Contacter notre équipe

Politique de confidentialité

Document à jour au 26 mai 2026.

La présente politique de confidentialité (ci-après la « Politique ») décrit, conformément au Règlement (UE) 2016/679 du 27 avril 2016 (ci-après le « RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (ci-après la « LIL »), les conditions dans lesquelles l'atelier d'architecture Wafa Lahmar Architecte collecte, utilise, conserve et protège les données à caractère personnel des Utilisateurs du site https://wafa-lahmar-architecte.com. Elle s'articule avec les conditions générales d'utilisation accessibles à l'adresse /conditions et avec la politique relative aux cookies accessible à l'adresse /cookies.

Sommaire

  1. Préambule et engagement
  2. Définitions
  3. Identité du responsable du traitement
  4. Données collectées
  5. Finalités du traitement et bases légales
  6. Destinataires des données
  7. Transferts hors Union européenne
  8. Durées de conservation
  9. Droits de la personne concernée
  10. Sécurité des données
  11. Cookies et traceurs
  12. Données des mineurs
  13. Décisions automatisées et profilage
  14. Violation de données personnelles
  15. Modifications de la présente politique
  16. Réclamation auprès de la CNIL
  17. Contact

Article 1 — Préambule et engagement

La protection des données à caractère personnel constitue, pour l'atelier d'architecture Wafa Lahmar Architecte (ci-après l'« Atelier »), une exigence à la fois légale, déontologique et éthique. L'Atelier traite les données qui lui sont confiées dans le respect des principes fondamentaux énoncés à l'article 5 du RGPD : licéité, loyauté et transparence ; limitation des finalités ; minimisation des données ; exactitude ; limitation de la conservation ; intégrité et confidentialité ; responsabilité (accountability).

La présente Politique a pour objet d'informer, de manière claire, accessible et exhaustive, toute personne dont les données sont traitées par l'Atelier, sur les modalités de ce traitement, sur les bases légales mobilisées et sur les droits qui lui sont reconnus par le droit applicable.

Elle s'applique à l'ensemble des traitements mis en œuvre par l'Atelier dans le cadre de l'exploitation du Site, de la qualification commerciale, de l'exécution des Missions d'architecture, de la facturation, de la conservation des dossiers et de la gestion de la relation client, en ce compris la phase d'intermédiation prévue à l'article 11 des conditions générales d'utilisation.

La présente Politique vient compléter, sans s'y substituer, les conditions générales d'utilisation et la politique relative aux cookies. En cas de divergence entre la présente Politique et un autre document éventuellement remis à la personne concernée, les stipulations les plus protectrices des droits de cette personne prévalent.

Article 2 — Définitions

Pour la bonne compréhension de la présente Politique, les termes ci-dessous, écrits avec une majuscule, ont la signification suivante, en cohérence avec l'article 4 du RGPD :

  • Donnée à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments propres à son identité physique, économique, culturelle ou sociale.
  • Traitement : toute opération ou tout ensemble d'opérations effectuées sur des données à caractère personnel, automatisées ou non, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, la consultation, l'utilisation, la communication, la transmission, la diffusion, l'effacement ou la destruction.
  • Responsable du traitement : la personne physique ou morale qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement.
  • Sous-traitant : la personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement, sur instruction documentée et dans le cadre d'un contrat conforme à l'article 28 du RGPD.
  • Personne concernée : la personne physique à laquelle se rapportent les données traitées, qu'elle soit Visiteur, Prospect, Client, partenaire ou simple correspondant de l'Atelier.
  • Destinataire : la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données, qu'il s'agisse ou non d'un tiers.
  • Tiers : toute personne physique ou morale autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l'autorité directe du responsable ou du sous-traitant, sont autorisées à traiter les données.
  • Consentement : toute manifestation de volonté libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données la concernant fassent l'objet d'un Traitement.
  • Profilage : toute forme de Traitement automatisé consistant à utiliser des données pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire sa situation économique, ses préférences, son comportement ou ses centres d'intérêt.
  • Violation de données : violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des données à caractère personnel.

