Politique de confidentialité
Plateforme SaaS Kwhiz —
kwhiz.eu
La présente politique décrit la manière dont Kwhiz, SASU au capital de 100 € immatriculée au RCS de Créteil sous le numéro 103 501 565 (ci-après « Kwhiz » ou l'« Éditeur »), exploitant la plateforme SaaS Kwhiz, collecte et traite les données à caractère personnel, conformément au Règlement (UE) 2016/679 (« RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée (« Loi Informatique et Libertés » — « LIL »).
1. Identité du responsable du traitement
Kwhiz, société par actions simplifiée à associé unique au capital de 100 €, immatriculée au RCS de Créteil sous le numéro 103 501 565, dont le siège social est situé 37 Avenue Alphand, 94160 Saint-Mandé.
- Représentée par : Simon Grieu, Président
- Email RGPD :
contact@kwhiz.eu - Coordonnées complètes : voir Mentions légales.
Aucun délégué à la protection des données (DPO) formel n'a été désigné en V1, le seuil de désignation obligatoire au sens de l'article 37 RGPD n'étant pas atteint. Simon Grieu, Président, assure le rôle de point de contact RGPD. Une désignation formelle de DPO sera réalisée à mesure de la croissance de la base utilisateurs.
2. Données traitées
Kwhiz traite trois grandes catégories de données.
2.1 Données du bénéficiaire (particulier ou professionnel)
Le bénéficiaire — particulier ou professionnel — peut être l'exploitant ou le propriétaire d'un bâtiment ou logement individuel, collectif, tertiaire, industriel ou agricole, d'une exploitation ou d'une société, dès lors qu'il est éligible à un dispositif CEE. Il n'a pas de compte sur la plateforme. Ses données sont saisies et téléversées par l'installateur ou le mandataire dans le cadre de la constitution du dossier CEE.
| Catégorie | Champs |
|---|---|
| Identité | Civilité, nom, prénom, date de naissance (particulier) ou raison sociale, SIREN, représentant légal (professionnel) |
| Contact | Email, téléphone |
| Adresse | Adresse résidence ou siège, adresse chantier, parcelle cadastrale |
| Données fiscales (particulier) | Numéro fiscal, revenu fiscal de référence (RFR), nombre de personnes du foyer, année d'imposition, statut d'occupation |
| Données société (professionnel) | Extrait Kbis, attestation fiscale, statuts si requis par la fiche CEE |
| Justificatifs | Avis d'impôt ou Kbis, justificatif de domicile ou de propriété/exploitation, pièce d'identité du signataire |
| Coordonnées bancaires | RIB / IBAN si MaPrimeRénov' (particulier uniquement) |
| Photos certifiées | Photos AVT et APT avec géolocalisation et horodatage eIDAS |
| Signature | Signature électronique Yousign sur la liasse AVT / APT |
2.2 Données B2B (mandataires, installateurs, sous-traitants)
| Catégorie | Champs |
|---|---|
| Identité de l'entreprise | Raison sociale, SIRET, SIREN, code APE, adresse, qualifications RGE |
| Identité des dirigeants et signataires | Nom, prénom, fonction |
| Contacts opérationnels | Email professionnel, téléphone professionnel |
| Coordonnées bancaires | IBAN / BIC pour les versements AAF |
| Documents administratifs | Décennale, attestation URSSAF, attestation fiscale, qualifications RGE |
2.3 Données utilisateurs de la plateforme
| Catégorie | Champs |
|---|---|
| Compte | Email, hash du mot de passe (Argon2id), téléphone, rôle, tenant de rattachement |
| Connexion | Adresse IP, user-agent, horodatage, événements 2FA |
| Logs d'audit applicatifs | Toutes les actions utilisateur (création, modification, dépôt, validation, signature) — immuables, horodatées |
| Logs techniques | Erreurs, traces (PII filtrées avant émission) |
3. Finalités et bases légales
| Finalité | Données concernées | Base légale (Art. 6 RGPD) | Justification |
|---|---|---|---|
| Constitution et gestion du dossier CEE | Données bénéficiaire, B2B | Exécution d'un contrat (Art. 6.1.b) — entre installateur et bénéficiaire ; entre mandataire et installateur | Le dossier CEE ne peut exister sans ces données. |
| Vérification de l'éligibilité ANAH (précarité énergétique) | Avis d'impôt, RFR, nombre de personnes du foyer | Obligation légale (Art. 6.1.c) | La réglementation BAR-TH-171 impose la vérification du seuil ANAH. |
