Soumettre un dossier
Protection des données

Politique de confidentialité

Spada Capital, marque de Balestra, accorde une grande importance à la protection de vos données personnelles et s'engage à respecter la réglementation en vigueur, notamment le Règlement Général sur la Protection des Données (RGPD) et la loi Informatique et Libertés.

Article 1 — Responsable du traitement

Le responsable du traitement des données est :

  • Raison sociale : Balestra
  • Adresse : 39 rue Pierre 1er de Serbie, 75008 Paris
  • Email : contact@balestra.eu

Délégué à la Protection des Données (DPO) : un DPO a été désigné. Vous pouvez le contacter à l'adresse contact@balestra.eu pour toute question relative à la protection de vos données personnelles.

Article 2 — Données collectées

Dans le cadre de l'utilisation de la Plateforme Spada Capital, nous collectons les catégories de données suivantes :

Données d'identification

  • Nom, prénom, genre
  • Adresse email
  • Numéro de téléphone
  • Adresse postale

Données de votre projet

  • Informations sur la société (SIREN, forme juridique, capital social)
  • Description du projet immobilier
  • Données financières (montants, ratios, prévisions, bilans)
  • Adresse et caractéristiques du projet

Données KYC (connaissance client)

  • Date et lieu de naissance, nationalité
  • Type et numéro de pièce d'identité
  • Pourcentage de détention dans la société
  • Statut PEP (personne politiquement exposée)
  • Résultats des vérifications de conformité (sanctions, PEP)

Documents

  • Documents financiers, juridiques et administratifs uploadés (fichiers originaux)
  • Données extraites automatiquement de ces documents par les systèmes d'IA

Données de conversation IA

  • Messages échangés avec l'assistant intelligent
  • Résumés et analyses générés par l'IA

Données bancaires

  • Coordonnées bancaires (IBAN, BIC) dans le cadre de la gestion des prêts

Données techniques et de connexion

  • Adresse IP, user agent
  • Horodatage des connexions
  • Journaux d'audit des actions effectuées sur la Plateforme

Données de géolocalisation

  • Coordonnées géographiques des projets immobiliers (pour l'analyse de marché)

Article 3 — Finalités et bases légales

Vos données sont traitées pour les finalités suivantes :

Finalité Base légale
Gestion de votre compte et authentification Exécution du contrat
Traitement des demandes de financement Exécution du contrat
Analyse de documents par IA (extraction, classification, résumé) Intérêt légitime (amélioration du service)
Assistance par chat IA Intérêt légitime
Vérifications KYC/AML et sanctions Obligation légale (LCB-FT, réglementation AMF)
Piste d'audit et traçabilité Obligation légale
Gestion du cycle de vie des prêts Exécution du contrat
Envoi de notifications relatives à votre dossier Exécution du contrat
Amélioration des services Intérêt légitime
Réponse aux obligations réglementaires (AMF, TRACFIN) Obligation légale

Article 4 — Intelligence artificielle et traitements automatisés

Conformément à l'article 22 du RGPD, vous êtes informé(e) de l'utilisation de traitements automatisés dans le cadre des Services.
  • Vos documents et conversations sont traités par des systèmes d'intelligence artificielle pour en extraire des informations, les classifier et fournir des analyses.
  • Ces traitements sont réalisés par des prestataires tiers (OpenAI, Anthropic) dans le cadre de la fourniture des Services.
  • Aucune décision juridique ou financière n'est prise automatiquement sur la seule base de ces traitements. Toute décision relative au financement est prise par des analystes humains de Balestra.
  • Vous pouvez demander une intervention humaine, exprimer votre point de vue ou contester une analyse en contactant contact@balestra.eu.
  • Les données sont transmises de manière pseudonymisée lorsque cela est techniquement possible.

Article 5 — Destinataires et sous-traitants

Vos données peuvent être communiquées aux catégories de destinataires suivantes, dans la stricte mesure nécessaire à la fourniture des Services :

Sous-traitants techniques

  • Upsun (Platform.sh SAS) — Hébergement de l'application — France/UE
  • Amazon Web Services (AWS) — Stockage sécurisé des documents — UE (région eu-west-3, Irlande)

Sous-traitants IA

  • OpenAI, L.P. — Analyse de documents et assistance conversationnelle — États-Unis
  • Anthropic, PBC — Provider IA alternatif — États-Unis

Sous-traitants conformité

  • Refinitiv (LSEG) — Vérifications sanctions et PEP (WorldCheck) — Royaume-Uni
  • INPI — Registre national des entreprises — France

Sous-traitants financiers

  • Memo Bank — Création d'IBAN virtuels — France

Sous-traitants techniques additionnels

  • Prestataire d'envoi d'emails (SMTP) — Envoi de notifications
  • Sentry (Functional Software, Inc.) — Monitoring d'erreurs techniques — États-Unis (données techniques uniquement, sans données personnelles identifiantes)

Autorités

  • AMF, TRACFIN — En cas d'obligation légale de déclaration

Article 6 — Transferts internationaux de données

Certains de nos sous-traitants sont situés en dehors de l'Espace Économique Européen (EEE), notamment aux États-Unis (OpenAI, Anthropic, Sentry) et au Royaume-Uni (Refinitiv).

