Politique de confidentialité — Flambo
Dernière mise à jour : 27/04/2026
Flambo est un service édité par ALTERPLUS, société par actions simplifiée unipersonnelle (SASU) au capital social de 1 000 €, dont le siège social est situé au 20 rue du Clos-Luce, 92400 Courbevoie, immatriculée au Registre du Commerce et des Sociétés de Nanterre sous le numéro 828 533 174.
ALTERPLUS attache une importance particulière à la protection des données personnelles. La présente politique explique quelles données sont collectées, pour quelles finalités, qui y a accès et quels sont vos droits, conformément au Règlement général sur la protection des données (RGPD – UE 2016/679) et à la loi « Informatique et Libertés » modifiée.
1. Périmètre du service Flambo
Flambo est un standard de signalement par QR code et conversation, destiné principalement aux copropriétés souhaitant offrir à leurs résidents, visiteurs et prestataires un canal simple pour signaler un incident, transmettre une demande ou échanger une information. Une copropriété utilise Flambo de la même manière qu'elle pourrait utiliser un groupe WhatsApp ou une adresse email partagée.
Le service se compose des éléments suivants :
- Site public
flambo.app: présentation du service, formulaires de contact, mentions légales. - Page de redirection : page web atteinte après le scan d'un QR code Flambo, qui présente le service, recueille l'acceptation des CGU et de la présente politique, puis redirige l'utilisateur vers une conversation WhatsApp (ou canal équivalent) destinée à la copropriété concernée.
- Conversation WhatsApp : échanges entre l'utilisateur final et la copropriété via l'API WhatsApp Business (Meta), permettant le signalement, la demande d'information ou toute autre interaction prévue par la copropriété.
- Espace professionnel (back-office) : interface réservée aux copropriétés clientes et à leurs représentants habilités (syndic, conseil syndical), permettant la gestion des emplacements, des QR codes, des incidents et des contenus.
- Portail de supervision (
admin.flambo.appet environnements de développement / pré-production) : interface interne ALTERPLUS de monitoring opérationnel du parcours, à accès strictement restreint au personnel ALTERPLUS.
La présente politique couvre l'ensemble de ces composants.
2. Responsable du traitement
Le responsable du traitement, au sens de l'article 4 du RGPD, est :
ALTERPLUS 20 rue du Clos-Luce — 92400 Courbevoie RCS Nanterre 828 533 174 Contact : contact@alterplus.net
ALTERPLUS est responsable du traitement pour l'ensemble des opérations liées au fonctionnement du service Flambo : page de redirection, journalisation des scans, acheminement des messages, gestion des comptes, sécurité, supervision, communications relatives au service.
La copropriété qui utilise Flambo le fait en qualité de simple utilisateur du service, à l'image d'un groupe WhatsApp ou d'une adresse email partagée. Elle peut, par ailleurs, être responsable du traitement des données qu'elle réutilise dans le cadre de sa propre activité (par exemple, si elle reprend les informations dans son système de gestion). Ce traitement, distinct, n'est pas régi par la présente politique.
3. Données collectées
3.1 Données relatives à l'utilisateur final (parcours QR → WhatsApp)
Lors du scan d'un QR code et de l'utilisation du service de conversation, peuvent être collectées :
- Données techniques de scan : horodatage, identifiant technique du scan, identifiant de l'emplacement / QR, statut du parcours, données de corrélation et d'intégrité du flux ;
- Données de connexion : adresse IP, type de terminal et de navigateur, données nécessaires à la sécurité et à la prévention des abus ;
- Numéro de téléphone WhatsApp transmis par Meta lors de l'ouverture de la conversation ;
- Contenu des messages échangés (texte, pièces jointes éventuelles) et métadonnées associées (horodatage, sens d'envoi, état de lecture, identifiant de conversation) ;
- Données de contexte : référence à l'emplacement / lieu associé au QR scanné ;
- Preuve d'acceptation des CGU et de la politique de confidentialité (horodatage, version acceptée, identifiant technique).
3.2 Données relatives aux visiteurs du site flambo.app
- Données transmises volontairement via les formulaires (nom, prénom, email, message, organisation le cas échéant) ;
- Logs techniques minimaux nécessaires au bon fonctionnement et à la sécurité du site, y compris l'adresse IP.
3.3 Données relatives aux professionnels (back-office et supervision)
- Identité : nom, prénom, adresse email professionnelle ;
- Données de compte : identifiant, mot de passe (haché), rôles, droits d'accès, copropriété de rattachement ;
- Données de connexion et d'usage : adresse IP, horodatage des connexions, journaux d'actions effectuées dans l'application (création / modification de QR, gestion d'incidents, etc.) ;
- Données de session : jetons d'authentification.
3.4 Données relatives à la supervision technique
Dans le cadre du portail de supervision et des outils techniques associés (monitoring, diagnostics), sont traités principalement des journaux techniques et des indicateurs agrégés (volumes de scans, latences, taux d'erreur, incidents). Lorsqu'ils contiennent des données à caractère personnel (par exemple un identifiant technique ou une adresse IP pouvant être rattaché à un utilisateur), ces journaux sont soumis à la présente politique.