Article 3 — Identité du responsable du traitement

Le responsable du traitement, au sens de l'article 4, 7) du RGPD, est :

  • Dénomination sociale : Wafa Lahmar Architecte
  • Forme juridique : Société par actions simplifiée (SAS)
  • SIREN : 949 093 017
  • SIRET (siège) : 949 093 017 00018
  • Numéro de TVA intracommunautaire : FR39949093017
  • Code APE / NAF : 7111Z (activités d'architecture)
  • Présidente : Madame Wafa Makhloufi, architecte diplômée d'État (DPLG / HMONP), inscrite à l'Ordre national des architectes
  • Contact unique pour toute question relative aux données personnelles : contact@wafa-lahmar-architecte.com

Au regard de la nature, du volume et de la sensibilité des traitements mis en œuvre, l'Atelier n'a pas désigné de délégué à la protection des données (DPO) au sens des articles 37 à 39 du RGPD. Toute demande, sollicitation ou interrogation relative à la protection des données est instruite directement par l'Atelier, à l'adresse de contact ci-dessus, dans les conditions et délais prévus par le droit applicable.

L'Atelier exerce sous le contrôle déontologique du Conseil national de l'Ordre des architectes et dans le respect de la loi n° 77-2 du 3 janvier 1977 sur l'architecture, ce qui implique des obligations spécifiques de conservation, de confidentialité et de loyauté qui se cumulent avec celles issues du RGPD et de la LIL.

Article 4 — Données collectées

L'Atelier ne collecte que les données strictement nécessaires aux finalités visées à l'article 5, dans le respect du principe de minimisation posé à l'article 5.1.c) du RGPD. Les catégories de données collectées sont les suivantes :

4.1 — Données déclaratives transmises via les formulaires

Lors de la soumission du formulaire de demande de devis accessible à l'adresse /devis ou du formulaire de contact accessible à l'adresse /contact, la personne concernée peut être amenée à renseigner, selon les étapes :

  • données d'identification : prénom, nom ;
  • coordonnées de contact : adresse électronique, numéro de téléphone ;
  • données de localisation : code postal, ville, adresse du projet ;
  • données relatives au projet : profil (particulier, professionnel, investisseur, etc.), typologie de projet (déclaration préalable, permis de construire, maîtrise d'œuvre, audit, conseil pré-achat, mission ABF/MH…), surface concernée, fourchette de budget, échéance souhaitée, message libre ;
  • données de qualification interne : score qualitatif d'évaluation du dossier (voir article 13), source de provenance (canal d'acquisition, page d'entrée, mot-clé éventuel).

Les champs marqués comme obligatoires sont indispensables au traitement de la demande ; à défaut, l'Atelier peut se trouver dans l'impossibilité d'instruire la demande de la personne concernée. Les autres champs sont facultatifs.

4.2 — Données de navigation et journaux serveur

L'accès au Site génère automatiquement la collecte de données techniques, en ce compris : adresse IP, type et version de navigateur, système d'exploitation, langue, horodatage des requêtes, pages consultées, durée de consultation, référent éventuel, identifiants techniques de session. Ces données sont collectées via les journaux serveur, à des fins de sécurité, de prévention de la fraude et de mesure d'audience. Les cookies et traceurs déposés sur le terminal de l'Utilisateur, distincts de ces journaux, font l'objet d'un encadrement spécifique détaillé à l'article 11 et précisé dans la politique cookies accessible à l'adresse /cookies.

4.3 — Documents transmis par le Client

Lors de la qualification du projet ou de l'exécution de la Mission, le Prospect ou le Client peut être amené à transmettre à l'Atelier, par voie électronique ou tout autre canal, des documents pouvant contenir des données à caractère personnel ou des informations sensibles sur le bien immobilier concerné, tels que : photographies de l'existant, plans, croquis, métrés, diagnostics, titre de propriété, devis concurrents, échanges avec des tiers (administrations, voisins, syndic, copropriétaires, vendeurs ou acquéreurs).

L'Atelier traite ces documents dans le strict cadre de la finalité pour laquelle ils ont été transmis, sous obligation de confidentialité renforcée tenant à la fois au RGPD et au Code de déontologie des architectes.

4.4 — Données d'exécution de Mission

Dans le cadre de l'exécution d'une Mission, l'Atelier collecte et traite également : devis et factures, échanges écrits (courriels, messages, comptes rendus), pièces produites au titre de la Mission (notes, plans, esquisses, dossiers administratifs déposés en mairie ou auprès de tout service instructeur), justificatifs de signature électronique des conventions, accusés de réception et preuves d'envoi.

