Therm'Up

Politique de Confidentialité

Mise à jour le 01 décembre 2025

Sommaire

1. PRÉAMBULE

La société TBM Solutions, société par actions simplifiée au capital social de 100 euros, dont le siège social est situé au 50, rue de la Vierge, 59270 STRAZEELE et immatriculée au R.C.S. de DUNKERQUE sous le numéro 931 562 268 (ci-après dénommée « TBM Solutions » ou « nous »), attache une grande importance à la protection de vos données personnelles et au respect de votre vie privée.

La présente Politique de Confidentialité a pour objectif de vous informer de manière claire et transparente sur les modalités de traitement de vos données personnelles dans le cadre de l'utilisation de notre plateforme SaaS Therm'Up (ci-après le « Service »).

Cette Politique est établie en conformité avec le Règlement Général sur la Protection des Données (RGPD) n° 2016/679 du 27 avril 2016 et la loi française n° 78-17 du 6 janvier 1978 modifiée dite « Informatique et Libertés ».

2. DÉFINITIONS

« Données Personnelles »
désigne toute information se rapportant à une personne physique identifiée ou identifiable. Est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
« Traitement »
désigne toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.
« Responsable de Traitement »
désigne la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement.
« Sous-traitant »
désigne la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
« Personne Concernée » ou « Utilisateur »
désigne toute personne physique dont les données personnelles font l'objet d'un traitement par TBM Solutions.

3. DONNÉES COLLECTÉES

Dans le cadre de l'utilisation du Service, nous sommes amenés à collecter et traiter les catégories de données personnelles suivantes :

3.1. Données d'identification

  • Nom et prénom
  • Adresse email professionnelle
  • Nom de l'entreprise ou organisation
  • Fonction ou rôle au sein de l'entreprise (Administrateur, Utilisateur)

3.2. Données de connexion et d'utilisation

  • Identifiants de connexion
  • Données de journalisation (logs) : adresse IP, date et heure de connexion
  • Données de navigation et d'utilisation du Service
  • Paramètres et préférences utilisateur

3.3. Données relatives aux projets et rapports

  • Données des projets thermiques (caractéristiques techniques, paramètres de simulation)
  • Rapports d'études générés via le Service
  • Documents et fichiers importés par l'Utilisateur

3.4. Données de paiement

Les données de paiement (numéro de carte bancaire, date d'expiration, cryptogramme) ne sont jamais collectées ni stockées par TBM Solutions. Elles sont collectées et traitées directement par notre prestataire de paiement sécurisé Stripe, certifié PCI-DSS niveau 1.

TBM Solutions collecte uniquement les informations de facturation suivantes :

  • Nom de facturation
  • Adresse de facturation
  • Numéro de TVA intracommunautaire (si applicable)
  • Historique des transactions (montants, dates, statuts de paiement)

4. FINALITÉS DU TRAITEMENT

Les données personnelles collectées sont traitées pour les finalités suivantes :

4.1. Fourniture et gestion du Service

  • Création et gestion de votre compte utilisateur
  • Authentification et contrôle d'accès
  • Mise à disposition des fonctionnalités du Service (génération de rapports, gestion de projets, etc.)
  • Personnalisation de l'expérience utilisateur
  • Sauvegarde et synchronisation de vos données

4.2. Gestion commerciale et contractuelle

  • Gestion des abonnements et des licences
  • Traitement des paiements et facturation
  • Gestion du support client et assistance technique
  • Traitement des réclamations
  • Communication relative au Service

4.3. Amélioration du Service

  • Analyse statistique de l'utilisation du Service (de manière anonymisée)
  • Amélioration des fonctionnalités et de l'ergonomie
  • Détection et correction des bugs
  • Développement de nouvelles fonctionnalités

4.4. Sécurité et prévention des fraudes

  • Sécurisation du Service et des données
  • Prévention et détection des accès frauduleux
  • Respect des obligations légales et réglementaires
  • Gestion des litiges et exercice des droits

4.5. Communication marketing (avec consentement)

  • Envoi de newsletters et d'informations sur nos services (uniquement si vous avez donné votre consentement)
  • Invitations à des événements ou webinaires (uniquement si vous avez donné votre consentement)

Vous pouvez à tout moment retirer votre consentement ou vous désabonner de ces communications via le lien de désinscription présent dans chaque email.

5. BASE LÉGALE DU TRAITEMENT

Conformément au RGPD, les traitements de données personnelles sont fondés sur les bases légales suivantes :

5.1. Exécution du contrat (Article 6.1.b du RGPD)

Le traitement des données est nécessaire à l'exécution du contrat d'abonnement au Service et à la fourniture des prestations demandées (gestion du compte, fourniture du Service, facturation).