3.5 Information sur les données dites « sensibles »
Le service ne sollicite pas la transmission de données sensibles au sens de l'article 9 du RGPD (données de santé, opinions, etc.). Toutefois, l'utilisateur peut, par la nature même du signalement, transmettre volontairement des informations sensibles dans le contenu d'un message. Il est invité à ne communiquer que les informations strictement nécessaires à l'objet de son échange avec la copropriété. ALTERPLUS met en œuvre des mesures techniques et organisationnelles pour assurer la confidentialité de ces échanges.
4. Finalités du traitement
Les données sont traitées pour les finalités suivantes :
| # | Finalité | Catégories de données concernées |
|---|---|---|
| 1 | Fourniture du service de redirection (page de redirection, ouverture de la conversation WhatsApp) | Scans, données techniques, contexte lieu, IP |
| 2 | Acheminement et conservation des conversations entre l'utilisateur et la copropriété | Numéro WhatsApp, contenu et métadonnées des messages |
| 3 | Gestion des signalements et incidents (création, suivi, traitement) | Données de signalement, lieu, conversation associée |
| 4 | Sécurité, prévention de la fraude et des abus, intégrité du parcours | Logs techniques, IP, données de corrélation |
| 5 | Supervision technique, diagnostic, amélioration du service | Logs, métriques, indicateurs |
| 6 | Gestion des comptes professionnels (back-office, supervision) | Identité, données de compte et de connexion |
| 7 | Réponse aux demandes de contact reçues via le site | Données de formulaire |
| 8 | Communications relatives au service (informations opérationnelles, évolutions, tests pilotes) | Email, identité |
| 9 | Conservation des preuves d'acceptation des CGU et de la politique | Horodatage, version, identifiant technique |
| 10 | Respect des obligations légales et défense en justice | Toutes catégories pertinentes selon le cas |
Les données ne sont ni vendues, ni cédées à des tiers à des fins publicitaires.
5. Bases légales du traitement
Conformément à l'article 6 du RGPD, les traitements reposent sur les bases légales suivantes :
- Exécution d'un contrat ou de mesures précontractuelles (art. 6.1.b) : pour la fourniture du service de redirection et de conversation initiée par l'utilisateur, et pour la gestion des comptes professionnels.
- Intérêt légitime d'ALTERPLUS (art. 6.1.f) : pour la sécurité du service, la prévention des abus, la supervision technique, l'amélioration du service et la défense de ses droits. Un équilibre est assuré avec les droits et libertés des personnes concernées.
- Consentement (art. 6.1.a) : pour l'acceptation des CGU et de la présente politique sur la page de redirection (case non pré-cochée), et pour l'envoi éventuel de communications non strictement nécessaires.
- Obligation légale (art. 6.1.c) : lorsque la conservation ou la communication de certaines données est imposée par la loi.
Le consentement, lorsqu'il est requis, peut être retiré à tout moment, sans que cela n'affecte la licéité des traitements antérieurs.
6. Destinataires et sous-traitants
Les données sont accessibles, dans la limite de leurs besoins respectifs :
- ALTERPLUS et son personnel autorisé (équipe technique, support, supervision) ;
- La copropriété destinataire du QR scanné et ses représentants habilités, pour les échanges qu'elle entretient avec l'utilisateur via la conversation.
ALTERPLUS fait appel aux sous-traitants suivants pour le fonctionnement du service :
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Meta Platforms, Inc. (et entités du groupe Meta) | Acheminement des messages via l'API WhatsApp Business | États-Unis / Irlande |
| Brevo SAS | Envoi des emails transactionnels (notifications, demandes de contact) | France |
| Google Ireland Limited / Google LLC | Services techniques d'infrastructure et / ou de productivité (hébergement, messagerie, outils internes) | Irlande / États-Unis |
| Internet Security Research Group (ISRG) | Émission des certificats TLS (Let's Encrypt) sécurisant les communications avec le service | États-Unis |
Chaque sous-traitant est encadré par un contrat conforme à l'article 28 du RGPD (à l'exception des autorités d'émission de certificats publics, dont le rôle est strictement technique). Les données ne sont communiquées à des tiers que dans le cadre des finalités décrites ou en application d'une obligation légale.
7. Hébergement et transferts hors Union européenne
Les données sont hébergées au sein de l'Union européenne ou dans des pays reconnus comme assurant un niveau de protection adéquat.
Certains sous-traitants peuvent toutefois traiter des données depuis des pays situés en dehors de l'UE, en particulier :
- Meta Platforms dans le cadre de l'utilisation de WhatsApp Business, qui peut impliquer des transferts vers les États-Unis ;
- Google LLC, dont certains services peuvent impliquer des traitements depuis les États-Unis.
