Politique de confidentialité et cookies

Dernière mise à jour : Février 2026

  • Responsable du traitement et champ d'application
  • Données collectées
  • Finalités du traitement et bases légales
  • Recours à l'intelligence artificielle
  • Sous-traitants et transferts de données
  • Durée de conservation
  • Vos droits
  • Mineurs
  • Suppression de compte
  • Cookies
  • Sécurité
  • Application mobile
  • Modifications
  • Contact

Responsable du traitement et champ d'application

La présente politique s’applique au site web autlu.com, à l’application web autlu ainsi qu’aux applications mobiles autlu disponibles sur l’App Store (iOS) et le Google Play Store (Android) (ci-après ensemble « le Service »).

Le responsable du traitement des données personnelles est :

UP D MARKETING Sàrl
19, rue de l’Industrie
L-8069 Bertrange, Luxembourg
RCS Luxembourg : B296671
Autorisation d’établissement : N° 10180065/0
Numéro de TVA : LU36725642
Email : [email protected]

Données collectées

Nous collectons les catégories de données suivantes :

Données de compte

  • Nom, prénom et adresse email (lors de l’inscription)
  • Mot de passe (stocké de manière chiffrée)
  • Signature manuscrite numérisée (pour les états des lieux)

Données professionnelles (optionnelles)

  • Nom de l’entreprise, adresse professionnelle, numéro de TVA intracommunautaire
  • Coordonnées professionnelles (téléphone, email, site web, numéro de licence)
  • Logo de l’entreprise

Données d'état des lieux

  • Les informations que vous saisissez dans le cadre de la création d’un état des lieux : données relatives au bien immobilier, aux parties concernées, à l’état des pièces et équipements, ainsi que tout fichier joint (photographies, enregistrements audio, documents annexes). Lorsque demandé par l’utilisateur : copies de pièces d’identité des signataires (locataires, propriétaires), collectées avec le consentement explicite de chaque signataire et automatiquement filigranées avec la mention “COPIE – État des lieux” pour prévenir tout usage détourné.

Données de paiement

  • Les informations de carte bancaire sont traitées exclusivement par Stripe, Inc. (certifié PCI DSS Niveau 1). Nous ne stockons ni n’avons accès aux numéros de carte complets. Nous conservons uniquement un résumé (type de carte, 4 derniers chiffres) à des fins d’affichage.

Données techniques

  • Adresse IP, type de navigateur, système d’exploitation
  • Données de session et cookies d’authentification

Préférences utilisateur

Langue préférée, paramètres d’affichage et préférences de l’interface.

Données de tiers

Dans le cadre des états des lieux, vous êtes amené(e) à saisir des données personnelles concernant des tiers (propriétaires, locataires, mandataires). Vous êtes responsable d’informer ces personnes du traitement de leurs données et de disposer de la base légale appropriée pour nous les transmettre.

Données collectées via le site web (autlu.com)

Lors de votre navigation sur le site vitrine autlu.com, les données suivantes peuvent être collectées :

  • Formulaire de contact : nom, prénom, téléphone, email et message — transmis à notre CRM pour le suivi de votre demande
  • Données d’analyse : données de navigation anonymisées (soumises à votre consentement)
  • Préférences de cookies : vos choix de consentement

Finalités du traitement et bases légales

Vos données sont traitées pour les finalités suivantes :

  • Exécution du contrat (Art. 6(1)(b) RGPD) : création de compte, génération des documents d’état des lieux, gestion des abonnements et crédits
  • Obligation légale (Art. 6(1)(c) RGPD) : facturation, obligations fiscales et comptables
  • Intérêt légitime (Art. 6(1)(f) RGPD) : amélioration du service, sécurité de la plateforme, prévention de la fraude
  • Consentement (Art. 6(1)(a) RGPD) : envoi de communications marketing (si vous y avez consenti) ; collecte de pièces d’identité des signataires, avec consentement explicite recueilli via une case à cocher avant l’envoi du document. L’utilisateur de la plateforme décide d’activer ou non la vérification d’identité pour chaque inspection ; le signataire donne son consentement explicite avant tout téléchargement.

Recours à l'intelligence artificielle

Le Service utilise des technologies d’intelligence artificielle (IA) fournies par des prestataires tiers pour assister la génération et l’amélioration des documents. Aucune donnée personnelle identifiante (noms, adresses, coordonnées des parties) n’est transmise aux services d’IA. Seules des données techniques et descriptives relatives au bien sont traitées.

