Politique de confidentialité

Le responsable du traitement de vos données personnelles est : ONA EURL (Entreprise Unipersonnelle à Responsabilité Limitée) au capital de 10 000 € Siège social : Marseille, France 894 303 718 R.C.S. Marseille Email : info@newhoom.com Délégué à la Protection des Données (DPO) : dpo@newhoom.com

Nous collectons différentes catégories de données selon votre profil et votre utilisation de la Plateforme : Données fournies directement par l'Utilisateur : • Données d'identification : nom, prénom, adresse email, numéro de téléphone • Données professionnelles (Agences/Prestataires) : raison sociale, SIRET, adresse professionnelle, carte professionnelle • Données relatives aux biens (Propriétaires/Agences) : adresse du bien, caractéristiques, loyer, diagnostics • Données de candidature (Locataires) : pièces d'identité, justificatifs de revenus, avis d'imposition, bulletins de salaire, attestation d'employeur, justificatif de domicile • Données bancaires (pour le paiement) : traitées exclusivement par notre prestataire de paiement — non conservées sur nos serveurs • Photos et documents : photos de biens, documents contractuels, états des lieux Données collectées automatiquement : • Données de connexion : adresse IP, type de navigateur, système d'exploitation, pages visitées, horodatage • Données de session : identifiant de session Supabase Auth • Données d'utilisation : fonctionnalités utilisées, actions effectuées, statistiques d'usage • Cookies : voir notre Politique de cookies

Chaque traitement de données repose sur une base légale définie : Exécution du contrat (art. 6.1.b RGPD) : • Création et gestion de votre Compte • Fourniture des services souscrits (gestion locative, candidatures, annonces) • Traitement des paiements et facturation • Génération de documents (baux, quittances, états des lieux) • Mise en relation entre utilisateurs (candidatures, interventions) • Communication relative à votre Compte (notifications, alertes) Intérêt légitime (art. 6.1.f RGPD) : • Amélioration de la Plateforme et de l'expérience utilisateur • Détection et prévention de la fraude documentaire • Statistiques d'usage agrégées et anonymisées • Sécurité de la Plateforme (détection d'intrusions, logs de sécurité) Consentement (art. 6.1.a RGPD) : • Envoi de communications commerciales et newsletters • Dépôt de cookies non essentiels (analytiques, marketing) • Utilisation de fonctionnalités IA avancées (scoring, OCR) Obligation légale (art. 6.1.c RGPD) : • Conservation des données de facturation (10 ans — art. L.123-22 Code de commerce) • Conservation des logs de connexion (1 an — LCEN) • Réponse aux réquisitions judiciaires

Vos données personnelles peuvent être communiquées aux catégories de destinataires suivantes : Au sein de la Plateforme (accès strictement limité au nécessaire) : • Agence → accède aux dossiers des candidats qui postulent à ses annonces • Propriétaire → accède aux informations de ses locataires et de son agence gestionnaire • Locataire → accède aux informations de son bailleur/agence • Prestataire → accède aux informations nécessaires à l'intervention demandée Sous-traitants techniques (catégories) : • Hébergement applicatif et infrastructure cloud • Hébergement et gestion de bases de données (Union Européenne) • Prestataires d'intelligence artificielle (traitement IA — données pseudonymisées ou anonymisées) • Services d'envoi d'emails transactionnels • Prestataire de paiement certifié PCI-DSS La liste nominative des sous-traitants est disponible sur demande auprès du DPO (dpo@newhoom.com). Chaque sous-traitant est lié par un accord de traitement des données (DPA) conforme à l'article 28 du RGPD. Autorités : • Autorités judiciaires ou administratives, sur réquisition légalement fondée. Aucune donnée personnelle n'est vendue, louée ou cédée à des tiers à des fins commerciales.

Certains de nos sous-traitants techniques peuvent être situés en dehors de l'Union Européenne. Le cas échéant, ces transferts sont encadrés par les Clauses Contractuelles Types (CCT) de la Commission européenne (décision d'exécution 2021/914) ou tout autre mécanisme de transfert conforme au chapitre V du RGPD. Pour les données sensibles (pièces d'identité, bulletins de salaire, avis d'imposition), nous privilégions exclusivement un hébergement au sein de l'Union Européenne. Vous pouvez obtenir une copie des garanties appropriées en contactant dpo@newhoom.com.

