Politique de confidentialité.

HomeCircle, dont les coordonnées complètes seront publiées à l'immatriculation de la société. Contact : contact@homecircle.fr.

Ce site comprend deux volets : un site de présentation public et un espace authentifié réservé aux collaborateurs des entreprises partenaires et aux propriétaires vérifiés. Les données personnelles susceptibles d'être collectées couvrent donc à la fois les formulaires publics et les traitements liés à la connexion :

• Formulaire Contact : prénom, email professionnel, entreprise, sujet, message.
• Formulaire Pilote : prénom, nom, email pro, téléphone, entreprise, effectif, rôle, échéance, régions prioritaires.
• Formulaire Proposer mon logement : prénom, nom, email, téléphone, adresse approximative du logement, type, capacité, périodes de mise à disposition, photos téléversées et notes éventuelles.
• Espace authentifié Membre : identité (nom, prénom), email professionnel, entreprise de rattachement, rôle d'accès, dates/horaires de connexion, journaux techniques (adresse IP, user-agent) et préférences essentielles au fonctionnement du compte.
• Espace authentifié Catalogue & Réservation : consultations d'annonces, messages entre membres et propriétaires, demandes de réservation, périodes bloquées, statut des réservations et historique d'actions associées. Ces données techniques sont collectées en qualité d'intermédiaire numérique. HomeCircle n'est pas partie au contrat de location qui se forme entre le voyageur et le propriétaire.
• Pipeline pilote CSE : leads commerciaux (identité, téléphone, entreprise, échéance, score interne) et événements de qualification associés ; contrats signés (PDF) lorsqu'une convention pilote est conclue.
• Sourcing propriétaires (collecte indirecte) : pour identifier des propriétaires susceptibles d'être intéressés par le programme, nous consultons des annonces publiques sur des plateformes tierces (par exemple Leboncoin) et conservons certaines informations publiquement disponibles (URL de l'annonce, ville, type de bien, prix indicatif, notes qualitatives internes). Lorsque ces données permettent une identification, elles sont traitées au titre de l'intérêt légitime à la prospection commerciale (article 6.1.f RGPD), avec une information à la première prise de contact (article 14 RGPD) et une possibilité d'opposition immédiate. Aucun démarchage n'est lancé tant que cette information préalable n'a pas été fournie au propriétaire concerné.
• Conversations email avec les propriétaires : lorsqu'un membre de l'équipe HomeCircle adresse un email à un propriétaire prospect depuis l'espace admin, l'émission et les éventuelles réponses sont journalisées (objet, corps, horodatage, statut d'envoi) afin d'assurer un suivi de la relation et de pouvoir produire l'historique sur demande d'accès.

Les données saisies dans les formulaires sont utilisées pour répondre à votre demande (qualification commerciale, organisation d'une démo, suivi des candidatures pilote). Base légale : intérêt légitime de prise de contact (article 6.1.f RGPD) ou consentement (article 6.1.a) selon le cas.

Les traitements de l'espace authentifié sont réalisés pour exécuter le service HomeCircle (article 6.1.b RGPD), sécuriser les accès (article 6.1.f) et répondre aux obligations légales applicables, notamment en matière comptable et de gestion des litiges (article 6.1.c).

Pour faire fonctionner ce site, nous avons recours aux sous-traitants suivants (liste susceptible d'évoluer) :