| Production des photos certifiées AVT / APT | Photos géolocalisées, horodatées | Obligation légale (Art. 6.1.c) | Réglementation CEE — preuve de réalisation. |
| Génération et signature de la liasse AVT / APT | Identité, signature, données du dossier | Exécution d'un contrat | Acte juridique entre installateur et bénéficiaire. |
| Versement des primes (CEE, MaPrimeRénov') | RIB bénéficiaire (si MPR), IBAN installateur (AAF) | Exécution d'un contrat | Versement ne peut être effectué sans IBAN. |
| Tenue des logs d'audit immuables | Tous événements utilisateurs | Obligation légale + intérêt légitime (Art. 6.1.f) | Auditabilité PNCEE / COFRAC / pollueur. |
| Gestion du compte et de l'abonnement (B2B) | Identité B2B, identifiants | Exécution d'un contrat | Compte client, facturation. |
| Sécurité et prévention des fraudes | Logs de connexion, IP, événements anormaux | Intérêt légitime | Détection d'intrusion, protection multi-tenant. |
| Communication transactionnelle (notifications) | Email professionnel des utilisateurs | Exécution d'un contrat | Notification d'événements liés au compte ou aux dossiers. |
| Communication marketing (newsletter, démos) | Email des prospects | Consentement (Art. 6.1.a + 7) | Opt-in explicite, double opt-in. |
| Mesure d'audience et amélioration UX | Cookies analytics | Consentement | Bandeau CMP avec opt-in granulaire (deny-by-default). |
4. Source des données
| Source | Données collectées |
|---|---|
| Saisie directe par l'installateur ou le mandataire | Identité, contacts, adresse, RIB, photos, choix de matériel |
| OCR de l'avis d'impôt (Mindee) | Numéro fiscal, RFR, nombre de personnes du foyer, année |
| Pappers | Données SIRET / SIREN, dirigeants, qualifications administratives |
| RGE ADEME | Qualifications RGE en cours de validité |
| EPREL (registre européen) | Caractéristiques techniques du matériel installé (PAC, thermostat) |
| FranceConnect (V2+) | Vérification d'identité du bénéficiaire (selon implémentation V2) |
| MesAidesRénov' (V2+) | Simulation d'aides |
5. Sous-traitants (Article 28 RGPD)
Kwhiz fait appel aux sous-traitants suivants. Chacun est lié à Kwhiz par un Accord de sous-traitance des données (DPA) conforme à l'article 28 RGPD.
| Sous-traitant | Finalité | Région d'hébergement | Transfert hors UE | Encadrement |
|---|---|---|---|---|
| DigitalOcean (LLC, US — filiale Netherlands B.V.) | Hébergement API, base de données, stockage objet | Frankfurt (DE), UE | Non (région UE) | DPA + chiffrement at-rest |
| Vercel (Inc. — filiale Vercel GmbH) | Hébergement frontend, edge | Paris (FR) / Frankfurt (DE), UE | Non (région UE) | DPA + chiffrement at-rest |
| Cloudflare (Inc., US) | DNS, WAF, CDN | Réseau global | Oui (proxy) | DPA Cloudflare Business + Clauses Contractuelles Types CE 2021/914 |
| Mindee (FR) | OCR avis d'impôt | UE strict | Non | DPA + sous-traitant EU privilégié sur cette finalité |
| Yousign (FR) | Signature électronique eIDAS | France, UE | Non | DPA + qualification eIDAS |
| Certificall (FR) | Photos certifiées (horodatage eIDAS, géolocalisation) | France, UE | Non | DPA |
| Pappers (FR) | Vérification SIRET et données B2B | France, UE | Non | DPA |
| Resend (Inc., US) | Envoi d'email transactionnel | UE (région européenne du service) | Oui (entité US) | DPA + Clauses Contractuelles Types CE 2021/914 + minimisation des données dans les emails |
| Sentry (Functional Software, Inc., US) | Logs d'erreurs et traces applicatives | Région UE (Allemagne) | Non (instance EU) | DPA + scrubbing automatisé des données personnelles côté SDK |
| Google Analytics 4 (Google Ireland Limited, IE — Google LLC, US) | Mesure d'audience anonymisée du site web | Région UE puis transfert US | Oui | Bandeau CMP deny-by-default + Clauses Contractuelles Types CE 2021/914 + Server-Side Tagging + IP anonymisation + absence de PII transmise. Migration vers une solution EU strict (Plausible / Matomo / PostHog EU) prévue V2. |
Les API publiques EPREL (registre européen, Commission européenne) et RGE ADEME (registre public français) sont consommées en lecture sans transmission de donnée à caractère personnel et ne donnent pas lieu à DPA.