4.5 — Données non collectées volontairement

L'Atelier ne sollicite ni ne traite volontairement les catégories particulières de données mentionnées à l'article 9 du RGPD, à savoir notamment : les données révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, les données génétiques, les données biométriques aux fins d'identifier une personne, les données concernant la santé, la vie sexuelle ou l'orientation sexuelle.

La personne concernée est expressément invitée à ne pas communiquer, dans les champs libres des formulaires ou dans les documents joints, d'informations relevant de ces catégories particulières. Dans l'hypothèse où de telles informations seraient transmises spontanément, l'Atelier procèdera à leur suppression dans les meilleurs délais ou, à défaut, à leur traitement strictement nécessaire en l'isolant de tout flux secondaire.

Article 5 — Finalités du traitement et bases légales

Conformément à l'article 6 du RGPD, chaque Traitement mis en œuvre par l'Atelier repose sur l'une au moins des bases légales suivantes : exécution d'un contrat ou de mesures précontractuelles (art. 6.1.b), respect d'une obligation légale (art. 6.1.c), intérêts légitimes poursuivis par l'Atelier (art. 6.1.f), ou consentement de la personne concernée (art. 6.1.a). Le tableau ci-après détaille, finalité par finalité, la base légale retenue.

Finalité du traitement Base légale (RGPD art. 6) Précisions
Gestion de la demande de devis, qualification du projet, prise de rendez-vous Mesures précontractuelles à la demande de la personne concernée (art. 6.1.b) Sans transmission de ces données, l'Atelier ne peut instruire la demande.
Exécution de la Mission d'architecte (déclaration préalable, permis de construire, maîtrise d'œuvre, audit, conseil) Exécution du contrat (art. 6.1.b) Convention de mission signée entre l'Atelier et le Client.
Émission des devis et factures, tenue de la comptabilité, archivage légal Respect d'obligations légales (art. 6.1.c) Code de commerce (art. L123-22), Code général des impôts, durée de conservation 10 ans.
Signature électronique des conventions de mission Exécution du contrat (art. 6.1.b) Règlement (UE) n° 910/2014 (eIDAS), prestataire de signature électronique.
Prospection commerciale auprès de clients B2C Consentement préalable (art. 6.1.a) Case à cocher explicite, retrait possible à tout moment.
Prospection commerciale auprès de clients B2B (professionnels du secteur, prospects identifiés en tant que tels) Intérêt légitime (art. 6.1.f) Conformément à la doctrine CNIL applicable au B2B ; opt-out facilité et systématique dans chaque envoi.
Intermédiation vers un Architecte partenaire (article 11 des CGU) Intérêt légitime (art. 6.1.f) Intérêt légitime de l'Atelier à orienter les Prospects qu'il ne peut traiter ; opt-out exprès via simple email à l'adresse de contact.
Statistiques d'audience anonymes ou pseudonymisées Intérêt légitime (art. 6.1.f) Mesure d'audience exempte de consentement dès lors qu'elle respecte les critères CNIL d'anonymisation et de finalité strictement limitée.
Sécurité du Site, prévention et lutte contre la fraude, le scraping et le spam Intérêt légitime (art. 6.1.f) Conservation des journaux serveur, mécanismes anti-bot, contrôle des soumissions de formulaires.
Gestion des contentieux, exercice et défense de droits en justice Intérêt légitime (art. 6.1.f) et obligation légale (art. 6.1.c) Conservation des éléments nécessaires à la défense durant le délai de prescription applicable.
Réponse à toute demande d'exercice des droits RGPD Obligation légale (art. 6.1.c) Art. 12 à 22 du RGPD.

L'Atelier ne procède à aucune réutilisation des données pour des finalités incompatibles avec celles pour lesquelles elles ont été initialement collectées, conformément au principe de limitation des finalités (art. 5.1.b du RGPD).

Article 6 — Destinataires des données

Dans le strict respect des finalités énoncées à l'article 5 et du principe de minimisation, les données collectées sont susceptibles d'être communiquées aux catégories de destinataires limitativement énumérées ci-après. Aucune autre catégorie de destinataire n'est mobilisée sans une nouvelle information préalable de la personne concernée et, le cas échéant, le recueil de son consentement.