Les prestataires d’IA (voir section 5) traitent ces données exclusivement via leurs API. Vos données ne sont pas utilisées pour entraîner leurs modèles et sont automatiquement supprimées après traitement. L’utilisateur reste responsable de la vérification du contenu final avant signature.

Sous-traitants et transferts de données

Nous faisons appel aux sous-traitants suivants pour fournir notre service :

Sous-traitantFinalitéLocalisation
Hetzner Online GmbHHébergement de serveurs de traitementAllemagne (UE)
Supabase, Inc.Base de données, authentification, stockage de fichiersUE (Francfort)
Railway CorporationHébergement de l’application webÉtats-Unis*
Stripe, Inc.Traitement des paiements, facturation et gestion des abonnementsÉtats-Unis*
Google LLCServices cloud (génération de documents, autocomplétion d’adresses)États-Unis*
OpenAI, Inc.Traitement IA (via API, pas d’entraînement sur vos données)États-Unis*
Anthropic, PBCTraitement IA (via API, pas d’entraînement sur vos données)États-Unis*
Rev.com, Inc. (Rev AI)Traitement IA — transcription audio (pas d’entraînement sur vos données)États-Unis*
Resend, Inc.Envoi d’emails transactionnels (confirmations, signatures, notifications)États-Unis*
Site web (autlu.com)
Hostinger International LtdHébergement du site WordPressLituanie (UE)
Cloudflare, Inc.DNS, CDN et protection DDoSÉtats-Unis*
HubSpot, Inc.CRM — stockage et suivi des demandes de contactÉtats-Unis*
CookieYes (Jesvijay Technologies LLP)Gestion du consentement aux cookies sur le siteRoyaume-Uni
Defiant, Inc. (Wordfence)Sécurité du site (pare-feu, journalisation des adresses IP)États-Unis*

* Les transferts vers les États-Unis sont encadrés par le EU-U.S. Data Privacy Framework (DPF), par des clauses contractuelles types (CCT) approuvées par la Commission européenne, ou par les accords de traitement de données (DPA) de chaque prestataire, conformément aux articles 44 à 49 du RGPD.

Nous veillons à ce que chaque sous-traitant offre des garanties suffisantes en matière de protection des données. La liste à jour des sous-traitants peut être obtenue sur demande à [email protected].

Durée de conservation

Vos données sont conservées selon les principes suivants :

  • Données de compte et profil : conservées pendant la durée de votre compte, puis supprimées dans les 30 jours suivant la suppression du compte
  • Documents d’état des lieux : conservés un (1) an après leur création, indépendamment du statut de votre abonnement, puis automatiquement supprimés
  • Pièces d’identité des signataires : même durée de conservation que l’inspection associée (1 an après création). Les documents sont automatiquement supprimés lorsque l’inspection est supprimée par l’utilisateur. Un filigrane (“COPIE – État des lieux – [date]”) est appliqué dès l’envoi pour prévenir tout usage détourné. 
  • Brouillons non finalisés : conservés 30 jours, puis supprimés
  • Données de facturation : conservées 10 ans conformément aux obligations légales luxembourgeoises
  • Données techniques : conservées 12 mois maximum
  • Données traitées par l’IA : supprimées automatiquement après traitement par les prestataires
  • Données du site web : formulaire de contact conservé pour le traitement de votre demande ; données d’analyse conservées conformément aux politiques des prestataires concernés

Vos droits

Conformément au RGPD, vous disposez des droits suivants :

  • Droit d’accès : obtenir une copie de vos données personnelles
  • Droit de rectification : corriger des données inexactes ou incomplètes
  • Droit à l’effacement : demander la suppression de vos données. Pour les pièces d’identité spécifiquement : les signataires peuvent demander la suppression de leur document en contactant l’agent immobilier qui en a fait la demande, ou en nous contactant directement à [email protected]
  • Droit à la portabilité : recevoir vos données dans un format structuré
  • Droit d’opposition : vous opposer au traitement fondé sur l’intérêt légitime
  • Droit à la limitation : restreindre le traitement dans certaines circonstances
  • Droit de retirer votre consentement à tout moment
  • Droit de ne pas faire l’objet d’une décision automatisée : bien que notre service utilise l’IA pour la génération de documents, aucune décision ayant des effets juridiques significatifs n’est prise de manière entièrement automatisée

Pour exercer vos droits, contactez-nous à [email protected]. Nous répondrons dans un délai de 30 jours.

Vous avez également le droit d’introduire une réclamation auprès de la Commission Nationale pour la Protection des Données (CNPD), l’autorité de contrôle luxembourgeoise : cnpd.public.lu.