5.2. Intérêt légitime (Article 6.1.f du RGPD)

Certains traitements sont fondés sur l'intérêt légitime de TBM Solutions, notamment :

  • L'amélioration continue du Service et de l'expérience utilisateur
  • La sécurité et la prévention des fraudes
  • L'analyse statistique anonymisée de l'utilisation
  • La gestion des litiges

5.3. Consentement (Article 6.1.a du RGPD)

Certains traitements sont fondés sur votre consentement explicite et préalable, notamment :

  • L'envoi de communications marketing
  • L'utilisation de certains cookies non essentiels

Vous avez le droit de retirer votre consentement à tout moment, sans que cela n'affecte la licéité du traitement fondé sur le consentement effectué avant ce retrait.

5.4. Obligation légale (Article 6.1.c du RGPD)

Certains traitements sont nécessaires au respect de nos obligations légales, notamment en matière de comptabilité, de fiscalité et de conservation de documents.

6. DESTINATAIRES DES DONNÉES

Vos données personnelles sont traitées en interne par les collaborateurs habilités de TBM Solutions dans le cadre de leurs fonctions respectives.

6.1. Prestataires techniques et sous-traitants

Pour l'exécution du Service, nous faisons appel à des prestataires techniques tiers agissant en qualité de sous-traitants au sens du RGPD. Ces prestataires sont contractuellement tenus de respecter la confidentialité et la sécurité de vos données et ne peuvent les utiliser qu'aux fins pour lesquelles nous les leur communiquons.

Nos principaux sous-traitants :

Supabase Inc.

  • Service : Hébergement de la base de données, authentification, stockage de fichiers
  • Localisation : États-Unis (avec garanties appropriées)
  • Finalité : Infrastructure backend du Service

Vercel Inc.

  • Service : Hébergement de l'application, CDN, fonctions serverless
  • Localisation : États-Unis et Europe (CDN mondial)
  • Finalité : Infrastructure de déploiement et d'exécution de l'application

Stripe Inc.

  • Service : Traitement des paiements en ligne
  • Localisation : États-Unis (certifié PCI-DSS niveau 1)
  • Finalité : Gestion sécurisée des paiements et des abonnements

Microsoft OneDrive (optionnel)

  • Service : Importation de fichiers depuis OneDrive (uniquement si activé par l'utilisateur)
  • Localisation : Europe et États-Unis
  • Finalité : Synchronisation de documents (avec consentement explicite)

6.2. Autorités et obligations légales

Nous pouvons être amenés à communiquer vos données personnelles aux autorités compétentes dans les cas suivants :

  • Lorsque la loi nous y oblige
  • En réponse à une demande judiciaire ou administrative légalement fondée
  • Pour protéger nos droits, notre propriété ou notre sécurité, ou ceux de nos utilisateurs ou du public

6.3. Aucune vente de données

TBM Solutions ne vend, ne loue et ne cède jamais vos données personnelles à des tiers à des fins commerciales ou publicitaires.

7. TRANSFERTS DE DONNÉES HORS UNION EUROPÉENNE

Certains de nos prestataires techniques (notamment Supabase, Vercel et Stripe) sont situés aux États-Unis et peuvent être amenés à traiter vos données personnelles en dehors de l'Union Européenne.

7.1. Garanties appropriées

Conformément au RGPD, ces transferts sont encadrés par des garanties appropriées, notamment :

  • Clauses Contractuelles Types (CCT) approuvées par la Commission européenne
  • Certifications et codes de conduite reconnus (ex: ISO 27001, SOC 2, PCI-DSS)
  • Mesures de sécurité supplémentaires : chiffrement des données en transit et au repos, contrôles d'accès stricts

7.2. Droit d'information

Vous pouvez obtenir une copie des garanties mises en place pour encadrer les transferts de données hors UE en nous contactant à l'adresse indiquée dans la section « Contact et réclamations ».

8. DURÉE DE CONSERVATION DES DONNÉES

Les données personnelles sont conservées pendant une durée proportionnée aux finalités pour lesquelles elles ont été collectées, conformément aux principes du RGPD.