6.1 — Personnel habilité de l'Atelier

Les données sont accessibles, dans la stricte mesure de leur besoin opérationnel, aux collaborateurs, stagiaires et prestataires en mission au sein de l'Atelier, dûment habilités, formés aux exigences du RGPD et tenus par une obligation de confidentialité contractuelle renforcée.

6.2 — Sous-traitants techniques

L'Atelier recourt à des sous-traitants techniques sélectionnés pour leur niveau de garanties en matière de sécurité et de conformité, liés à l'Atelier par un contrat conforme aux exigences de l'article 28 du RGPD. À titre indicatif, et sans que cette liste soit limitative ni opposable à l'Atelier au-delà de l'objet pour lequel chaque prestataire intervient, ces sous-traitants couvrent les catégories suivantes :

  • hébergement et infrastructure technique du Site (hébergeur professionnel, identité communiquée sur demande à l'adresse de contact) ;
  • messagerie électronique professionnelle et services associés ;
  • signature électronique des conventions de mission (DocuSign, États-Unis — voir article 7) ;
  • outils internes de gestion de la relation client (CRM) et de suivi des projets ;
  • outils de prise de rendez-vous et d'agenda ;
  • solutions comptables et de facturation ;
  • outils de mesure d'audience et de qualité du Site, dans les conditions définies à l'article 11.

6.3 — Architectes partenaires dans le cadre de l'intermédiation

Conformément à l'article 11 des conditions générales d'utilisation, les coordonnées et la qualification du projet d'un Prospect peuvent être transmises à un ou plusieurs Architectes partenaires, lorsque l'Atelier n'est pas en mesure de traiter la demande, lorsque celle-ci se situe en dehors de son périmètre habituel d'intervention ou lorsque la nature du dossier ne correspond pas à sa ligne d'activité. Cette transmission s'opère sur la base de l'intérêt légitime de l'Atelier (art. 6.1.f du RGPD) à orienter les Prospects vers un professionnel adapté, qualifié et inscrit à l'Ordre national des architectes.

La personne concernée est expressément informée de cette transmission au moment du remplissage du formulaire et conserve le droit de s'y opposer, à tout moment, par simple courrier électronique adressé à contact@wafa-lahmar-architecte.com avec pour objet « Opposition à l'intermédiation ». L'opposition est prise en compte dans un délai maximal de trente (30) jours calendaires ; elle n'a pas d'effet rétroactif sur les transmissions déjà effectuées avant son enregistrement.

6.4 — Conseils, experts et auxiliaires de justice

En cas de besoin (rédaction d'actes, audit, contrôle, contentieux), l'Atelier peut être amené à communiquer certaines données à ses conseils habituels, en ce compris notamment : avocat(s), expert(s)-comptable(s), commissaire(s) aux comptes, expert(s) judiciaire(s), médiateur(s), tous tenus par un secret professionnel ou une obligation de confidentialité opposable.

6.5 — Autorités administratives et judiciaires

L'Atelier peut être amené à communiquer des données à toute autorité administrative ou judiciaire compétente sur réquisition légale, décision exécutoire, demande motivée d'un service de l'État ou injonction d'une juridiction, dans le strict respect des dispositions encadrant cette transmission.

6.6 — Encadrement strict des communications à des tiers

En dehors des destinataires limitativement énumérés au présent article 6, l'Atelier ne procède à aucune communication de données à des tiers à des fins de prospection commerciale qui leur serait propre, sans information préalable de la personne concernée et, le cas échéant, le recueil de son consentement exprès.

Article 7 — Transferts hors Union européenne

L'Atelier veille, dans la mesure du possible, à recourir à des prestataires situés dans l'Union européenne ou dans un État offrant un niveau de protection adéquat reconnu par la Commission européenne au sens de l'article 45 du RGPD.

Toutefois, certains sous-traitants techniques peuvent être amenés à traiter ou à héberger tout ou partie des données en dehors de l'Espace économique européen. Tel est notamment le cas du prestataire de signature électronique DocuSign, dont les infrastructures peuvent être situées aux États-Unis d'Amérique.

