Politique de confidentialité

Dernière mise à jour : 17 avril 2026

Conformément au Règlement (UE) 2016/679 (RGPD)

1. Responsable de traitement

Responsable : François Nollet, personne physique, agissant en nom propre en vue de la constitution d'une société de droit belge, conformément aux articles 2:2 et suivants du Code des sociétés et des associations.
Adresse : en cours
Numéro d'entreprise (BCE) : en cours d'immatriculation
Numéro de TVA : en cours d'attribution
E-mail : hello@eloi.app

Note : Les présentes mentions seront mises à jour dès l'immatriculation de la société auprès de la Banque-Carrefour des Entreprises (BCE). Jusqu'à cette date, la personne physique désignée ci-dessus assume l'entière responsabilité éditoriale et juridique du Site.

L'autorité de contrôle compétente est l'Autorité de protection des données (APD), Rue de la Presse 35, 1000 Bruxelles — www.autoriteprotectiondonnees.be.

2. Données collectées

2.1 — Utilisateurs Citoyens

a) Données d'identification

Prénom, nom, adresse e-mail, code postal, téléphone. Stockées dans la base de données Supabase (serveur Frankfurt, Allemagne, UE).

b) Données de conversation — Chat de qualification

Questions posées et réponses générées par l'IA. Transmises à l'API Anthropic (seul transfert hors UE). Conformément au DPA d'Anthropic : non utilisées pour l'entraînement des modèles, supprimées sous 30 jours, « Allow user feedback » désactivé.

c) Données de conversation — Chat de procédure

Messages stockés dans Supabase (Frankfurt, UE), associés au compte de l'utilisateur.

d) Données d'analyse

Résumé de situation généré par l'IA (type de procédure, présence d'enfants, régime matrimonial), indicateur de médiation possible.

e) Données techniques

Adresse IP (anonymisée via Google Analytics 4), type de navigateur, pages visitées. Collectées uniquement si consentement cookies.

2.2 — Professionnels Partenaires (avocats et médiateurs)

Prénom, nom, e-mail, téléphone (facultatif), barreau d'inscription ou numéro d'agrément CFM, villes d'exercice, code postal, spécialisations, langues, disponibilité pro deo (avocats), biographie, photo de profil (facultative).

3. Bases légales des traitements

Traitement	Base légale	Durée
Création de compte	Mesures précontractuelles (art. 6.1.b)	Durée du compte + 1 an
Chat de qualification	Consentement (art. 6.1.a)	30 jours (API) ; durée du compte (analyse)
Chat de procédure	Exécution du contrat (art. 6.1.b)	Durée du compte
Mise en relation professionnel	Exécution du contrat (art. 6.1.b)	3 ans (prescription civile)
Inscription professionnel	Exécution du contrat (art. 6.1.b)	Durée du compte + 1 an
Cookies analytiques (GA4)	Consentement (art. 6.1.a)	14 mois
E-mails transactionnels	Intérêt légitime (art. 6.1.f)	Durée du compte

4. Destinataires des données

a) Sous-traitants

Supabase Inc. (base de données, auth) — Serveur Frankfurt, Allemagne (UE). SCCs.
Anthropic PBC (traitement IA) — États-Unis. Seul sous-traitant hors UE. DPA avec SCCs. Données non utilisées pour l'entraînement. Chiffrement AES-256 / TLS 1.2+. Suppression sous 30 jours.
Hetzner Online GmbH (serveur VPS) — Frankfurt, Allemagne (UE).
OVH SAS (DNS, domaine) — Roubaix, France (UE).
Brevo (Sendinblue) (e-mails transactionnels) — Paris, France (UE).
Google LLC (Google Analytics 4, si consentement) — États-Unis. IP anonymisées. EU-US Data Privacy Framework.
Stripe Inc. (paiements, uniquement pour les offres payantes) — États-Unis. Certifié PCI-DSS niveau 1. Données bancaires non stockées par l'éditeur.

b) Tiers

Les données de l'Utilisateur Citoyen (prénom, e-mail, code postal, résumé de situation) peuvent être transmises au Professionnel Partenaire sélectionné dans le cadre d'un Lead.

Aucune donnée personnelle n'est vendue, louée ou cédée à des tiers à des fins commerciales ou publicitaires.

5. Transferts hors UE

L'essentiel de l'infrastructure est situé au sein de l'Union européenne (Hetzner/Allemagne, Supabase/Allemagne, OVH/France, Brevo/France).

Les seuls transferts hors UE concernent :

— Anthropic PBC (États-Unis) : encadré par les SCCs et le DPA Anthropic ;
— Google LLC (États-Unis, uniquement si consentement cookies) : encadré par le EU-US Data Privacy Framework ;
— Stripe Inc. (États-Unis, uniquement pour les paiements) : encadré par les SCCs et la certification PCI-DSS.

6. Droits des personnes concernées

Conformément aux articles 15 à 22 du RGPD :

Droit d'accès (art. 15) — obtenir une copie de vos données.
Droit de rectification (art. 16) — corriger des données inexactes.
Droit à l'effacement (art. 17) — supprimer vos données via Mon espace ou hello@eloi.app.
Droit à la limitation (art. 18) — limiter le traitement dans les cas prévus.
Droit à la portabilité (art. 20) — recevoir vos données dans un format structuré.
Droit d'opposition (art. 21) — vous opposer à un traitement fondé sur l'intérêt légitime.
Retrait du consentement — à tout moment, sans affecter la licéité du traitement antérieur.

Contact : hello@eloi.app. Réponse sous un (1) mois maximum (art. 12.3 RGPD).

Réclamation : Autorité de protection des données (APD).

7. Sécurité des données

Mesures techniques et organisationnelles (article 32 RGPD) :

— chiffrement AES-256 au repos, TLS 1.2+ en transit ;
— authentification sécurisée par lien magique avec expiration ;
— projet Supabase dédié avec Row Level Security ;
— clés API en variables d'environnement (jamais côté client) ;
— infrastructure européenne (Hetzner Frankfurt) avec surveillance et alertes ;
— rotation des logs Docker et alertes disque configurées.

8. Analyse d'impact (DPIA)

Le traitement de données relatives à des situations juridiques personnelles (divorce, garde, pension) peut constituer un traitement sensible au sens large. Une DPIA est en cours de réalisation conformément à l'article 35 du RGPD.

9. Délégué à la protection des données

Pas de DPO désigné (article 37 RGPD, non requis au vu de la taille de l'organisation). Contact direct : hello@eloi.app.

10. Modification

La présente politique peut être modifiée à tout moment. Notification par bandeau en cas de modification substantielle.

Dernière mise à jour : 17 avril 2026