cas de modification substantielle, vous en serez informé par notification dans l’application ou par email, au moins 30 jours avant l’entrée en vigueur des changements (art. 5(1)(a) + art. 12 RGPD). La version en vigueur est toujours accessible à cette URL.

13 —

Contact et exercice des droits

Pour toute question relative à la présente Politique ou pour exercer vos droits :

Par email : hello@prizaa.fr
Objet recommandé : [RGPD] — [Nature de la demande]
Délai : réponse sous 48h, au plus tard 1 mois (art. 12(3) RGPD)
Gratuit (art. 12(5) RGPD)

Prizaa n’a pas l’obligation légale de désigner un DPO à ce stade (art. 37 RGPD). Ethan Diart assure le rôle de point de contact RGPD.

14 —

Recours auprès de l’autorité de contrôle (art. 77 RGPD)

Si vous estimez que le traitement de vos données n’est pas conforme au RGPD, vous avez le droit d’introduire une réclamation auprès de la CNIL :

CNIL — Commission Nationale de l’Informatique et des Libertés
3 Place de Fontenoy — TSA 80715 — 75334 PARIS CEDEX 07
Tél. : +33 1 53 73 22 22
www.cnil.fr — plainte en ligne disponible

Ce recours n’affecte pas les autres voies de recours administratives ou juridictionnelles dont vous disposez.

Politique mise à jour le 30 mai 2026 · Prizaa · hello@prizaa.fr