6. Transferts de données hors Union européenne
Les seules données qui transitent par des entités hors UE concernent Resend (envoi d'email transactionnel) et Google Analytics 4 (analytics web sur consentement). Ces transferts sont encadrés par les Clauses Contractuelles Types adoptées par la Commission européenne (Décision d'exécution (UE) 2021/914 du 4 juin 2021), assorties de mesures supplémentaires (minimisation des données, anonymisation, chiffrement en transit).
Cloudflare, en tant qu'intermédiaire de transit DNS / WAF, peut router le trafic via son réseau global. Les données métier persistées restent toutefois exclusivement hébergées dans l'UE chez DigitalOcean et Vercel.
Aucune donnée fiscale du bénéficiaire (avis d'impôt, RFR, numéro fiscal), aucun RIB, aucune signature et aucune photo certifiée n'est transmise à un sous-traitant hors UE.
7. Durées de conservation
| Donnée | Durée | Justification |
|---|---|---|
| Dossier CEE complet (incluant identité bénéficiaire et avis d'impôt) | 10 ans post-clôture du dossier | Délai de prescription des contrôles PNCEE et COFRAC, et exigences pollueur. |
| Documents signés (devis, AH, facture, attestations) | 10 ans post-clôture | Obligation comptable et réglementaire. |
| Logs d'audit applicatifs immuables | 10 ans | Auditabilité réglementaire. |
| Données utilisateurs actifs (mandataire, installateur) | Durée du contrat + 3 ans après la fin | Prescription civile B2B. |
| Logs techniques (erreurs, traces — Sentry) | 30 jours | Sécurité et debug. |
| Cookies analytics (consentement et identifiants liés) | 13 mois maximum | Recommandation CNIL. |
| Sauvegardes (backups) | 7 jours en V1, jusqu'à 30 jours en V2 | Plan de reprise d'activité, purge automatique. |
| Données de prospects (CRM marketing) | 3 ans à compter du dernier contact | Recommandation CNIL B2B. |
À l'issue de ces durées, les données sont supprimées de manière sécurisée, ou pseudonymisées si une obligation légale impose la conservation des éléments du dossier au-delà de la durée d'usage.
8. Pseudonymisation — alternative à l'effacement
Lorsqu'une demande d'effacement (droit à l'oubli) est formulée par un bénéficiaire ou un utilisateur dans un délai inférieur à la durée légale de conservation (10 ans pour les dossiers CEE), Kwhiz procède à une pseudonymisation :
- les champs d'identification directe (nom, prénom, email, téléphone, adresse, numéro fiscal) sont remplacés par un identifiant pseudonyme
PSEUDO-<uuid>; - les données strictement nécessaires à la conservation réglementaire (montant de la prime, dates, kWhc, identifiant du dossier, score de conformité) sont conservées dans le dossier ;
- l'opération de pseudonymisation est journalisée dans un audit log dédié.
Cette mesure permet de concilier le droit à l'effacement et l'obligation légale de conservation.