• OVH SAS (France) — domaine, zone DNS, messagerie professionnelle.
• Vercel Inc. (États-Unis) — hébergement et exécution du site et des Route Handlers. Les soumissions de formulaires transitent par Vercel sous forme de requêtes serverless avant écriture en base ; aucun stockage durable n'est effectué côté Vercel.
• Neon (Databricks Inc.) — base de données Postgres serverless, région UE (Francfort). Stocke les soumissions des trois formulaires (Contact, Pilote, Proposer mon logement) jusqu'à expiration de la durée de conservation indiquée ci-dessous. DPA RGPD signé.
• Vercel Blob (Vercel Inc., région UE) — stockage des photos téléversées via le formulaire Proposer mon logement. Les fichiers sont conservés tant que la pré-inscription correspondante l'est, puis supprimés en même temps.
• Resend Inc. (États-Unis) — envoi des emails transactionnels (notifications d'équipe sur nouvelles soumissions, accusés de réception, emails de réinitialisation de mot de passe, invitations CSE et messages envoyés aux propriétaires prospects depuis l'espace admin). Resend est également utilisé en mode Inbound pour rapatrier les réponses des propriétaires prospects vers le journal interne, sur un sous-domaine dédié protégé par la signature Svix. Les données transmises sont limitées au contenu de l'email, le temps de son acheminement. Transfert encadré par les Clauses Contractuelles Types de la Commission européenne.
• Upstash Inc. (région UE) — Redis managé utilisé pour le rate limiting distribué (anti-abus) et la sentinelle temps-réel des SSE (réservations, messagerie). Aucun contenu personnel n'y est stocké : clés courtes (compteurs et timestamps) avec TTL de quelques minutes à 24 h.
• Outils de mesure d'audience (optionnels, soumis à consentement) — selon les besoins, nous pouvons activer Microsoft Clarity (heatmaps et enregistrements de session, Microsoft Corp., États-Unis) et Google Analytics 4 (mesure de fréquentation et de conversion, Google Ireland Ltd., Union européenne, transferts vers les États-Unis encadrés par les CCT et le DPF). Ces outils ne sont chargés qu'après recueil de votre consentement explicite via le bandeau cookies. Sans consentement, aucun script n'est exécuté et aucune donnée n'est transmise. Les zones contenant des informations personnelles (formulaires, champs de contact, messages libres) sont masquées dans les enregistrements Clarity. Aucune donnée personnelle (email, nom, téléphone, adresse, message) n'est transmise dans les événements analytics.
• Plausible (mesure d'audience sans cookie, exemption CNIL) peut également être activée. Elle ne dépose ni cookie ni identifiant utilisateur et ne nécessite pas de consentement préalable.
• Mesure d'audience interne (clickstream) — en complément des outils tiers ci-dessus, nous enregistrons sur nos serveurs (Neon, Francfort) les événements de navigation (pages vues, clics, soumissions de formulaires, scroll) afin d'améliorer le parcours. Identifiant de session aléatoire stocké en sessionStorage (durée de l'onglet, pas de cookie persistant), IP et user-agent hashés et salés avant stockage. Aucune capture textuelle : ni contenu de formulaire, ni textContent de bouton, ni URL externe complète. Ce traceur est strictement soumis au même consentement que Clarity / GA4 — refus = aucun envoi. Rétention 13 mois maximum, purge automatique.

Le stockage durable des données est entièrement réalisé en Union européenne (Neon Francfort, Vercel Blob UE). Le seul transfert hors UE concerne l'acheminement des emails de notification via Resend (États-Unis), encadré par les CCT. La liste finale des sous-traitants et le DPA consolidé seront publiés à l'ouverture du programme.

Les durées de conservation sont calculées à partir de la date de soumission du formulaire. Une purge automatique supprime les enregistrements expirés.

• Formulaire Contact : 12 mois.
• Formulaire Pilote : 36 mois (durée standard CNIL pour la prospection commerciale BtoB).
• Formulaire Proposer mon logement : 36 mois, photos incluses.
• Compte membre/propriétaire (profil, rôles, traces d'accès) : pendant la durée de la relation contractuelle puis 24 mois d'inactivité.
• Messages liés à une réservation : pendant la durée de la relation contractuelle puis 5 ans à titre probatoire (art. 2224 C. civ.).
• Réservations elles-mêmes (dates, prix, statut de paiement) : 10 ans à compter de la fin du séjour (obligation comptable art. L.123-22 Code de commerce — les réservations portent du finance assimilable à des pièces justificatives).
• Leads Pilote : 36 mois. Contrats pilote signés : 10 ans à compter de la fin du contrat (obligation comptable).
• Prospects propriétaires sourcés (collecte indirecte) : 24 mois à compter de la dernière interaction. Toute personne qui en fait la demande peut obtenir la suppression immédiate de sa fiche en écrivant à contact@homecircle.fr — sans condition ni justification, conformément à l'article 21 RGPD (droit d'opposition au traitement fondé sur l'intérêt légitime).
• Journal des emails échangés avec un prospect propriétaire : pendant 24 mois à compter du dernier échange ou jusqu'à conversion en compte propriétaire.