Dans cette hypothèse, l'Atelier s'assure que le transfert est encadré par l'un au moins des instruments juridiques suivants, conformément aux articles 44 à 49 du RGPD :

  • une décision d'adéquation de la Commission européenne au sens de l'article 45 du RGPD, et notamment, s'agissant des États-Unis, l'auto-certification du prestataire au titre du Data Privacy Framework (DPF) reconnu par la décision d'exécution (UE) 2023/1795 du 10 juillet 2023 ;
  • à défaut, les clauses contractuelles types (CCT) adoptées par la Commission européenne dans sa décision d'exécution (UE) 2021/914 du 4 juin 2021, complétées des mesures supplémentaires techniques, organisationnelles et contractuelles que la jurisprudence et les lignes directrices du Comité européen de la protection des données (EDPB) imposent depuis l'arrêt Schrems II (CJUE, 16 juillet 2020, C-311/18) ;
  • ou, dans des hypothèses limitées et résiduelles, l'une des dérogations prévues à l'article 49 du RGPD, notamment lorsque le transfert est nécessaire à l'exécution d'un contrat conclu entre la personne concernée et le responsable du traitement.

La liste précise des sous-traitants concernés par un transfert hors Union européenne, ainsi que les instruments d'encadrement mobilisés pour chacun, peuvent être communiqués sur simple demande adressée à contact@wafa-lahmar-architecte.com.

Article 8 — Durées de conservation

Conformément aux principes de limitation de la conservation (art. 5.1.e du RGPD) et de minimisation, l'Atelier ne conserve les données que pendant la durée strictement nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées, augmentée, le cas échéant, des durées légales de conservation, des délais de prescription applicables et des obligations propres à la profession d'architecte.

Catégorie de données Durée de conservation active Archivage intermédiaire / obligations légales
Données de Prospect non transformé en Client Trois (3) ans à compter du dernier contact émanant du Prospect (clic, message, échange documenté) Référentiel CNIL « gestion commerciale » ; au-delà, suppression ou anonymisation.
Données d'identification et de contact des Clients actifs (Mission en cours) Toute la durée de la Mission Conservation prolongée pendant les délais de prescription et garanties post-réception.
Dossiers de Mission après livraison (plans, conventions, échanges) Dix (10) ans à compter de la réception de l'ouvrage ou de la fin de la Mission Durée alignée sur la prescription de la responsabilité décennale (art. 1792 et 2270 du Code civil) et sur les obligations d'archivage de l'architecte.
Pièces comptables, devis, factures Dix (10) ans Art. L123-22 du Code de commerce.
Données de prospection commerciale B2C Trois (3) ans à compter du dernier contact ou du retrait du consentement Au-delà, suppression ou anonymisation.
Données de prospection commerciale B2B Trois (3) ans à compter du dernier contact Doctrine CNIL applicable, opt-out facilité.
Justificatifs d'exercice des droits RGPD (copie de pièce d'identité, demande, réponse) Un (1) an à compter de la clôture de la demande Ou plus, en cas de contentieux engagé sur la base de la demande.
Journaux serveur, logs de connexion et de sécurité Douze (12) mois maximum Recommandation CNIL et obligations issues de la LCEN.
Cookies et traceurs déposés sur le terminal de l'Utilisateur Treize (13) mois maximum pour les cookies eux-mêmes ; vingt-cinq (25) mois pour les données issues des cookies Recommandation CNIL sur les cookies (délibération 2020-091).
Preuve du consentement aux cookies et aux traitements soumis à consentement Toute la durée de validité du consentement, augmentée du délai de prescription applicable Article 7, 1) du RGPD : charge probatoire incombant au responsable du traitement.

À l'expiration des durées indiquées, les données sont soit supprimées, soit anonymisées de manière irréversible, soit, lorsque la loi l'exige, archivées dans un environnement à accès restreint à seule fin de respecter les obligations légales ou de défendre les droits de l'Atelier devant une juridiction compétente.

Article 9 — Droits de la personne concernée

Conformément aux articles 12 à 22 du RGPD et aux dispositions correspondantes de la LIL, toute personne concernée dispose, à l'égard de ses données, des droits suivants :

9.1 — Droit d'accès (art. 15 RGPD)

Obtenir confirmation que des données la concernant sont ou ne sont pas traitées et, le cas échéant, obtenir communication de ces données ainsi que des informations prévues à l'article 15 (finalités, catégories, destinataires, durées, source).

