Politique de confidentialité
Dernière mise à jour : 15 mai 2026
Noesia Labs SRL (ci-après « Noesia Labs » ou « nous ») attache une importance particulière à la protection de vos données personnelles. La présente politique décrit comment nous collectons, utilisons, partageons et protégeons vos données dans le cadre du service Gérard, en conformité avec le Règlement (UE) 2016/679 relatif à la protection des données (« RGPD ») et la loi belge du 30 juillet 2018.
1. Responsable de traitement
Le responsable du traitement des données personnelles est :
- Noesia Labs SRL, société à responsabilité limitée de droit belge, dont le siège est situé à Zaventem, Belgique.
- BCE / TVA : BE [à compléter]
- Contact : contact@noesia-labs.com
En l'absence de Délégué à la Protection des Données (DPO) désigné, toute demande relative à vos données peut être adressée à l'adresse ci-dessus.
2. Qualités de Noesia Labs
Noesia Labs agit en double qualité selon les traitements :
- Responsable de traitement pour les données relatives à votre compte Gérard (inscription, facturation, authentification, support).
- Sous-traitant au sens de l'article 28 RGPD pour les données personnelles que vous saisissez dans le Service en qualité de responsable de traitement (par exemple : données de vos propres clients, salariés, sous-traitants, contacts BTP). Un accord de sous-traitance (DPA) est disponible sur demande à contact@noesia-labs.com.
3. Données collectées et finalités
3.1 Données de compte (Noesia Labs = responsable)
| Catégorie | Finalité | Base légale | Durée |
|---|---|---|---|
| Email, nom, prénom (via Clerk) | Création et gestion du compte, authentification | Exécution du contrat (CGU) | Durée de l'abonnement + 30 jours |
| Mot de passe (hashé par Clerk) | Authentification sécurisée | Exécution du contrat | Durée de l'abonnement + 30 jours |
| Données de facturation (nom, adresse, TVA, IBAN/CB via Stripe) | Émission de factures, prélèvement | Exécution du contrat + obligation légale (Code TVA belge) | 10 ans (obligation comptable) |
| Logs de connexion (IP, user-agent, timestamps) | Sécurité, détection d'abus, audit | Intérêt légitime | 12 mois |
| Métriques d'usage (pages visitées, fonctionnalités utilisées) | Amélioration du service | Intérêt légitime | 24 mois (anonymisées au-delà) |
| Abonnement push notifications (endpoint, clés VAPID) | Envoi de notifications mobiles | Consentement explicite | Jusqu'à désabonnement |
3.2 Contenu Client (Noesia Labs = sous-traitant)
Les données que vous saisissez dans le Service (chantiers, adresses, photos géolocalisées, comptes-rendus audio, transcriptions, contacts, fournisseurs, achats, SAV) sont traitées pour votre compte aux seules fins de fournir le Service. Vous restez responsable du respect du RGPD pour ces données vis-à-vis des personnes concernées (vos clients, salariés, sous-traitants).
Ces données ne sont jamais utilisées par Noesia Labs pour entraîner des modèles d'IA, à des fins publicitaires, ou de profiling.
4. Sous-traitants et destinataires
Pour fournir le Service, nous faisons appel aux sous-traitants suivants, qui agissent sous notre instruction et avec des garanties contractuelles conformes à l'article 28 RGPD :
| Sous-traitant | Fonction | Localisation | Garantie transfert |
|---|---|---|---|
| Clerk Inc. | Authentification, gestion des organisations | USA | Clauses contractuelles types (CCT) + US-EU Data Privacy Framework |
| Neon Inc. | Base de données PostgreSQL | UE (Francfort, Allemagne) | Hébergement UE, pas de transfert hors UE pour les données |
| Cloudflare Inc. (R2) | Stockage des photos et documents | UE (région EEUR) | CCT + DPF, hébergement UE configuré |
| Vercel Inc. | Hébergement du front-end | USA (avec edge UE) | CCT + DPF |
| Hetzner Online GmbH | Hébergement du back-end Docker | UE (Falkenstein, Allemagne) | Pas de transfert hors UE |
| Anthropic PBC | Modèles de langage Claude (chat, vision) | USA | CCT |
| OpenAI Inc. | Whisper (transcription audio), embeddings sémantiques | USA | CCT |
| Stripe Payments Europe Ltd. | Traitement des paiements | UE (Irlande), accès USA | CCT + DPF |
| Resend Inc. | Envoi d'emails transactionnels | USA | CCT |
5. Transferts hors Union européenne
Certaines données peuvent être transférées vers des sous-traitants situés en dehors de l'Espace économique européen (notamment États-Unis). Ces transferts sont encadrés par :
- Les Clauses contractuelles types de la Commission européenne (décision 2021/914), incluses dans nos contrats avec les sous-traitants concernés.
