Politique de Confidentialité

HEMUT-LINK — Le Hub Central du Bâtiment

Dernière mise à jour : 8 février 2026

1. Responsable du traitement

Le responsable du traitement des données personnelles est :

THALORA SAS

Exploitant la plateforme Hemut-link sous licence

149 avenue du Maine, 75014 Paris, France

Contact RGPD : contact@hemut-link.com

2. Données collectées

Les types de données collectées varient selon les services utilisés.

2.1 Données d'identification

  • • Nom, prénom
  • • Email
  • • Téléphone
  • • Adresse postale
  • • Photo de profil (facultatif)

2.2 Données professionnelles (profils professionnels)

  • • Raison sociale
  • • SIRET / SIREN
  • • RCS (si applicable)
  • • TVA intracommunautaire (si applicable)
  • • Code APE / NAF
  • • Forme juridique
  • • Capital social (si applicable)
  • • Métier / activité
  • • Qualifications, certifications
  • • Assurances (RC Pro, décennale)
  • • Attestation URSSAF de vigilance

2.3 Données d'identité — vérification anti-fraude (profils professionnels)

Dans le cadre de la sécurisation des comptes professionnels, Hemut-link peut collecter :

  • • Copie d'une pièce d'identité du dirigeant ou représentant légal (CNI, passeport, titre de séjour)

Cette collecte vise la lutte contre la fraude, la prévention des usurpations d'identité et la sécurisation de l'accès aux services professionnels (paiement, workspaces, missions).

Hemut-link ne collecte pas volontairement de données dites sensibles (au sens du RGPD). Toutefois, certaines informations peuvent apparaître sur les documents transmis par l'utilisateur.

2.4 Données marketplace

  • • Annonces publiées
  • • Historique des transactions
  • • Évaluations et avis
  • • Messages échangés entre utilisateurs

2.5 Données des workspaces (missions / chantiers)

  • • Documents partagés (devis, factures, contrats, attestations, PV, photos, etc.)
  • • Messages et discussions
  • • Validations, étapes, historique des actions
  • • Fichiers uploadés dans le cloud documentaire

2.6 Données de paiement (Stripe Connect)

Les données bancaires sont collectées et traitées exclusivement par Stripe.

Hemut-link ne stocke aucune donnée bancaire (numéro de carte, IBAN).

Hemut-link conserve uniquement :

  • • Identifiant Stripe Connect du compte utilisateur
  • • Historique des transactions (montants, dates, statuts)
  • • Informations de facturation nécessaires à la traçabilité comptable

2.7 Données de connexion et techniques

  • • Adresse IP
  • • Logs de connexion
  • • Type de navigateur
  • • Système d'exploitation
  • • Pages consultées
  • • Horodatage
  • • Cookies techniques

3. Finalités du traitement

Les données sont traitées pour les finalités suivantes :

3.1 Création et gestion des comptes

Inscription, authentification, gestion du profil utilisateur

3.2 Fourniture des services

Marketplace, missions Hemut-link Go, dashboard, workspaces, cloud documentaire, devis, factures, contrats, outils SaaS

3.3 Mise en relation professionnelle

Matching artisans / donneurs d'ordre, sous-traitance, collaboration chantier

3.4 Paiements et facturation

Transactions via Stripe Connect, génération et conservation des factures

3.5 Vérification, conformité et sécurité

Vérification SIRET, collecte URSSAF / assurances, lutte contre la fraude, prévention des abus, sécurisation des comptes professionnels, modération et signalements

3.6 Support utilisateur

Assistance, gestion des demandes, traitement des litiges liés à l'utilisation de la plateforme (hors exécution des prestations)

3.7 Amélioration des services

Statistiques d'usage, amélioration UX, données anonymisées ou agrégées

3.8 Communication (si applicable)

Envoi d'emails transactionnels (inscription, sécurité, notifications), envoi d'informations liées au service, communications marketing uniquement sur consentement lorsque requis

4. Base légale du traitement

Les traitements réalisés reposent sur :

4.1 Exécution contractuelle

Fourniture des services, gestion du compte, accès aux fonctionnalités, mise en relation, workspaces, paiements

4.2 Obligation légale

Facturation, obligations comptables, lutte contre la fraude, conservation légale des données financières

4.3 Intérêt légitime

Sécurité de la plateforme, prévention des usurpations d'identité, amélioration des services, détection des comportements abusifs

4.4 Consentement

Cookies non essentiels, communications marketing (lorsque requis)

5. Destinataires des données

Les données peuvent être partagées avec :

5.1 Prestataires techniques

  • Stripe : prestataire de paiement sécurisé
  • Vercel : hébergement frontend (CDN, déploiement)
  • OVH : hébergement backend, base de données, stockage (France/UE)

D'autres prestataires peuvent être utilisés selon les besoins techniques (email transactionnel, logs, monitoring, support), dans le respect du RGPD.

5.2 Autres utilisateurs

Dans le cadre des workspaces, missions et marketplace, certaines données peuvent être visibles par d'autres utilisateurs (notamment : profil public, informations nécessaires à l'exécution de la prestation).

5.3 Autorités compétentes

Les données peuvent être transmises aux autorités compétentes si requis par la loi (URSSAF, justice, DGCCRF, etc.).

Hemut-link ne vend jamais vos données. Vos données ne sont jamais utilisées à des fins publicitaires par des tiers.

6. Paiements — Stripe Connect

Les paiements sont traités par Stripe.

