Retour

Politique de confidentialité

Comment BTPBip traite les données personnelles des utilisateurs du SaaS et des personnes référencées dans les dossiers chantiers, devis, équipes, clients et fournisseurs.

Dernière mise à jour : 22 avril 2026

Rôles : responsable de traitement et sous-traitant

Conformément au RGPD (articles 4.7 et 4.8) :

  • L'entreprise cliente (la société du bâtiment qui souscrit à BTPBip) est responsable de traitementdes données qu'elle saisit ou importe dans la plateforme (données de ses salariés, clients, fournisseurs, chantiers).
  • Codbip, éditeur de BTPBip, agit en qualité de sous-traitant(processor) pour le compte de l'entreprise cliente. Les engagements correspondants (article 28 RGPD) sont formalisés dans un contrat de sous-traitance (DPA) mis à disposition sur demande à [email protected].
  • Pour les données relatives aux utilisateurs de BTPBip collectées directement par Codbip (création de compte, facturation, support, télémétrie technique), Codbip agit en qualité de responsable de traitement.

Données collectées par Codbip (responsable de traitement)

Création de compte

  • prénom, nom
  • adresse email
  • mot de passe (stocké hashé)
  • entreprise de rattachement (client_saas Directus)
  • jeton Cloudflare Turnstile (anti-spam, non conservé après vérification)

Connexion et session

  • horodatage des connexions
  • adresse IP, user-agent
  • tentatives de connexion (pour rate-limiting)

Facturation et relation commerciale

  • nom de l'entreprise cliente, SIRET, adresse de facturation
  • interlocuteurs facturation et contractuel
  • historique des abonnements et paiements

Télémétrie technique

  • journaux d'erreurs Sentry (traces minimisées, sans contenu sensible)
  • logs Redis pour le rate-limiting et la gestion des sessions

Données traitées par Codbip en qualité de sous-traitant

Dans le cadre de l'exploitation du service pour l'entreprise cliente, les données suivantes peuvent être stockées dans BTPBip :

  • Équipes (equipe, membre_equipe) : nom, prénom, poste, coordonnées professionnelles, taux horaire, rattachement équipe.
  • Clients BTP (client) : raison sociale, interlocuteurs, adresses, téléphone, email.
  • Fournisseurs (fournisseur, commande_fournisseur) : raison sociale, contacts, historique des commandes.
  • Chantiers (chantier, creneau) : adresse, géolocalisation, planning, équipes affectées, temps travaillés.
  • Devis (devis) : contenu commercial, coordonnées client, montants.

Ces données ne sont accessibles qu'aux utilisateurs habilités par l'entreprise cliente et aux administrateurs techniques Codbip strictement nécessaires à l'exploitation du service, conformément à l'article 32 RGPD.

Bases légales

  • Exécution du contrat (art. 6-1-b RGPD) : création de compte, fourniture du service, facturation.
  • Intérêt légitime (art. 6-1-f RGPD) : sécurité, prévention des abus, télémétrie technique.
  • Obligation légale (art. 6-1-c RGPD) : conservation des documents comptables et fiscaux.
  • Contrat de sous-traitance (art. 28 RGPD) : traitement des données métier pour le compte de l'entreprise cliente.

Sous-traitants et outils tiers

Hostinger International Ltd (Chypre, Union européenne)

Hébergeur physique de l'infrastructure Codbip (serveur VPS/Cloud) sur lequel tournent l'application Next.js, l'API Directus et Redis. Siège : 61 Lordou Vironos Street, 6023 Larnaca, Chypre. Politique de confidentialité Hostinger.

Directus (auto-hébergé sur infrastructure Hostinger)

Backend et base de données principale. L'instance Directus est opérée par Codbip sur le serveur Hostinger ; aucun transfert vers Directus Cloud.

Cloudflare R2 (stockage des sauvegardes)

Sauvegardes chiffrées de la base Directus déposées sur des buckets Cloudflare R2 configurés avec la juridiction « EU ». Opérateur : Cloudflare, Inc., 101 Townsend Street, San Francisco, CA 94107, USA. Transferts encadrés par les clauses contractuelles types. Politique Cloudflare.

Sentry

Supervision des erreurs applicatives. Les données personnelles transmises sont minimisées. Politique Sentry.

Redis (auto-hébergé sur infrastructure Hostinger)

Cache, rate-limiting et sessions. Instance opérée par Codbip sur le serveur Hostinger.

Cloudflare Turnstile

Protection anti-bot sur les formulaires publics (connexion, inscription). Aucun cookie de suivi ; Politique Cloudflare.

OpenStreetMap / Nominatim

Fourniture des fonds de carte et du géocodage des adresses de chantiers. Les requêtes de tuiles et de géocodage sont envoyées aux serveurs OSM (Politique OSMF).

Transferts hors Union européenne

Les données primaires sont hébergées à Chypre (Union européenne) via Hostinger. Les sauvegardes Cloudflare R2 sont configurées en juridiction « EU » mais Cloudflare, Inc. est une société de droit américain : les transferts éventuels sont encadrés par les clauses contractuelles types de la Commission européenne (décision 2021/914).

Les autres sous-traitants potentiellement situés hors UE (Sentry) appliquent les mêmes garanties. Aucun transfert n'est réalisé sans décision d'adéquation ou garanties appropriées au sens des articles 44 à 49 RGPD.

Durées de conservation

  • Compte utilisateur actif : durée de l'abonnement de l'entreprise cliente.
  • Compte inactif : suppression ou anonymisation 24 mois après la dernière connexion.
  • Données métier (chantiers, devis, clients, fournisseurs, équipes) : durée de l'abonnement + 1 an à compter de la résiliation, sauf obligation légale.
  • Journaux de sécurité : 12 mois.
  • Factures Codbip : 10 ans (obligation fiscale).

Vos droits

Les personnes concernées disposent des droits prévus aux articles 15 à 22 du RGPD :

  • accès et portabilité ;
  • rectification ;
  • effacement (dans les limites des obligations légales) ;
  • limitation du traitement ;
  • opposition pour motif légitime ;
  • définition de directives post-mortem.

Pour les données gérées en tant que sous-traitant (données métier saisies par l'entreprise cliente), les demandes doivent être adressées en priorité à l'entreprise cliente. Codbip assiste cette dernière conformément à l'article 28-3-e du RGPD.

Pour les données traitées par Codbip en qualité de responsable (compte, facturation) : [email protected]. Délai de réponse : 30 jours maximum. Recours possible auprès de la CNIL.

Sécurité

  • communications TLS/HTTPS sur tous les domaines ;
  • cookies d'authentification httpOnly + Secure + SameSite=Strict + préfixe __Host- en production ;
  • politique Content-Security-Policy stricte avec nonce par requête ;
  • protection anti-bot Cloudflare Turnstile sur les formulaires publics ;
  • rate-limiting Redis sur les endpoints sensibles ;
  • isolation multi-tenant gérée par les access policies Directus ;
  • supervision des erreurs Sentry avec scrubbing des données sensibles ;
  • sauvegardes régulières chiffrées.