Mineurs

Le service autlu est destiné exclusivement aux professionnels de l’immobilier. Il n’est pas conçu pour les personnes de moins de 16 ans. Nous ne collectons pas sciemment de données à caractère personnel de mineurs. Si nous prenons connaissance qu’un mineur nous a fourni des données personnelles, nous les supprimerons dans les meilleurs délais.

Suppression de compte

Vous pouvez supprimer votre compte directement depuis l’application, dans Paramètres > Compte > Supprimer mon compte. La suppression nécessite la confirmation de votre mot de passe. Vous pouvez également nous contacter à [email protected]. La suppression entraîne :

  • La suppression de toutes vos données personnelles et documents dans un délai de 30 jours
  • La résiliation de votre abonnement
  • L’impossibilité de récupérer vos données après suppression

Les données de facturation sont conservées conformément aux obligations légales (voir section 6 ci-dessus).

Cookies

Cookies de l'application (app.autlu.com)

L’application utilise uniquement des cookies strictement nécessaires au fonctionnement du service :

  • Cookies d’authentification : maintiennent votre session connectée (Supabase Auth)
  • Cookies de préférences : mémorisent vos paramètres (langue, état de la barre latérale)

Aucun cookie publicitaire, cookie de suivi tiers ni cookie analytique n’est utilisé dans l’application. Aucun consentement n’est requis pour les cookies strictement nécessaires (Art. 5(3) Directive ePrivacy 2002/58/CE).

Cookies du site web (autlu.com)

Le site web utilise les cookies suivants :

Cookies essentiels (sans consentement requis) :

  • cookieyes-consent : enregistre vos préférences de consentement aux cookies (durée : 1 an)

Cookies analytiques (soumis à votre consentement) :

  • _ga : identifiant Google Analytics pour distinguer les utilisateurs (durée : 2 ans)
  • _ga_* : utilisé par Google Analytics pour maintenir l’état de la session (durée : 2 ans)
  • _gid : identifiant Google Analytics pour distinguer les utilisateurs (durée : 24 heures)

Cookies marketing (à venir) :

Nous prévoyons d’intégrer le suivi des conversions Google Ads à terme. Le cas échéant, les cookies associés seront soumis à votre consentement préalable et cette politique sera mise à jour.

Vous pouvez à tout moment modifier vos préférences de cookies sur le site via le bandeau de consentement CookieYes ou dans les paramètres de votre navigateur.

Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données :

  • Chiffrement des données en transit (TLS/HTTPS sur toutes les communications)
  • Chiffrement des données au repos (base de données et stockage de fichiers)
  • Authentification sécurisée avec hachage des mots de passe (bcrypt)
  • Contrôle d’accès par politiques de sécurité au niveau des lignes (Row Level Security)
  • URLs signées à durée limitée pour l’accès temporaire aux fichiers
  • Aucune donnée de carte bancaire stockée sur nos serveurs (traitement par Stripe, certifié PCI DSS Niveau 1)
  • Limitation du taux de requêtes (rate limiting) sur les points d’accès sensibles
  • Vérification de la signature des webhooks entrants
  • Filigranage automatique des pièces d’identité dès l’envoi (“COPIE – État des lieux – [date]”), conformément aux recommandations de la CNIL relatives aux copies de pièces d’identité

Application mobile

L’application mobile autlu accède aux fonctionnalités suivantes de votre appareil, uniquement avec votre autorisation préalable :

  • Appareil photo : pour la prise de photos dans le cadre des états des lieux. Les photos sont transmises à nos serveurs pour être intégrées aux documents d’inspection.
  • Galerie photos : pour sélectionner des images existantes à joindre aux états des lieux.
  • Notifications push : pour vous informer de l’avancement de vos documents (génération terminée, signature reçue, rappels). Vous pouvez désactiver les notifications à tout moment dans les réglages de votre appareil.

Aucune donnée n’est collectée via ces fonctionnalités en dehors de l’utilisation active du service. L’application ne collecte aucune donnée de localisation, ne procède à aucun suivi publicitaire et n’utilise aucun identifiant publicitaire (IDFA/GAID).

Modifications

Nous pouvons mettre à jour cette politique de confidentialité. En cas de modification substantielle, nous vous en informerons par email au moins 30 jours avant l’entrée en vigueur des nouvelles conditions. La date de dernière mise à jour est indiquée en haut de cette page.

Contact

Coordonnées : Pour toute question ou demande concernant vos données personnelles ou cette politique, contactez-nous par email à [email protected], ou par courrier à UP D MARKETING Sàrl, 19 Rue de l’Industrie, L-8069 Bertrange, Luxembourg.