Principe fondamental — Nous ne procédons à aucune suppression automatique de vos données. Vos données sont conservées aussi longtemps que votre Compte est actif et constituent votre historique, votre espace de gestion documentaire (GED) et votre capital informationnel sur la Plateforme. La suppression n'intervient que sur votre demande explicite (exercice du droit à l'effacement — article 17 du RGPD). Cette approche est justifiée par : • L'exécution du contrat (art. 6.1.b RGPD) : les données sont nécessaires au fonctionnement continu du Service • L'intérêt légitime (art. 6.1.f RGPD) : la conservation permet la réutilisation du dossier, la traçabilité des sinistres, l'historique locatif et la continuité de la gestion documentaire • Les obligations légales (art. 6.1.c RGPD) : certaines données doivent être conservées pendant des durées minimales légales ━━━ TANT QUE LE COMPTE EST ACTIF ━━━ Toutes les données liées au Compte sont conservées sans limitation de durée : • Profil, préférences et paramètres • Dossiers de candidature (retenus ou non — pour réutilisation future) • Documents contractuels (baux, quittances, états des lieux, avenants) • Historique de paiements, reversements et comptabilité locative • Données de sinistres (déclarations, photos, devis, factures, suivi) • Données prestataires (profil, interventions, avis — c'est leur visibilité et leur vitrine) • Historique des échanges et messagerie L'Utilisateur peut à tout moment supprimer individuellement des documents, dossiers ou données depuis son espace, sans avoir à supprimer l'intégralité de son Compte. ━━━ APRÈS SUPPRESSION DU COMPTE ━━━ En cas de demande de suppression du Compte par l'Utilisateur : Phase 1 — Conservation obligatoire (obligations légales incompressibles) : • Données comptables et factures : 10 ans (art. L.123-22 Code de commerce) • Documents contractuels (baux, quittances) : 5 ans après fin du dernier bail (prescription civile — art. 2224 Code civil) • Données de sinistres : 10 ans après clôture du sinistre (responsabilité décennale — art. 1792 Code civil) • Logs de connexion : 1 an (LCEN + décret n°2011-219) Ces données sont transférées en archivage à accès restreint (seuls le DPO et le service juridique y ont accès). Elles ne sont plus exploitées à des fins commerciales. Phase 2 — Données sans obligation légale de conservation : • Profil, identifiants, préférences : anonymisés sous 30 jours après confirmation de suppression • Dossiers de candidature, documents personnels : supprimés sous 30 jours, sauf si l'Utilisateur a expressément consenti à leur conservation prolongée L'Utilisateur est informé par email des conséquences de la suppression de son Compte avant toute action irréversible. ━━━ RAPPEL PÉRIODIQUE DE DONNÉES ━━━ Conformément au principe de transparence (art. 5.1.a RGPD), l'Éditeur envoie périodiquement (tous les 24 mois) un email de rappel aux Utilisateurs actifs les informant : • Des données conservées sur la Plateforme • De leurs droits (accès, rectification, effacement, portabilité) • De la possibilité de consulter, exporter ou supprimer leurs données depuis les paramètres de leur Compte Ce rappel constitue une démarche proactive de transparence et ne déclenche aucune suppression automatique. L'absence de réponse de l'Utilisateur vaut maintien de la conservation. ━━━ ANONYMISATION ET DONNÉES STATISTIQUES ━━━ Les données anonymisées de manière irréversible (suppression de tout identifiant direct ou indirect) ne constituent plus des données personnelles au sens du RGPD (considérant 26). Elles sont stockées séparément et peuvent être conservées sans limitation de durée à des fins : • D'amélioration des algorithmes de scoring et d'OCR • De statistiques agrégées (taux d'occupation, données marché anonymisées) • D'analyse de performance de la Plateforme ━━━ DURÉES MINIMALES LÉGALES (incompressibles même en cas de demande de suppression) ━━━ Logs de connexion : 1 an (LCEN) Données comptables : 10 ans (Code de commerce) Documents contractuels : 5 ans après fin du bail (prescription civile) Sinistres : 10 ans après clôture (décennale) Cookies : 13 mois maximum (CNIL) Prospection : jusqu'au désabonnement