9. Droits des personnes concernées
Conformément aux articles 15 à 22 du RGPD, toute personne concernée dispose des droits suivants :
| Droit | Modalité d'exercice |
|---|---|
| Accès (Art. 15) | Demande à contact@kwhiz.eu avec justificatif d'identité. Export JSON et PDF complet de toutes les données détenues. |
| Rectification (Art. 16) | Demande à contact@kwhiz.eu, ou directement par l'installateur ou le mandataire dans la plateforme. Audit log de la modification. |
| Effacement (Art. 17) | Demande à contact@kwhiz.eu. Effacement complet si aucune obligation légale ne s'oppose ; à défaut, pseudonymisation (cf. section 8). |
| Portabilité (Art. 20) | Demande à contact@kwhiz.eu. Export structuré JSON (V2). |
| Opposition (Art. 21) | Désinscription marketing en un clic depuis chaque email. Opposition au traitement à contact@kwhiz.eu. |
| Limitation (Art. 18) | Demande à contact@kwhiz.eu. Le dossier passe en lecture seule jusqu'à résolution. |
| Retrait du consentement (Art. 7.3) | Pour les traitements fondés sur le consentement, retrait à tout moment depuis le bandeau CMP ou le lien de désinscription. |
| Définir des directives post-mortem (LIL Art. 85) | Demande à contact@kwhiz.eu. |
Kwhiz traite toute demande dans un délai maximum de trente (30) jours à compter de sa réception complète, conformément à l'article 12.3 du RGPD. Ce délai peut être prolongé de deux mois en raison de la complexité ou du nombre de demandes, avec information motivée de la personne concernée.
10. Réclamation auprès de la CNIL
Toute personne concernée a le droit d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL) :
- Adresse : 3 Place de Fontenoy, TSA 80715, 75334 Paris CEDEX 07
- Téléphone : 01 53 73 22 22
- Site :
https://www.cnil.fr/plaintes
Kwhiz invite toutefois ses utilisateurs et bénéficiaires à se rapprocher en premier lieu de contact@kwhiz.eu pour une résolution rapide.
11. Sécurité
Kwhiz met en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données :
- Chiffrement en transit (TLS 1.3, HSTS, absence de fallback HTTP).
- Chiffrement au repos (PostgreSQL managé, stockage objet chiffré).
- Chiffrement applicatif des champs sensibles (RIB, numéro fiscal) au niveau du SaaS.
- Hachage des mots de passe en Argon2id.
- Cloisonnement multi-tenant strict (
tenant_idsur toutes les tables). - Audit log immuable signé, conservé hors tenant.
- Filtrage des PII dans les logs techniques (Sentry, logs applicatifs).
- Authentification multi-facteurs (à activer).
- Revues d'accès périodiques.
- Hébergement UE strict pour toutes les données métier.
Une procédure de gestion des violations de données est en place : notification CNIL sous 72 heures et information des personnes concernées en cas de risque élevé pour les droits et libertés, conformément aux articles 33 et 34 du RGPD.
12. Cookies
12.1 Cookies strictement nécessaires (sans consentement)
Ces cookies sont indispensables au fonctionnement de la plateforme et n'imposent pas de consentement préalable :
| Cookie | Finalité | Durée |
|---|---|---|
| Cookie de session | Maintien de l'authentification | Session |
| Cookie CSRF | Protection contre les attaques CSRF | Session |
| Préférences de consentement (CMP) | Mémorisation des choix utilisateurs | 6 mois |
12.2 Cookies soumis à consentement
| Cookie | Émetteur | Finalité | Durée |
|---|---|---|---|
_ga, _ga_* |
Google Analytics 4 | Mesure d'audience anonymisée | 13 mois maximum |
Le bandeau CMP est paramétré en mode deny-by-default avec choix granulaires par finalité, conformément aux recommandations CNIL. Le consentement peut être retiré à tout moment.
13. Sécurité des transmissions à des tiers réglementaires
Les transmissions opérées au profit de TotalEnergies et autres pollueurs (via la plateforme EMMY) ainsi que les transmissions au PNCEE en cas de contrôle, sont effectuées dans le cadre des obligations légales attachées à la fiche CEE concernée. Le bénéficiaire et l'installateur en sont informés à la signature de la liasse AVT.
14. Modification de la présente politique
Kwhiz peut modifier la présente politique pour refléter l'évolution du service, des sous-traitants ou de la réglementation. Toute modification substantielle est notifiée par email aux utilisateurs avec un préavis de trente (30) jours avant l'entrée en vigueur. La date de version ci-dessous est mise à jour à chaque modification.
Version : v1.1
Date d'entrée en vigueur : 2026-04-28
Responsable du traitement : Kwhiz, SASU, RCS Créteil 103 501 565
Contact RGPD : contact@kwhiz.eu
Autorité de contrôle : CNIL — https://www.cnil.fr