EFFITRAVAUX - Mentions Legales & Politique de Confidentialite

Derniere mise a jour : 17 mai 2026

1. Mentions legales

Editeur du site

SOFIRENO SAS - Societe holding du groupe illiCO travaux

Siege social : 4 Impasse Maison Neuve, 19600 Larche, France

Responsable de la publication : Cedric Breton, en qualite de President de SOFIRENO SAS

Marque exploitee : illiCO travaux - Agences de Brive-la-Gaillarde, Tulle, Ussel, Terrasson-Lavilledieu, Sarlat-la-Caneda

Telephone : 06 48 02 91 44

Email : cedric.breton@illico-travaux.com

Societe editrice (holding)

Societe	SIREN	Forme juridique	Capital	TVA intracommunautaire	Adresse
SOFIRENO Holding du groupe	949 854 624	SAS	30 000,00 €	FR25949854624	4 Impasse Maison Neuve 19600 Larche

Societes filiales exploitantes

Les agences illiCO travaux sont exploitees par les societes filiales suivantes, detenues par SOFIRENO :

Societe	SIRET	Forme juridique	RCS	Capital	TVA intracommunautaire
B.C RENOVATION	882 098 296 00024	SASU	882 098 296 R.C.S. Brive	1 000,00 €	FR70882098296
B.C HABITAT	950 923 631 00028	SASU	950 923 631 R.C.S. Brive	5 000,00 €	FR32950923631
B.C RENOVATION HABITAT	941 240 319 00017	SASU	941 240 319 R.C.S. Perigueux	1 000,00 €	FR44941240319

Hebergement

Service	Prestataire	Plan / Garanties	Localisation
Hebergement frontend et API	Vercel Inc.	Plan Pro - DPA signe le 17/05/2026 SOC 2 Type II, SLA 99.99%	UE Frankfurt
Base de donnees	Supabase Inc.	Plan Pro - Backups quotidiens SOC 2 Type II, chiffrement AES-256	UE Irlande (EU-West-1)
Stockage documents (photos, devis, factures)	Microsoft 365 Business OneDrive Pro / SharePoint Online via Graph API	ISO 27001, DPA Microsoft Compte tenant Azure AD illicotravauxbrive.onmicrosoft.com	UE
Envoi d'emails transactionnels	Microsoft Office 365 SMTP via smtp.office365.com:587 (TLS 1.2)	Credentials chiffres AES-256-GCM cote serveur	UE
Nom de domaine	OVH SAS effitravaux.com (achete le 17/05/2026, valide jusqu'en mai 2031)	Registrar francais accredite ICANN/AFNIC	France

2. Responsable de traitement (Art. 4.7 RGPD)

Le responsable du traitement des donnees personnelles est :

SOFIRENO SAS

Holding du groupe illiCO travaux — Agences Brive, Tulle, Ussel, Terrasson, Sarlat

Represente par son President : Cedric Breton

Siege social : 4 Impasse Maison Neuve, 19600 Larche

Email : cedric.breton@illico-travaux.com

Telephone : 06 48 02 91 44

SOFIRENO agit en qualite de responsable de traitement pour le compte des trois societes filiales exploitantes des agences (B.C RENOVATION, B.C HABITAT, B.C RENOVATION HABITAT), qui utilisent l'application EFFITRAVAUX™ pour la gestion de leur activite commerciale.

Pour toute question relative a la protection de vos donnees personnelles, vous pouvez contacter le responsable de traitement a l'adresse ci-dessus. Delai de reponse : 1 mois maximum.

3. Donnees collectees et finalites (Art. 13 & 14 RGPD)

3.1 Clients et prospects

Categorie	Donnees	Finalite	Base legale	Duree de conservation
Identite	Nom, prenom, civilite	Gestion de la relation commerciale et suivi de projet	Contrat Art. 6.1.b	Duree du contrat + 10 ans (garantie decennale)
Coordonnees	Email, telephone, adresse postale	Communication, envoi devis, suivi chantier	Contrat Art. 6.1.b	Duree du contrat + 10 ans
Projet	Description travaux, budget, montants	Realisation de la mission de courtage	Contrat Art. 6.1.b	Duree du contrat + 10 ans
Documents	Photos chantier, devis, factures, rapports	Constitution du dossier travaux	Contrat Art. 6.1.b	10 ans (obligation comptable et garantie decennale)
Suivi commercial	Statut projet, source/provenance, historique echanges	Pilotage activite et qualite de service	Interet legitime Art. 6.1.f	3 ans apres dernier contact (prospects sans contrat)

