1. Responsable du traitement

AB Advice SAS
Siège social : voir nos mentions légales
Email : contact@abadvice.fr

Délégué à la Protection des Données (DPO) : dpo@abadvice.fr

2. Données collectées

Nous collectons les catégories de données suivantes, selon la nature de votre interaction avec nous :

Coordonnées : nom, prénom, téléphone, email, code postal, adresse complète (si dossier).
Données de simulation : type de logement, surface, composition du foyer, catégorie de revenus (MaPrimeRénov').
Documents justificatifs (si dossier constitué) : pièce d'identité, avis d'imposition, justificatif de propriété ou domicile, RIB.
Données techniques : adresse IP, user-agent, URL d'origine (pour la sécurité et la traçabilité du consentement).
Métriques d'usage : pages consultées via Umami Analytics (anonyme, sans cookie, sans partage tiers).

3. Finalités et bases légales

Finalité	Base légale RGPD	Durée max
Calcul d'éligibilité aux aides (simulateur)	Consentement (art. 6.1.a)	3 ans après dernier contact
Vous rappeler suite à une demande	Consentement (art. 6.1.a)	3 ans après dernier contact
Exécution d'un dossier signé (CEE, MPR)	Exécution du contrat (art. 6.1.b)	10 ans après clôture (obligation comptable)
Service après-vente et garantie décennale	Obligation légale (art. 6.1.c)	10 ans
Sécurité, lutte contre la fraude, audit	Intérêt légitime (art. 6.1.f)	1 an (logs techniques)
Communication marketing (newsletter, nouvelles aides)	Consentement distinct (art. 6.1.a)	Jusqu'à désinscription

4. Destinataires des données

Vos données sont accessibles exclusivement à :

Les salariés d'AB Advice ayant besoin d'y accéder pour traiter votre dossier (principe de minimisation).
Les partenaires installateurs impliqués dans les travaux, limités aux informations strictement nécessaires.
Les obligés CEE (EDF, TotalEnergies, Engie…) et leurs délégataires, pour la validation des dossiers CEE, uniquement les documents justificatifs exigés par l'arrêté du 22 décembre 2014.
L'administration fiscale et comptable (obligations légales).
Nos sous-traitants techniques (hébergement OVH France, envoi d'emails via notre SMTP), liés par un DPA conforme RGPD article 28.

Vos données ne sont jamais revendues, louées ou cédées à des tiers commerciaux, courtiers en données, régies publicitaires ou data brokers.

5. Transferts hors UE

Aucun transfert de vos données en dehors de l'Union Européenne n'est effectué. Notre infrastructure est hébergée en France (OVH Roubaix). Les services tiers que nous utilisons pour l'IA d'analyse documentaire (Anthropic Claude) sont accessibles via des endpoints européens et n'entraînent pas leurs modèles sur les données clients.

6. Sécurité

Mesures techniques et organisationnelles mises en œuvre :

Chiffrement TLS 1.3 en transit sur tous les endpoints.
Chiffrement au repos des disques serveur (AES-256).
Contrôle d'accès par rôles (RBAC), principe du moindre privilège.
Scans de sécurité automatisés hebdomadaires (SAST, dépendances, secrets).
Détection d'intrusion 24/7 (CrowdSec + Fail2ban).
Journalisation et audit des accès critiques.
Sauvegardes chiffrées quotidiennes, conservation 30 jours.
Tests de restauration périodiques.

En cas de violation de données à caractère personnel, nous notifions la CNIL sous 72 heures (article 33 RGPD) et, si le risque est élevé pour vos droits et libertés, nous vous en informons directement (article 34 RGPD).

7. Vos droits RGPD

Vous disposez des droits suivants :

Droit d'accès

Obtenir une copie des données vous concernant.

Droit de rectification

Faire corriger une donnée inexacte ou incomplète.

Droit à l'effacement

Demander la suppression de vos données ("droit à l'oubli").

Droit à la portabilité

Recevoir vos données dans un format structuré (JSON).

Droit d'opposition

Vous opposer à un traitement fondé sur l'intérêt légitime.

Droit à la limitation

Geler temporairement le traitement de vos données.

Retrait du consentement

À tout moment, pour les traitements fondés sur consentement.

Directives post-mortem

Organiser la gestion de vos données après votre décès.

Pour exercer vos droits, contactez notre DPO à dpo@abadvice.fr en précisant votre demande. Réponse sous 30 jours maximum (article 12 RGPD). Pour les dossiers sensibles, nous pouvons demander une pièce d'identité pour vérifier la légitimité de la demande.

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL.

8. Cookies et traceurs

Notre site utilise uniquement Umami Analytics, un outil d'analyse respectueux de la vie privée, auto-hébergé en France, qui ne pose aucun cookie et ne collecte aucune donnée personnelle identifiable. Aucun cookie publicitaire, aucun pixel Facebook ou Google, aucun tracking cross-site.

Les seuls cookies techniques utilisés sont strictement nécessaires au fonctionnement du site (session, préférence de thème) et ne nécessitent pas de consentement (article 82 de la loi Informatique et Libertés).

9. Décisions automatisées

Le simulateur d'éligibilité aux aides calcule automatiquement votre catégorie MaPrimeRénov' et une estimation de primes CEE sur la base des barèmes publics. Ce calcul est à titre indicatif uniquement. Toute décision concernant votre dossier réel fait l'objet d'une validation humaine par nos conseillers (pas de décision entièrement automatisée au sens de l'article 22 RGPD).

10. Mineurs

Nos services ne sont pas destinés aux personnes de moins de 18 ans. Nous ne collectons pas sciemment de données de mineurs. Si vous êtes parent ou tuteur et pensez que votre enfant nous a transmis des données, contactez-nous pour suppression immédiate.

11. Modifications

Cette politique peut être modifiée pour refléter des évolutions légales, techniques ou organisationnelles. La version en vigueur est toujours celle publiée à cette adresse, avec la date de dernière mise à jour en en-tête. Pour toute modification substantielle, nous vous informerons par email (si nous détenons votre adresse) au moins 30 jours avant l'entrée en vigueur.