Ces transferts sont encadrés par les garanties suivantes :

  • Les clauses contractuelles types (CCT) adoptées par la Commission européenne.
  • La décision d'adéquation de la Commission européenne pour le Royaume-Uni.

Balestra s'engage à mettre en place des accords de traitement des données (DPA — Data Processing Agreements) avec l'ensemble de ses sous-traitants.

Vous pouvez obtenir une copie des garanties encadrant ces transferts en contactant contact@balestra.eu.

Article 7 — Durées de conservation

Vos données sont conservées pendant la durée strictement nécessaire aux finalités pour lesquelles elles ont été collectées :

Type de données Durée de conservation
Données de prospection 3 ans après le dernier contact
Données clients (dossiers de financement) 10 ans après clôture du dossier (obligation Code monétaire et financier)
Documents comptables et financiers 10 ans
Journaux d'audit 10 ans (obligation réglementaire AMF)
Logs d'interaction IA 3 ans
Conversations de chat IA Durée de la relation contractuelle + 1 an
Données KYC/AML 5 ans après la fin de la relation d'affaires (obligation LCB-FT)
Cookies de session Durée de la session (supprimés à la fermeture du navigateur)

Article 8 — Sécurité des données

Nous mettons en place les mesures techniques et organisationnelles suivantes pour garantir la sécurité de vos données :

  • Authentification multi-facteurs (MFA) obligatoire pour l'accès au compte
  • Chiffrement des communications (HTTPS/TLS) entre votre navigateur et nos serveurs
  • Sessions sécurisées (cookies HttpOnly, SameSite=Strict, durée limitée à 1 heure)
  • Contrôle d'accès basé sur les rôles (RBAC) — chaque utilisateur n'accède qu'aux données correspondant à son profil
  • Piste d'audit avec intégrité cryptographique — chaîne de hash garantissant la non-altération des logs
  • Verrouillage de compte après tentatives de connexion échouées
  • En-têtes de sécurité HTTP (HSTS, CSP, X-Frame-Options)
  • Hébergement sur infrastructure sécurisée au sein de l'Union européenne

Article 9 — Vos droits

Conformément au RGPD, vous disposez des droits suivants :

  • Droit d'accès : obtenir la confirmation du traitement de vos données et en recevoir une copie
  • Droit de rectification : demander la correction de données inexactes ou incomplètes
  • Droit à l'effacement : demander la suppression de vos données (sous réserve des obligations légales de conservation)
  • Droit d'opposition : vous opposer au traitement de vos données fondé sur l'intérêt légitime
  • Droit à la limitation : demander la limitation du traitement dans les cas prévus par le RGPD
  • Droit à la portabilité : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine
  • Droit de ne pas faire l'objet d'une décision automatisée : demander une intervention humaine pour toute analyse IA vous concernant
  • Droit de réclamation : introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés), 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07

Pour exercer vos droits, contactez-nous à : contact@balestra.eu. Nous nous engageons à répondre dans un délai d'un mois à compter de la réception de votre demande.

Article 10 — Cookies

La Plateforme Spada Capital utilise uniquement des cookies essentiels (cookies de session) strictement nécessaires au fonctionnement du service.

Ces cookies permettent de :

  • Maintenir votre session de connexion
  • Assurer la sécurité de votre navigation (protection CSRF)

Durée : ces cookies sont des cookies de session, supprimés automatiquement à la fermeture de votre navigateur.

Aucun cookie analytique, publicitaire ou de tracking n'est utilisé sur la Plateforme. Ces cookies étant strictement nécessaires au fonctionnement du service, ils ne requièrent pas votre consentement conformément aux recommandations de la CNIL.

Article 11 — Modification de la politique

Cette politique de confidentialité peut être modifiée à tout moment pour s'adapter aux évolutions réglementaires ou à nos pratiques. En cas de modification substantielle, les Utilisateurs seront informés par email ou notification sur la Plateforme. Nous vous invitons à la consulter régulièrement.

Dernière mise à jour : 13/05/2026

Retour à l'accueil