3.2 Prescripteurs / Partenaires

Donnees	Finalite	Base legale	Duree
Nom, prenom, entreprise, email, telephone	Gestion du programme de recommandation et commissionnement	Interet legitime Art. 6.1.f	Duree de la relation + 3 ans

3.3 Artisans partenaires

Donnees	Finalite	Base legale	Duree
Entreprise, contact, email, telephone, metiers, RGE, commission	Gestion du reseau de prestataires, mise en relation avec les clients	Interet legitime Art. 6.1.f	Duree de la collaboration + 3 ans

3.4 Collaborateurs (utilisateurs internes)

Donnees	Finalite	Base legale	Duree
Nom, prenom, email, telephone, role, agence	Authentification, gestion des acces, affectation clients	Contrat Art. 6.1.b (contrat de travail)	Duree du contrat + 5 ans

4. Sous-traitants et destinataires (Art. 28 RGPD)

Vos donnees peuvent etre transmises aux sous-traitants suivants, dans le cadre strict de leurs missions et conformement a des accords de traitement (DPA) signes :

Sous-traitant	Mission	Donnees concernees	Localisation	Garanties contractuelles
Supabase Inc.	Hebergement base de donnees, authentification	Ensemble des donnees metier (clients, factures, documents, communications)	UE Irlande (EU-West-1)	Chiffrement AES-256, SOC 2 Type II, DPA Supabase
Microsoft Corp. (Microsoft 365 Business, Graph API, OneDrive, Office 365 SMTP)	Stockage documents et photos chantier, envoi d'emails transactionnels	Documents (devis, factures, plans, photos), contenu des emails sortants	UE	ISO 27001, DPA Microsoft signe
Vercel Inc.	Hebergement frontend et API serverless	Traitement des donnees en transit (frontend, API) ; logs systeme (adresses IP, requetes) conserves selon retention du plan Pro	UE Frankfurt	SOC 2 Type II, DPA Vercel signe le 17/05/2026
OVH SAS	Enregistrement et gestion du nom de domaine	Donnees WHOIS du proprietaire du domaine	France	Hebergeur certifie HDS, registrar accredite

                Aucun transfert hors UE : l'ensemble de vos donnees est traite et stocke dans l'Union Europeenne. Aucun transfert vers des pays tiers (ni Etats-Unis, ni autres) n'est realise.
            

5. Vos droits (Chapitre III RGPD)

Conformement au RGPD, vous disposez des droits suivants sur vos donnees personnelles :

Droit	Article RGPD	Description
Droit d'acces	Art. 15	Obtenir une copie de l'ensemble des donnees personnelles vous concernant
Droit de rectification	Art. 16	Corriger des donnees inexactes ou completer des donnees incompletes
Droit a l'effacement	Art. 17	Demander la suppression de vos donnees (sous reserve des obligations legales de conservation)
Droit a la limitation	Art. 18	Demander la limitation du traitement de vos donnees dans certains cas
Droit a la portabilite	Art. 20	Recevoir vos donnees dans un format structure et lisible par machine
Droit d'opposition	Art. 21	Vous opposer au traitement de vos donnees pour des raisons tenant a votre situation particuliere

Comment exercer vos droits ?

Adressez votre demande par email a : cedric.breton@illico-travaux.com

Ou par courrier a : illiCO travaux - Cedric Breton - 06 48 02 91 44 - Brive-la-Gaillarde

Delai de reponse : 1 mois maximum a compter de la reception de votre demande.

Une piece d'identite pourra vous etre demandee pour verifier votre identite.

