RGPD art. 22
Aucune décision individuelle entièrement automatisée sur les personnes. Les décisions de location t’appartiennent exclusivement.
Sécurité & conformité
Tes données. Tes candidats. En sécurité.
Conforme à l’article 22 du Règlement général sur la protection des données (RGPD art. 22). Hébergement UE, LLM UE, chiffrement de bout en bout. ISO 27001 et SOC 2 à la feuille de route.
Huit piliers
Comment nous bâtissons la sécurité concrètement.
La conformité est le socle juridique. La technique est la mise en œuvre. Les deux doivent s’accorder.
Conformité
Modèle en trois phases DSK 2024
Selon le modèle en trois phases de la conférence allemande sur la protection des données (DSK) de 2024 : les données des candidats sont traitées en trois phases clairement distinctes. Justificatif de revenus seulement après la visite, copie de la pièce d’identité seulement avant le contrat.
Hébergement UE
Serveurs dans l’UE, région allemande par défaut. Pas d’export de données vers des pays tiers sans décision d’adéquation.
Architecture anti-profilage
Pas de scores IA, pas de classement, pas d’évaluation de personnalité. Vérification de faits concrets basée sur des règles, selon tes critères.
Technique
Chiffrement de bout en bout
Toute la communication avec les candidats et tous les documents transmis sont chiffrés. TLS 1.3 en transit, AES-256 au repos.
LLM UE pour les données des candidats
Un modèle de langage UE (Mistral, Paris) traite les données sensibles des candidats : chatbot candidat, extraction de documents, classification. Aucun entraînement sur tes données.
Conformité par contrainte de base de données
Un unique assistant de critères dans le backend. Des contraintes de base de données empêchent que des champs de score automatisés puissent être renseignés.
Continuité de marque
Les candidats te voient comme le bailleur, pas « Locari » comme un tiers. Aucune mention de la plateforme dans le parcours candidat, aucune transmission de données au marketing.
Engagement volontaire + feuille de route
Nous nous engageons aux standards les plus élevés.
Ce que la loi exige, nous le respectons aujourd’hui. Ce qui sera certifié viendra avec la montée en charge — communiqué honnêtement, pas mis en scène comme un label marketing.
Les certifications externes suivront avec la montée en charge. D’ici là : engagement volontaire documenté, architecture du code vérifiable, pratique de protection des données ouverte dans le détail.
RGPDConforme
Obligatoire en droit. Actif aujourd’hui.
Hébergement UEActif
Région UE par défaut. Actif aujourd’hui.
ISO 27001Feuille de route 2027
Certification en préparation, dès que la montée en charge le permet.
SOC 2 Type IIFeuille de route 2027
Travaux préparatoires d’audit en cours. Réaliste après ISO 27001.
Flux de données
Qui a accès, et quand.
Quatre parcours, chacun documenté. Pas de sous-traitants cachés — la liste complète est dans le Trust Center ; les services US sont sécurisés par des clauses contractuelles types de l’UE.
| De | Vers | Garantie |
|---|---|---|
| Candidat | Locari (WhatsApp / e-mail) | |
| Locari | Bailleur (WhatsApp) | |
| Locari | ImmoScout24 · Kleinanzeigen | |
| Backend Locari | Hébergement UE · LLM Mistral |
Pas d’API SCHUFA ni de vérification automatique des garants : le candidat apporte lui-même son rapport de solvabilité, Locari le stocke et l’affiche — sans l’évaluer.
Questions de sécurité fréquentes
Ce que les bailleurs demandent le plus souvent.
Où sont stockées mes données et celles de mes candidats ?
Les données sensibles des candidats sont stockées dans l’UE (région allemande par défaut, centres de données certifiés UE) et traitées par un modèle de langage UE (Mistral). Quelques services — hébergement applicatif/CDN (Vercel), assistant bailleur (Anthropic) et analytics (PostHog) — sont situés aux États-Unis et sont sécurisés par des clauses contractuelles types de l’UE (CCT).
Locari est-il conforme au RGPD ?
Oui. Locari respecte le RGPD art. 22 (aucune décision individuelle entièrement automatisée sur les personnes) et le modèle en trois phases DSK 2024 pour les données des candidats. Les décisions de location appartiennent exclusivement au bailleur. C’est l’architecture qui l’impose, pas seulement les CGU.
Quel LLM Locari utilise-t-il ?
Les données sensibles des candidats — chatbot candidat, extraction de documents, classification — sont traitées par Mistral, hébergé dans l’UE. L’assistant bailleur (p. ex. fiches de visite) utilise en outre Claude (Anthropic) via le Vercel AI Gateway ; les données des candidats n’y interviennent que de manière indirecte. Aucun entraînement sur les données des candidats. La liste complète des services figure dans le Trust Center.
Comment la suppression des données des candidats est-elle gérée ?
Automatiquement à la fin de la location. Les candidats non retenus sont supprimés conformément à la DSK 2024, au plus tard une fois la procédure de sélection terminée. Les données des candidats retenus passent dans le contexte du bail et suivent les durées de conservation qui s’y appliquent.
Anti-profilage — qu’est-ce que cela signifie techniquement ?
Pas de scores ML, pas d’évaluation de personnalité, pas de classement. Locari vérifie selon des règles tes faits concrets définis par toi-même (nombre de personnes, multiple de revenus, animaux). Une contrainte de base de données dans le backend empêche que des champs de score automatisés puissent être renseignés. En savoir plus sur l’architecture anti-profilage.
Qu’est-ce qui distingue Locari des fournisseurs américains ?
Une stack largement européenne : hébergement UE, région de base de données UE, équipe d’exploitation UE et un modèle de langage UE (Mistral) pour le traitement direct des données sensibles des candidats. Quelques services — comme Vercel et Anthropic pour l’assistant bailleur ainsi que WhatsApp — sont situés aux États-Unis et sont sécurisés par des clauses contractuelles types de l’UE (CCT). Tu trouveras la liste complète des sous-traitants dans le Trust Center.
Lance-toi
La sécurité n’est pas une option. C’est la fondation.
Chez Locari, le RGPD, l’hébergement UE et l’anti-profilage sont ancrés dans le code — pas cachés dans les CGU.