9.2 — Droit de rectification (art. 16 RGPD)

Obtenir, dans les meilleurs délais, la rectification des données inexactes la concernant ou le complément des données incomplètes.

9.3 — Droit à l'effacement (art. 17 RGPD)

Obtenir, dans les hypothèses prévues à l'article 17 du RGPD, l'effacement des données la concernant. Ce droit peut être limité ou écarté lorsque la conservation est nécessaire au respect d'une obligation légale (notamment fiscale, comptable, archivage des dossiers de l'architecte), à la constatation, à l'exercice ou à la défense de droits en justice, ou à un autre motif visé à l'article 17.3 du RGPD.

9.4 — Droit à la limitation du traitement (art. 18 RGPD)

Obtenir la limitation du traitement dans les hypothèses prévues à l'article 18, notamment en cas de contestation de l'exactitude des données, de traitement illicite, de besoin des données pour la constatation, l'exercice ou la défense de droits en justice, ou d'opposition au traitement en attente de vérification.

9.5 — Droit d'opposition (art. 21 RGPD)

S'opposer, à tout moment, pour des raisons tenant à sa situation particulière, à un traitement fondé sur l'intérêt légitime de l'Atelier (art. 6.1.f), en ce compris : l'intermédiation vers un Architecte partenaire (article 11 des CGU), la prospection commerciale fondée sur l'intérêt légitime, les statistiques d'audience. S'agissant de la prospection commerciale, l'opposition est de droit, sans qu'il soit besoin de justifier d'une situation particulière.

9.6 — Droit à la portabilité (art. 20 RGPD)

Recevoir, dans un format structuré, couramment utilisé et lisible par machine, les données qu'elle a fournies à l'Atelier, lorsque le traitement est fondé sur le consentement ou l'exécution du contrat et qu'il est effectué à l'aide de procédés automatisés, et obtenir, dans la mesure du possible, la transmission de ces données à un autre responsable de traitement.

9.7 — Droit de retirer son consentement (art. 7.3 RGPD)

Retirer, à tout moment, le consentement éventuellement donné, sans que ce retrait ne remette en cause la licéité du traitement effectué avant le retrait, ni n'affecte les traitements fondés sur une autre base légale.

9.8 — Droit de définir des directives post-mortem (art. 85 LIL)

Définir des directives générales ou particulières relatives à la conservation, à l'effacement et à la communication de ses données après son décès, conformément à l'article 85 de la LIL. Ces directives peuvent être enregistrées auprès d'un tiers de confiance numérique certifié par la CNIL ou notifiées directement à l'Atelier.

9.9 — Modalités d'exercice

Les droits susvisés s'exercent par courrier électronique adressé à contact@wafa-lahmar-architecte.com, en précisant la nature de la demande et accompagné, lorsque l'identité du demandeur soulève un doute raisonnable, d'un justificatif d'identité conformément à l'article 12.6 du RGPD.

L'Atelier s'engage à répondre dans un délai d'un (1) mois à compter de la réception de la demande. Ce délai peut être prorogé de deux (2) mois supplémentaires, en raison de la complexité ou du nombre des demandes, dans les conditions prévues à l'article 12.3 du RGPD ; la personne concernée en est alors informée dans le délai initial d'un mois, avec indication des motifs du report.

L'exercice de ces droits est gratuit. Toutefois, conformément à l'article 12.5 du RGPD, lorsqu'une demande est manifestement infondée ou excessive, notamment en raison de son caractère répétitif, l'Atelier peut exiger le paiement de frais raisonnables ou refuser de donner suite, en motivant sa décision et en informant la personne concernée de la possibilité d'introduire une réclamation auprès de la CNIL.

Article 10 — Sécurité des données

Conformément à l'article 32 du RGPD, l'Atelier met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques, en tenant compte de l'état de l'art, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités des traitements ainsi que des risques pour les droits et libertés des personnes concernées.

Mesures techniques : chiffrement des échanges (HTTPS / TLS), stockage chiffré des sauvegardes, hachage des mots de passe à l'état de l'art (algorithmes à coût adaptatif type bcrypt ou équivalents), cloisonnement des environnements (production / préproduction), journalisation des accès sensibles, mise à jour régulière des composants logiciels, mécanismes anti-bot et limitation du débit (rate limiting) sur les formulaires.