Reclamation aupres de la CNIL

Si vous estimez que le traitement de vos donnees ne respecte pas la reglementation, vous pouvez introduire une reclamation aupres de la Commission Nationale de l'Informatique et des Libertes (CNIL) :

CNIL - 3, place de Fontenoy - TSA 80715 - 75334 Paris Cedex 07

Site web : www.cnil.fr

Telephone : 01 53 73 22 22

6. Securite des donnees (Art. 32 RGPD)

Nous mettons en oeuvre les mesures techniques et organisationnelles suivantes pour assurer la securite de vos donnees :

Mesure	Detail	Statut
Chiffrement en transit	HTTPS/TLS 1.2+ sur l'ensemble des communications (frontend, API, emails SMTP)	Actif
Chiffrement au repos	AES-256 sur la base de donnees (Supabase) et sur les documents (OneDrive)	Actif
Authentification	Email + mot de passe hache via Supabase Auth (algorithme securise)	Actif
Double authentification (2FA)	Obligatoire pour les comptes administrateurs (TOTP via application authentificatrice)	Actif
Chiffrement des secrets internes	Mots de passe des portails client / entreprise et identifiants SMTP des collaborateurs chiffres en base via AES-256-GCM	Actif
Controle d'acces	Row Level Security (RLS) PostgreSQL : chaque collaborateur n'accede qu'aux donnees de son agence et de ses clients	Actif
Journal d'audit	Toutes les actions sensibles (creation/suppression de portail, envoi d'email, depot de devis) sont tracees dans une table d'audit interne (acces administrateur)	Actif
Sauvegardes	Backups quotidiens automatiques (Supabase Pro) + backup hebdomadaire complet exporte sur OneDrive (chaque lundi)	Actif
En-tetes de securite	CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy	Actif
Protection formulaires publics	Honeypot anti-bot, rate-limiting (max 3 soumissions/heure/telephone), validation serveur	Actif
Securite des uploads	Tokens d'upload a usage unique avec expiration (7 jours), validation taille (max 50 Mo) et type MIME (whitelist : PDF, images, documents Office)	Actif
Liens de partage temporaires	Les liens de telechargement de documents expirent automatiquement apres 1 heure	Actif
Audit de securite	Audit interne complet conduit en avril 2026 (correctifs XSS, validation tokens, hardening CSP) - score A-	Actif

7. Cookies et stockage local

L'application EFFITRAVAUX^TM utilise uniquement du stockage local (localStorage) du navigateur, et aucun cookie tiers :

Type	Nom	Finalite	Duree	Consentement requis
localStorage	sb-* (Supabase Auth)	Session d'authentification (token JWT)	Session	Non (strictement necessaire)
localStorage	effitravaux_user	Profil utilisateur (nom, role, agence) cote client	Session	Non (strictement necessaire)
localStorage	effitravaux_last_activity	Detection d'inactivite (deconnexion auto 30 min)	Session	Non (securite)
localStorage	eff_recent_clients	Derniers clients consultes (raccourci d'acces)	Persistant (max 8 entrees)	Non (confort utilisateur)
localStorage	eff_cache_collabs, eff_cache_artisans	Cache local des listes de collaborateurs et artisans	5 minutes (stale-while-revalidate)	Non (performance)
localStorage	eff_draft_*	Brouillon des documents en cours de redaction (autosave toutes les 30s)	7 jours, purge automatique	Non (prevention perte de donnees)

                Aucun cookie tiers ni traceur publicitaire : l'application n'utilise ni Google Analytics, ni Facebook Pixel, ni aucun autre outil de profilage. Aucune publicite n'est affichee. Le stockage local sert uniquement au fonctionnement de l'application (authentification, performance, confort).
            

8. Durees de conservation (Art. 5.1.e RGPD)

Type de donnees	Duree de conservation	Justification
Clients avec contrat signe (R3-R4)	10 ans apres cloture du dossier	Obligation legale : garantie decennale (art. 1792 Code civil) + obligations comptables
Prospects sans contrat (R0-R1-R2)	3 ans apres le dernier contact	Recommandation CNIL (deliberation 2016-264)
Factures et pieces comptables	10 ans	Obligation legale (art. L123-22 Code de commerce)
Documents chantier (photos, rapports)	10 ans apres reception des travaux	Garantie decennale
Donnees prescripteurs	3 ans apres fin de la relation	Interet legitime
Donnees artisans	3 ans apres derniere collaboration	Interet legitime
Notifications internes	30 jours apres lecture	Nettoyage automatique
Journaux d'activite (logs)	1 an	Securite et tracabilite

A l'issue de ces delais, les donnees sont anonymisees ou supprimees definitivement.