Ces transferts sont encadrés par les garanties prévues par le RGPD :
- Décisions d'adéquation de la Commission européenne, notamment le EU-U.S. Data Privacy Framework (DPF) lorsqu'il est applicable ;
- Clauses contractuelles types (CCT) adoptées par la Commission européenne ;
- Mesures complémentaires techniques et organisationnelles le cas échéant.
L'utilisation de WhatsApp est en outre soumise aux propres conditions et politique de confidentialité de Meta / WhatsApp, que l'utilisateur est invité à consulter.
8. Durées de conservation
Les durées de conservation sont définies par catégorie de données :
| Catégorie | Durée de conservation |
|---|---|
| Conversations WhatsApp et métadonnées associées | 24 mois après la dernière interaction |
| Journaux de scans et logs techniques applicatifs | 24 mois maximum |
| Données d'incidents / signalements | 24 mois après clôture, sauf obligation légale spécifique |
| Comptes professionnels (back-office, supervision) | Durée de la relation contractuelle + 24 mois |
| Logs de connexion et d'audit (back-office, supervision) | 24 mois |
| Données de contact (formulaires, demandes) | 24 mois à compter du dernier contact |
| Preuves d'acceptation des CGU / politique de confidentialité | Durée nécessaire à l'administration de la preuve, dans la limite des délais de prescription applicables |
| Données nécessaires à la facturation / comptabilité | 10 ans (obligation légale) |
À l'issue de ces durées, les données sont supprimées ou anonymisées.
9. Sécurité
ALTERPLUS met en œuvre des mesures techniques et organisationnelles appropriées pour garantir la confidentialité, l'intégrité et la disponibilité des données, notamment :
- Chiffrement des communications (TLS, certificats Let's Encrypt) ;
- Contrôle des accès et authentification des comptes professionnels ;
- Gestion des droits selon le principe du moindre privilège ;
- Journalisation des accès sensibles ;
- Sauvegardes régulières ;
- Procédures de gestion des incidents de sécurité.
10. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données :
- Droit d'accès ;
- Droit de rectification ;
- Droit à l'effacement (« droit à l'oubli »), dans les limites légales ;
- Droit d'opposition, en particulier au traitement fondé sur l'intérêt légitime ;
- Droit à la limitation du traitement ;
- Droit à la portabilité des données ;
- Droit de définir des directives post-mortem relatives au sort de vos données.
10.1 Modalités d'exercice
Vous pouvez exercer vos droits en écrivant à contact@alterplus.net, en précisant l'objet de votre demande et, si nécessaire pour confirmer votre identité, tout élément utile (par exemple, numéro de téléphone utilisé pour la conversation WhatsApp, date approximative du scan, lieu concerné).
Une réponse vous sera apportée dans un délai maximal d'un mois, prorogeable de deux mois en cas de complexité ou de volume des demandes.
10.2 Cas particulier des conversations WhatsApp
Pour les utilisateurs ayant interagi via WhatsApp, l'exercice des droits sur le contenu des messages peut nécessiter d'identifier le numéro et la copropriété concernés. Pour les actions touchant aux messages eux-mêmes, l'utilisateur peut également utiliser les fonctionnalités proposées directement par WhatsApp (suppression de messages, blocage, etc.).
10.3 Mineurs
Le service n'est pas spécifiquement destiné aux mineurs. Les mineurs souhaitant utiliser le service doivent obtenir l'autorisation préalable de leur représentant légal. Toute demande d'exercice des droits relative à un mineur peut être adressée par le représentant légal à l'adresse ci-dessus.
11. Retrait du consentement
Lorsque le traitement repose sur votre consentement, vous pouvez le retirer à tout moment :
- En cliquant sur le lien de désinscription présent dans les emails que vous recevez ;
- Ou en envoyant une demande à contact@alterplus.net.
Le retrait du consentement n'affecte pas la licéité des traitements effectués avant celui-ci.
12. Cookies et traceurs
12.1 Site flambo.app et page de redirection
Seuls des cookies strictement nécessaires au fonctionnement et à la sécurité du site sont déposés (gestion de session, préférences techniques, sécurité). Aucun cookie publicitaire n'est utilisé.
Si des cookies de mesure d'audience non exemptés étaient ajoutés ultérieurement, un bandeau de consentement conforme aux recommandations de la CNIL serait mis en place.
12.2 Espace professionnel et portail de supervision
Ces interfaces utilisent des cookies / jetons d'authentification (par exemple JWT) strictement nécessaires à l'ouverture et au maintien de la session du professionnel connecté. Aucun cookie publicitaire ni traceur tiers à finalité marketing n'est utilisé.
13. Modification de la politique
La présente politique peut être modifiée pour refléter les évolutions du service ou de la réglementation. La version en vigueur est celle publiée sur flambo.app. La date de dernière mise à jour figure en tête du document. En cas de modification substantielle, les utilisateurs concernés seront informés par les moyens appropriés.
14. Réclamation auprès de la CNIL
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la :
CNIL — Commission Nationale de l'Informatique et des Libertés 3 Place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07 www.cnil.fr
15. Contact
Pour toute question relative à la protection des données ou à la présente politique :
ALTERPLUS — contact@alterplus.net