Mesures organisationnelles :

  • limitation stricte des accès aux données aux seuls collaborateurs et prestataires habilités, sur la base du principe du moindre privilège ;
  • authentification renforcée des comptes administrateurs du backoffice (mots de passe robustes, double facteur lorsque le service le permet) ;
  • sensibilisation périodique des collaborateurs et stagiaires à la protection des données, au secret professionnel et aux risques d'hameçonnage ;
  • encadrement contractuel des sous-traitants par des stipulations conformes à l'article 28 du RGPD (clauses de confidentialité, de notification d'incident, d'audit, de localisation des données, de restitution ou destruction en fin de contrat) ;
  • procédure interne documentée de gestion des incidents de sécurité et de notification des violations dans les conditions visées à l'article 14.

Nonobstant les diligences mises en œuvre, l'Atelier rappelle qu'aucun système d'information ne peut être garanti à 100 % contre tout risque résiduel et invite la personne concernée à ne pas transmettre, par les canaux du Site, d'informations dont la divulgation serait susceptible d'engendrer un préjudice grave, sans en avoir préalablement convenu d'un mode de transmission sécurisé.

Article 11 — Cookies et traceurs

Le Site est susceptible de déposer ou de lire, sur le terminal de l'Utilisateur, des cookies ou autres traceurs, dans les conditions définies par l'article 82 de la loi n° 78-17 du 6 janvier 1978 modifiée et la recommandation CNIL du 17 septembre 2020 (délibération 2020-091).

Les cookies strictement nécessaires au fonctionnement du Site (session, sécurité, équilibrage de charge, préférences de langue, mémorisation du choix de consentement) sont déposés sans recueil préalable de consentement, conformément à la dérogation prévue par les textes susvisés.

Les cookies non strictement nécessaires (mesure d'audience non exemptée, personnalisation avancée, tiers tels que pixels publicitaires éventuels, intégrations sociales) ne sont déposés qu'après recueil du consentement libre, spécifique, éclairé et univoque de l'Utilisateur, manifesté par un acte positif clair via le bandeau cookies présenté à l'arrivée sur le Site. L'Utilisateur peut, à tout moment, retirer son consentement et modifier ses choix en accédant au lien dédié dans le pied de page ou en réinitialisant les cookies depuis son navigateur.

Le détail des catégories de cookies, de leurs finalités, de leurs émetteurs et de leur durée de vie, est exposé dans la politique cookies accessible à l'adresse : /cookies.

Article 12 — Données des mineurs

Les Services proposés par l'Atelier s'adressent à des personnes physiques majeures, ainsi qu'à des personnes morales représentées par leurs organes habilités. Le Site n'est pas destiné aux mineurs de moins de seize (16) ans, seuil retenu par le législateur français en application de l'article 8 du RGPD et de l'article 45 de la LIL pour la validité du consentement aux services de la société de l'information.

L'Atelier ne collecte ni ne traite sciemment de données concernant un mineur de moins de seize (16) ans. Dans l'hypothèse où l'Atelier viendrait à constater qu'une telle donnée a été transmise sans le consentement ou l'autorisation du titulaire de l'autorité parentale, il procèdera, dans les meilleurs délais, à la suppression de cette donnée, sauf nécessité légale impérieuse de conservation. Le titulaire de l'autorité parentale peut, à tout moment, demander l'effacement ou la rectification des données concernant un mineur en écrivant à contact@wafa-lahmar-architecte.com.

Article 13 — Décisions automatisées et profilage

Dans le cadre de la qualification commerciale interne des demandes de devis, l'Atelier procède à une évaluation qualitative des dossiers, dite « score d'évaluation interne », fondée sur des critères tels que la nature du projet, le périmètre géographique, l'échéance souhaitée, le budget annoncé et la cohérence des informations transmises. Cette évaluation a pour seul objet d'aider l'Atelier à prioriser le traitement opérationnel des demandes et à orienter, le cas échéant, vers une mise en relation avec un Architecte partenaire au sens de l'article 11 des CGU.