9. Communications electroniques

Dans le cadre de votre projet de travaux, vous pouvez recevoir des emails automatiques de la part d'illiCO travaux :

Confirmations de rendez-vous (en agence, premier rendez-vous, chiffrage)
Envoi de notices d'informations et de comptes rendus de visite
Envoi de plannings previsionnels et de retroplannings
Demandes de validation de devis et rappels automatiques (a 72h, J-2)
Demandes d'avis Google (satisfaction client)
Rappels de suivi de projet

Ces communications sont liees a l'execution de votre contrat de courtage ou a notre interet legitime de suivi qualite. Elles sont envoyees depuis l'adresse personnelle de votre charge d'affaires (compte Microsoft 365 professionnel) via SMTP authentifie (TLS 1.2), permettant une tracabilite et une reponse directe.

                Droit d'opposition : Vous pouvez a tout moment demander l'arret de ces communications en ecrivant a cedric.breton@illico-travaux.com ou en repondant directement a l'email recu. Les communications strictement necessaires a l'execution du contrat (envoi de documents contractuels, confirmations de rendez-vous) ne peuvent pas etre desactivees pendant la duree du projet.
            

9bis. Portails client et entreprise

EFFITRAVAUX™ met a disposition deux espaces en ligne dedies permettant aux clients et aux entreprises partenaires (artisans) de consulter en autonomie les informations relatives a leurs projets respectifs :

Portail client

Espace personnel ou le client peut consulter l'avancement de son projet, telecharger ses documents (notice d'informations, comptes rendus de visite, planning, suivi financier partage), et echanger avec son charge d'affaires.

Acces : sur invitation du charge d'affaires, par email contenant un identifiant et un mot de passe temporaire (chiffre cote serveur en AES-256-GCM).
Premiere connexion : changement de mot de passe obligatoire.
Donnees visibles : uniquement les donnees du projet du client connecte (RLS PostgreSQL).
Acces revocable : a tout moment par le charge d'affaires ou sur demande du client.

Portail entreprise (artisans partenaires)

Espace dedie aux entreprises consultees pour un chiffrage, permettant le depot de devis, la consultation du planning du chantier, et la communication avec le charge d'affaires.

Acces : sur invitation, identifiant et mot de passe temporaire chiffre.
Donnees visibles par l'entreprise : nom du client, adresse du chantier, description des travaux, devis et factures de cette entreprise uniquement (jamais ceux des autres entreprises), photos chantier marquees comme partagees.
Donnees non visibles par l'entreprise : telephone du client, email du client, devis des autres entreprises, donnees financieres internes.
Portail multi-entreprises : un meme dirigeant gerant plusieurs entreprises peut avoir un acces unifie.
Acces revocable : a tout moment par l'administrateur SOFIRENO.

                Conservation : les comptes des portails sont conserves pendant la duree du projet, puis archives 3 ans pour les entreprises (interet legitime de tracabilite contractuelle) et 10 ans pour les clients (obligations comptables et garantie decennale).
            

10. Notification en cas de violation de donnees (Art. 33-34 RGPD)

En cas de violation de donnees personnelles susceptible d'engendrer un risque pour vos droits et libertes, illiCO travaux s'engage a :

Notifier la CNIL dans un delai de 72 heures apres en avoir pris connaissance (Art. 33)
Vous informer dans les meilleurs delais si la violation est susceptible d'engendrer un risque eleve pour vos droits et libertes (Art. 34)
Documenter toute violation dans un registre interne des incidents

11. Modifications de la presente politique

La presente politique de confidentialite peut etre mise a jour a tout moment pour refleter les evolutions de nos pratiques ou de la reglementation. La date de derniere mise a jour est indiquee en haut de ce document.

En cas de modification substantielle, nous vous en informerons par email ou via l'application.

EFFITRAVAUXTM - Mentions Legales & Politique de Confidentialite