8.1. Données de compte et d'utilisation

  • Compte actif : Les données sont conservées pendant toute la durée de votre abonnement actif
  • Compte résilié : Les données sont conservées pendant une durée de 3 ans à compter de la résiliation, puis supprimées ou anonymisées, sauf obligation légale contraire

8.2. Données de facturation et comptables

  • Conservées pendant 10 ans conformément aux obligations légales comptables et fiscales

8.3. Logs de connexion et de sécurité

  • Conservés pendant 12 mois conformément aux obligations légales en matière de sécurité informatique

8.4. Données de prospection commerciale

  • Conservées pendant 3 ans à compter du dernier contact ou du retrait du consentement

8.5. Archivage

Au-delà des durées de conservation mentionnées ci-dessus, certaines données peuvent être archivées de manière sécurisée pour répondre à des obligations légales spécifiques (ex : gestion de litiges, prévention de la fraude). L'accès à ces données archivées est strictement limité et contrôlé.

9. SÉCURITÉ DES DONNÉES

TBM Solutions met en œuvre toutes les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté aux risques liés au traitement de vos données personnelles.

9.1. Mesures techniques

  • Chiffrement : Chiffrement des données en transit (HTTPS/TLS) et au repos (chiffrement AES-256)
  • Authentification sécurisée : Système d'authentification robuste avec hashage des mots de passe (bcrypt)
  • Contrôle d'accès : Politiques de contrôle d'accès strictes basées sur les rôles (RBAC) et Row Level Security (RLS)
  • Pare-feu et protection DDoS : Infrastructure protégée par des pare-feu et des systèmes anti-DDoS
  • Sauvegardes : Sauvegardes régulières et automatiques des données
  • Surveillance : Monitoring continu et détection des anomalies

9.2. Mesures organisationnelles

  • Accès limité aux données personnelles aux seuls collaborateurs habilités
  • Sensibilisation et formation du personnel à la sécurité et à la protection des données
  • Politique de mots de passe stricts
  • Procédures de gestion des incidents de sécurité
  • Audits de sécurité réguliers et tests de vulnérabilité

9.3. Notification des violations de données

En cas de violation de données personnelles susceptible d'engendrer un risque élevé pour vos droits et libertés, nous nous engageons à :

  • Notifier la CNIL dans les 72 heures suivant la prise de connaissance de la violation
  • Vous informer dans les meilleurs délais si la violation est susceptible de vous affecter
  • Documenter la violation et les mesures prises pour y remédier

10. DROITS DES PERSONNES CONCERNÉES

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants concernant vos données personnelles :

10.1. Droit d'accès (Article 15 RGPD)

Vous avez le droit d'obtenir la confirmation que vos données personnelles sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites données ainsi qu'aux informations concernant les modalités de traitement.

10.2. Droit de rectification (Article 16 RGPD)

Vous avez le droit d'obtenir la rectification de vos données personnelles inexactes ou incomplètes. Vous pouvez également mettre à jour vos informations directement depuis votre compte utilisateur.

10.3. Droit à l'effacement / « droit à l'oubli » (Article 17 RGPD)

Vous avez le droit d'obtenir l'effacement de vos données personnelles dans certains cas, notamment :

  • Lorsque les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées
  • Lorsque vous retirez votre consentement et qu'il n'existe pas d'autre fondement juridique au traitement
  • Lorsque les données ont fait l'objet d'un traitement illicite

Ce droit ne s'applique pas lorsque le traitement est nécessaire au respect d'une obligation légale ou à la constatation, l'exercice ou la défense de droits en justice.

10.4. Droit à la limitation du traitement (Article 18 RGPD)

Vous avez le droit d'obtenir la limitation du traitement de vos données dans certaines situations, notamment lorsque vous contestez l'exactitude des données ou la licéité du traitement.

10.5. Droit à la portabilité (Article 20 RGPD)

Vous avez le droit de recevoir vos données personnelles dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable de traitement.

Ce droit s'applique uniquement aux données que vous nous avez fournies sur la base de votre consentement ou de l'exécution d'un contrat, et lorsque le traitement est effectué à l'aide de procédés automatisés.

10.6. Droit d'opposition (Article 21 RGPD)

Vous avez le droit de vous opposer à tout moment au traitement de vos données personnelles fondé sur l'intérêt légitime, pour des raisons tenant à votre situation particulière.

Vous avez également le droit de vous opposer à tout moment au traitement de vos données à des fins de prospection commerciale, y compris au profilage lié à cette prospection.

10.7. Droit de retirer votre consentement

Lorsque le traitement est fondé sur votre consentement, vous avez le droit de le retirer à tout moment. Ce retrait n'affecte pas la licéité du traitement fondé sur le consentement effectué avant le retrait.

10.8. Droit de définir des directives post-mortem

Conformément à l'article 85 de la loi Informatique et Libertés, vous avez le droit de définir des directives relatives à la conservation, à l'effacement et à la communication de vos données personnelles après votre décès.