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits d'accès, de rectification, d'effacement, de limitation, d'opposition et de portabilité de vos données.

Cas particulier — sourcing propriétaire. Si vous nous adressez une demande au titre d'une fiche prospect créée à partir d'une annonce publique, votre droit d'opposition (article 21 RGPD) prévaut immédiatement et sans condition : votre fiche, l'historique d'emails associé et tout brouillon d'annonce dérivé sont supprimés sous quelques jours, et aucun démarchage ultérieur n'est possible.

Pour exercer vos droits, écrivez à contact@homecircle.fr en précisant votre demande et l'adresse email avec laquelle vous nous avez contactés. Nous répondons sous 30 jours conformément au délai légal. La demande d'effacement entraîne également la suppression des fichiers associés (photos, contrats) sur Vercel Blob.

Vous pouvez également introduire une réclamation auprès de la CNIL (www.cnil.fr).

Certains emails (réinitialisation de mot de passe, invitation à rejoindre votre CSE, lien de validation d'une fiche propriétaire) contiennent un lien personnel comportant un jeton dans l'adresse. Ce jeton est à usage unique, expire rapidement (de 1 heure à 14 jours selon le cas), et n'est jamais journalisé en clair côté serveur. Évitez simplement de transférer ces emails à des tiers.

Ce site n'utilise aucun cookie publicitaire et ne pratique aucune revente de données.

Selon les besoins du programme, des outils de mesure d'audience peuvent être activés pour améliorer le site et mesurer la performance des parcours :

• Microsoft Clarity — heatmaps et enregistrements de session pour comprendre les frictions d'usage. Les zones sensibles (formulaires, champs de contact, informations personnelles, messages libres) sont masquées dans les enregistrements.
• Google Analytics 4 — mesure de fréquentation et événements de conversion (clics sur les CTAs principaux, soumissions de formulaires). Aucune donnée personnelle (email, nom, téléphone, adresse, message libre) n'est transmise dans les événements.
• Plausible — mesure d'audience sans cookie (exemption CNIL), utilisable sans consentement préalable.
• Mesure d'audience interne (clickstream) — un journal des événements de navigation (pages vues, clics, soumissions de formulaires, paliers de scroll) est tenu sur nos serveurs (Neon, Francfort) pour comprendre l'usage du site et l'améliorer. Identifiant de session aléatoire conservé en sessionStorage (durée de l'onglet, pas de cookie persistant) ; adresse IP et user-agent transformés en empreinte cryptographique salée avant stockage. Le contenu des formulaires n'est jamais journalisé — seul l'identifiant du formulaire est consigné. Rétention 13 mois maximum (doctrine CNIL « mesure d'audience »), purge automatique. Ce traceur interne est soumis au même consentement que Clarity et Google Analytics 4 : aucun envoi tant que vous n'avez pas explicitement accepté.

Refus possible à tout moment. Clarity, Google Analytics 4 et la mesure d'audience interne reposent sur des traceurs non essentiels : aucun script ni aucun envoi tant que vous n'avez pas explicitement accepté via le bandeau cookies présenté lors de votre première visite. Vous pouvez à tout moment changer d'avis en cliquant sur Gérer les cookies en pied de page : le bandeau réapparaîtra, la file d'événements en attente sera vidée et le site restera pleinement fonctionnel sans ces outils.

Cette politique sera mise à jour avant l'ouverture officielle du programme, et à chaque évolution significative du traitement.