Cette évaluation :

  • n'a aucun effet juridique à l'égard de la personne concernée ;
  • n'affecte pas significativement la personne concernée de manière similaire à un effet juridique ;
  • donne systématiquement lieu à une intervention humaine, l'Atelier conservant la décision finale de donner ou non suite à une demande ;
  • n'est pas susceptible, en tant que telle, de constituer une décision entièrement automatisée au sens de l'article 22 du RGPD.

La personne concernée conserve néanmoins le droit, par application combinée des articles 13.2.f et 22 du RGPD, d'obtenir des informations utiles sur la logique sous-jacente du scoring qualitatif, d'en contester le résultat et d'obtenir une révision humaine, en écrivant à contact@wafa-lahmar-architecte.com.

Article 14 — Violation de données personnelles

Conformément aux articles 33 et 34 du RGPD, en cas de violation de données à caractère personnel, l'Atelier s'engage à :

  • documenter la violation, ses effets et les mesures prises pour y remédier, dans un registre interne dédié ;
  • notifier la violation à la CNIL dans un délai de soixante-douze (72) heures à compter de sa connaissance effective, sauf lorsqu'il est démontré que la violation n'est pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques ;
  • informer les personnes concernées, dans les meilleurs délais, lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés, dans les conditions et avec le contenu prévus à l'article 34 du RGPD ;
  • solliciter, le cas échéant, ses sous-traitants pour qu'ils notifient à l'Atelier, sans délai injustifié, toute violation dont ils auraient connaissance, conformément à l'article 33.2 du RGPD.

Les sous-traitants de l'Atelier sont contractuellement tenus aux mêmes obligations de notification et de coopération.

Article 15 — Modifications de la présente politique

L'Atelier se réserve le droit de modifier la présente Politique à tout moment, notamment pour l'adapter à l'évolution du Site, des Services, du contexte technique, contractuel, légal, réglementaire, jurisprudentiel ou doctrinal (notamment lignes directrices du Comité européen de la protection des données, recommandations et délibérations de la CNIL).

La version applicable est celle accessible sur le Site à la date à laquelle la personne concernée s'y connecte ou y soumet une demande. Toute modification substantielle fera l'objet d'une information préalable de la personne concernée par bandeau visible sur le Site, par notification dédiée ou, lorsque cela est pertinent, par courrier électronique, dans un délai raisonnable avant l'entrée en vigueur des modifications.

La date de la dernière mise à jour figure en tête du présent document. L'Atelier conserve l'historique des versions successives et peut en justifier sur simple demande.

Article 16 — Réclamation auprès de la CNIL

Sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit, conformément à l'article 77 du RGPD, d'introduire une réclamation auprès de l'autorité de contrôle compétente, en particulier dans l'État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère qu'un traitement la concernant constitue une violation du RGPD.

En France, l'autorité de contrôle compétente est la Commission nationale de l'informatique et des libertés (CNIL) :

  • Adresse : 3 place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07 ;
  • Téléphone : 01 53 73 22 22 ;
  • Site internet : www.cnil.fr.

L'Atelier recommande, avant toute saisine de l'autorité de contrôle, de prendre contact avec lui par courrier électronique à l'adresse de contact ci-après, afin de tenter une résolution amiable et rapide de la difficulté soulevée. Cette démarche préalable est facultative et ne saurait limiter le droit de la personne concernée d'introduire une réclamation auprès de la CNIL.

Article 17 — Contact

Toute question, demande ou observation relative à la présente Politique ou, plus largement, au traitement des données à caractère personnel par l'Atelier, peut être adressée par courrier électronique à :

contact@wafa-lahmar-architecte.com

L'Atelier s'engage à apporter une réponse motivée dans un délai d'un (1) mois à compter de la réception de la demande, prorogeable de deux (2) mois en cas de complexité ou de pluralité de demandes, conformément à l'article 12.3 du RGPD. La personne concernée est invitée à indiquer, dans l'objet de son message, la nature de sa demande (par exemple : « Demande d'accès — RGPD », « Opposition à l'intermédiation », « Retrait du consentement », « Effacement ») afin d'en faciliter l'instruction.

Pour toute question relative à la protection de vos données personnelles, vous pouvez nous écrire à contact@wafa-lahmar-architecte.com.

Copyright © 2026 Wafa Lahmar Architecte SAS ou ses affiliés.