10.9. Modalités d'exercice de vos droits

Pour exercer l'un de ces droits, vous pouvez nous contacter :

Pièces justificatives : Pour des raisons de sécurité et afin de prévenir toute usurpation d'identité, nous pourrons vous demander de nous fournir une copie d'un document d'identité signé.

Délai de réponse : Nous nous engageons à répondre à votre demande dans un délai d'un (1) mois à compter de sa réception. Ce délai peut être prolongé de deux (2) mois supplémentaires en cas de complexité ou de nombre élevé de demandes. Dans ce cas, nous vous en informerons dans le mois suivant la réception de votre demande.

11. COOKIES ET TRACEURS

Le Service utilise des cookies et autres technologies de traçage pour améliorer votre expérience et analyser l'utilisation du Service.

11.1. Qu'est-ce qu'un cookie ?

Un cookie est un petit fichier texte déposé sur votre terminal (ordinateur, smartphone, tablette) lors de la visite d'un site web. Il permet de conserver des informations relatives à votre navigation et de vous reconnaître lors de vos visites ultérieures.

11.2. Types de cookies utilisés

Cookies strictement nécessaires

Ces cookies sont indispensables au fonctionnement du Service et ne peuvent pas être désactivés. Ils incluent notamment les cookies d'authentification et de sécurité.

Base légale : Intérêt légitime (Article 6.1.f RGPD)

Cookies de performance et d'analyse

Ces cookies nous permettent de mesurer l'audience du Service, d'analyser la navigation et d'améliorer les fonctionnalités. Les données collectées sont anonymisées et agrégées.

Base légale : Consentement (Article 6.1.a RGPD)

11.3. Gestion des cookies

Vous pouvez à tout moment gérer vos préférences en matière de cookies :

  • Paramètres du navigateur : La plupart des navigateurs web permettent de contrôler les cookies via leurs paramètres. Vous pouvez configurer votre navigateur pour refuser les cookies ou pour être alerté lorsqu'un cookie est déposé.
  • Bandeau de consentement : Lors de votre première visite, un bandeau vous permet d'accepter ou de refuser les cookies non essentiels.

Important : Le refus de certains cookies peut affecter le bon fonctionnement du Service et limiter l'accès à certaines fonctionnalités.

11.4. Durée de conservation des cookies

  • Cookies de session : Supprimés à la fermeture du navigateur
  • Cookies persistants : Durée maximale de 13 mois conformément aux recommandations de la CNIL

12. MODIFICATIONS

TBM Solutions se réserve le droit de modifier la présente Politique de Confidentialité à tout moment afin de refléter les évolutions du Service, les changements législatifs ou réglementaires, ou nos pratiques en matière de protection des données.

Notification des modifications : En cas de modification substantielle, nous vous en informerons par email ou par une notification visible sur le Service au moins 30 jours avant l'entrée en vigueur des modifications.

Consultation de la dernière version : La version en vigueur de la Politique de Confidentialité est toujours accessible sur notre site web avec indication de la date de dernière mise à jour.

Acceptation des modifications : La poursuite de l'utilisation du Service après l'entrée en vigueur des modifications vaut acceptation de la Politique de Confidentialité modifiée. Si vous n'acceptez pas les modifications, vous devez cesser d'utiliser le Service et demander la suppression de votre compte.

13. CONTACT ET RÉCLAMATIONS

13.1. Responsable de traitement

Le responsable de traitement des données personnelles collectées via le Service est :

TBM Solutions

SAS au capital de 100 euros

50, rue de la Vierge

59270 STRAZEELE

RCS DUNKERQUE : 931 562 268

13.2. Délégué à la Protection des Données (DPO)

Pour toute question relative à la protection de vos données personnelles ou pour exercer vos droits, vous pouvez contacter notre Délégué à la Protection des Données (DPO) :

13.3. Réclamation auprès de la CNIL

Si vous estimez, après nous avoir contactés, que vos droits en matière de protection des données personnelles ne sont pas respectés, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

CNIL

3 Place de Fontenoy

TSA 80715

75334 PARIS CEDEX 07

Site web : www.cnil.fr

13.4. Formulaire en ligne

Vous pouvez également déposer une réclamation en ligne directement sur le site de la CNIL : https://www.cnil.fr/fr/plaintes

Notre engagement

Chez TBM Solutions, la protection de vos données personnelles est une priorité. Nous nous engageons à traiter vos données avec le plus grand soin, dans le respect de la réglementation applicable et selon les principes de transparence, de minimisation et de sécurité.

Pour toute question ou préoccupation concernant la protection de vos données, n'hésitez pas à nous contacter. Nous sommes à votre écoute.