  • ✓ Les données bancaires sont collectées exclusivement par Stripe
  • Hemut-link ne stocke aucune donnée bancaire
  • ✓ Stripe est certifié PCI-DSS niveau 1
  • ✓ Les données KYC requises par Stripe sont transmises directement à Stripe

Hemut-link conserve :

  • • Identifiant Stripe Connect
  • • Historique des transactions
  • • Données de facturation nécessaires

L'utilisateur est invité à consulter la politique de confidentialité de Stripe.

7. Workspaces et documents partagés

Les workspaces Hemut-link permettent le partage de documents et d'informations entre les parties concernées (donneur d'ordre, prestataire, sous-traitant, client).

Documents pouvant contenir des données personnelles :

  • • Devis et factures
  • • Contrats de sous-traitance
  • • Attestations URSSAF et assurances
  • • Photos de chantier
  • • Procès-verbaux, états des lieux

7.1 Accès aux documents

Les documents uploadés sont accessibles uniquement :

  • • Aux utilisateurs autorisés sur le workspace concerné
  • • Aux personnes habilitées chez Hemut-link dans le cadre strict du support technique, de la sécurité, de la modération, ou d'une obligation légale

8. Vérification d'identité des dirigeants (anti-fraude)

Dans le cadre de la sécurisation des comptes professionnels, Hemut-link peut demander une pièce d'identité du dirigeant ou représentant légal.

8.1 Finalité

  • • Lutte contre la fraude
  • • Prévention des usurpations
  • • Sécurisation des paiements
  • • Accès aux fonctionnalités professionnelles avancées

8.2 Accès et confidentialité

L'accès aux pièces d'identité est strictement limité aux personnes habilitées.

8.3 Conservation

Les pièces d'identité sont conservées pour la durée strictement nécessaire à la vérification, puis supprimées dans un délai maximum de :

90 jours — sauf obligation légale ou contentieux justifiant une conservation plus longue.

9. Transferts hors Union Européenne

Certaines données peuvent être traitées en dehors de l'Union Européenne, notamment via :

  • Vercel (CDN mondial, siège aux États-Unis)
  • Stripe (traitement de paiement, siège aux États-Unis)

Des garanties appropriées sont mises en place conformément au RGPD, notamment :

  • Clauses contractuelles types de la Commission européenne
  • Certifications applicables
  • Data Privacy Framework lorsque applicable
Le backend et la base de données sont hébergés chez OVH en France/UE, garantissant que les données principales restent dans l'UE.

10. Durée de conservation

Les données sont conservées pour une durée limitée, proportionnée aux finalités.

  • 10.1 — Données de compteDurée de la relation + 3 ans
  • 10.2 — Données de facturation10 ans (obligation légale)
  • 10.3 — Contrats et documents contractuels10 ans (obligation légale ou intérêt probatoire)
  • 10.4 — Documents workspacesDurée du workspace + 1 an
  • 10.5 — Logs de connexion1 an
  • 10.6 — Données Stripe ConnectSelon politique Stripe + 5 ans
  • 10.7 — Pièces d'identité (vérification)90 jours max (sauf contentieux)
  • 10.8 — Cookies13 mois maximum

Au-delà de ces durées, les données sont supprimées ou anonymisées de manière irréversible.

11. Vos droits (RGPD)

Conformément au RGPD (articles 15 à 22), vous disposez des droits suivants :

Accès

Art. 15

Rectification

Art. 16

Effacement

Art. 17

Limitation

Art. 18

Portabilité

Art. 20

Opposition

Art. 21

Pour exercer vos droits : contact@hemut-link.com

Réponse sous 30 jours conformément au RGPD.

Une copie d'une pièce d'identité peut être demandée uniquement en cas de doute raisonnable sur l'identité du demandeur.

Vous disposez également du droit d'introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés).

12. Cookies

La plateforme utilise des cookies pour :

12.1 Cookies essentiels (sans consentement)

Authentification, session, sécurité

12.2 Cookies fonctionnels

Préférences utilisateur, langue, thème

12.3 Cookies statistiques (soumis au consentement)

Mesure d'audience, statistiques anonymisées

L'utilisateur peut gérer ses préférences :

  • • Via le bandeau cookies intégré à la plateforme
  • • Et/ou via les paramètres de son navigateur

La durée de vie des cookies n'excède pas 13 mois.

13. Sécurité des données

Hemut-link met en œuvre des mesures techniques et organisationnelles adaptées :

  • Chiffrement des données en transit (HTTPS/TLS)
  • Authentification sécurisée (JWT, refresh tokens, bcrypt)
  • Hébergement sécurisé (OVH France/UE, Vercel)
  • Accès restreint (principe du moindre privilège)
  • Journalisation des accès administrateurs
  • Sauvegardes régulières et plan de reprise
  • Signature électronique conforme eIDAS (si activée)

14. Notification de violation de données

En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour les droits et libertés des personnes concernées :

  • Hemut-link notifiera la CNIL sous 72 heures conformément à l'article 33 du RGPD
  • Et informera les utilisateurs concernés si le risque est élevé (article 34 du RGPD)

15. Modification de la politique

Cette politique peut être mise à jour à tout moment.

Les modifications substantielles seront notifiées via la plateforme ou par email.

La version en vigueur est celle accessible sur la plateforme.

16. Contact

Pour toute question relative aux données personnelles :

Email : contact@hemut-link.com

© 2026 — Hemut-link

Tous droits réservés.

CGUCGVMentions légales