Conformément au RGPD (articles 15 à 22) et à la loi Informatique et Libertés, vous disposez des droits suivants : Droit d'accès (art. 15) — Obtenir la confirmation que vos données sont traitées et en recevoir une copie. Droit de rectification (art. 16) — Faire corriger des données inexactes ou compléter des données incomplètes. Droit à l'effacement (art. 17) — Demander la suppression de vos données, sous réserve des obligations légales de conservation. Droit à la limitation (art. 18) — Demander la limitation du traitement dans les cas prévus par le RGPD (contestation de l'exactitude, traitement illicite, etc.). Droit à la portabilité (art. 20) — Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON), et les transmettre à un autre responsable de traitement. Droit d'opposition (art. 21) — Vous opposer à tout moment au traitement fondé sur l'intérêt légitime. Pour la prospection commerciale, l'opposition est de droit. Droit de ne pas faire l'objet d'une décision automatisée (art. 22) — Aucune décision produisant des effets juridiques n'est prise sur la seule base d'un traitement automatisé. Le scoring IA est une aide à la décision, la décision finale appartient toujours à un humain. Directives post-mortem — Conformément à la loi Informatique et Libertés, vous pouvez définir des directives relatives au sort de vos données après votre décès. Pour exercer vos droits : • Par email : dpo@newhoom.com • Par courrier : ONA — DPO — Marseille, France Nous nous engageons à répondre dans un délai d'un (1) mois à compter de la réception de votre demande. Ce délai peut être prolongé de deux (2) mois en raison de la complexité ou du nombre de demandes. Droit de réclamation — Vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : • Site : www.cnil.fr • Adresse : CNIL — 3 Place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles : Mesures techniques : • Chiffrement TLS 1.3 pour toutes les communications • Chiffrement AES-256 au repos pour les données sensibles (pièces d'identité, RIB, bulletins de salaire) • Isolation multi-tenant au niveau base de données (chaque requête vérifiée au niveau tenant_id) • URLs de documents pré-signées, expirables et révocables • Authentification sécurisée avec option MFA • Protection anti-bot et rate limiting Mesures organisationnelles : • Accès aux données limité au strict nécessaire (principe du moindre privilège) • Journalisation immuable de toutes les actions (audit trail) • Procédure de notification des violations de données (72h auprès de la CNIL, sans délai si risque élevé pour les personnes) Privacy by design et by default (art. 25 RGPD) — La protection des données est intégrée dès la conception de chaque fonctionnalité de la Plateforme. Par défaut, seules les données strictement nécessaires sont collectées et traitées. Registre des traitements (art. 30 RGPD) — L'Éditeur tient un registre des activités de traitement documentant l'ensemble des traitements réalisés, leurs finalités, bases légales, catégories de données et durées de conservation. Ce registre est disponible sur demande auprès du DPO. Analyses d'impact (AIPD — art. 35 RGPD) — Des analyses d'impact relatives à la protection des données sont réalisées pour les traitements susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes, notamment le scoring de candidatures, l'OCR de documents sensibles et le traitement de données relatives aux sinistres. Malgré ces mesures, aucun système n'est infaillible. En cas de violation de données susceptible d'engendrer un risque élevé pour vos droits et libertés, nous vous en informerons dans les meilleurs délais.

La Plateforme utilise des technologies d'intelligence artificielle pour certaines fonctionnalités : OCR (Reconnaissance optique de caractères) — Extraction automatisée d'informations à partir de documents scannés. Les données extraites sont soumises à validation par l'Utilisateur avant exploitation. Scoring de candidature — Évaluation des dossiers de candidature sur la base de critères objectifs (ratio loyer/revenus, complétude du dossier). Le scoring constitue une aide à la décision et ne se substitue jamais à la décision humaine de l'Agence ou du Propriétaire. Génération de texte — Génération assistée de descriptions pour les réseaux sociaux. Les textes générés sont soumis à validation avant publication. Conformément à l'article 22 du RGPD, aucune décision produisant des effets juridiques ou vous affectant de manière significative n'est prise sur la seule base d'un traitement automatisé. Conformément au Règlement européen sur l'IA (UE 2024/1689), nous vous informons de l'utilisation de systèmes d'IA et de leur finalité.

Notre utilisation des cookies et traceurs est détaillée dans notre Politique de cookies, accessible à l'adresse : https://newhoom.com/fr/legal/cookies

Nous nous réservons le droit de modifier la présente Politique de confidentialité à tout moment. Les modifications seront publiées sur cette page avec une date de mise à jour actualisée. En cas de modification substantielle, nous vous en informerons par email ou par notification sur la Plateforme au moins quatorze (14) jours avant l'entrée en vigueur. La date de dernière mise à jour figure en haut de ce document.