- Pour les sous-traitants américains certifiés au EU-US Data Privacy Framework (Clerk, Vercel, Cloudflare, Stripe), la décision d'adéquation de la Commission européenne du 10 juillet 2023.
- Des mesures techniques complémentaires : chiffrement TLS en transit, chiffrement au repos, minimisation des données envoyées aux modèles d'IA (pas de données sensibles RGPD article 9).
Anthropic et OpenAI ne sont à ce jour pas certifiés DPF. Les transferts vers ces fournisseurs sont effectués sur la base des Clauses contractuelles types complétées d'une analyse d'impact des transferts (Transfer Impact Assessment).
6. Sécurité
Nous mettons en œuvre les mesures techniques et organisationnelles suivantes :
- Chiffrement TLS 1.2+ pour toutes les communications
- Chiffrement au repos des bases de données et du stockage (AES-256)
- Isolation multi-tenant stricte (chaque organisation ne voit que ses propres données)
- Authentification multi-facteurs disponible via Clerk
- Rate limiting et pare-feu applicatif (helmet, CSP, CORS strict)
- Logs d'audit horodatés des actions sensibles (accès admin, modifications de configuration)
- Sauvegardes automatiques de la base de données (point-in-time recovery)
- Mises à jour de sécurité des dépendances suivies (Dependabot, npm audit)
- Revue de sécurité documentée dans le fichier SECURITY.md du dépôt
7. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Droit d'accès : obtenir la confirmation que des données vous concernant sont traitées et en recevoir copie.
- Droit de rectification : faire corriger des données inexactes ou incomplètes.
- Droit à l'effacement (« droit à l'oubli ») : demander la suppression de vos données dans les cas prévus par la loi.
- Droit à la limitation : suspendre temporairement le traitement pendant la vérification d'une demande.
- Droit à la portabilité : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON ou CSV).
- Droit d'opposition : vous opposer au traitement fondé sur l'intérêt légitime.
- Droit de retirer votre consentement à tout moment lorsque le traitement repose sur celui-ci (push notifications par exemple).
- Droit de définir des directives relatives au sort de vos données après votre décès (loi belge).
Pour exercer ces droits, écrivez à contact@noesia-labs.com en précisant l'objet de votre demande et en joignant une preuve d'identité (pour éviter l'usurpation). Nous répondons dans un délai d'un mois, prorogeable de deux mois en cas de demande complexe.
8. Réclamation auprès d'une autorité de contrôle
Si vous estimez que le traitement de vos données viole le RGPD, vous pouvez introduire une réclamation auprès de l'Autorité de protection des données belge (APD) :
- Rue de la Presse 35, 1000 Bruxelles
- Tél : +32 (0)2 274 48 00
- Web : autoriteprotectiondonnees.be
- Email : contact@apd-gba.be
Si vous êtes situé dans un autre État membre de l'UE, vous pouvez saisir l'autorité de contrôle de votre lieu de résidence.
9. Cookies
Le Service utilise les cookies strictement nécessaires à son fonctionnement :
- Cookies d'authentification Clerk (durée de session, exemptés de consentement au sens de l'article 129 de la loi belge sur les communications électroniques).
- Préférences utilisateur (langue, mode mobile) stockées en localStorage, sans transmission tierce.
Nous n'utilisons pas de cookies publicitaires ni de cookies de traçage tiers (Google Analytics, Meta Pixel, etc.). Si nous en ajoutions, un bandeau de consentement conforme aux lignes directrices de l'EDPB serait mis en place.
10. Données concernant les mineurs
Le Service n'est pas destiné aux personnes de moins de 16 ans. Nous ne collectons pas sciemment les données de mineurs. Si vous estimez qu'un mineur a fourni ses données, contactez-nous pour suppression immédiate.
11. Modifications de la présente politique
Cette politique peut être modifiée pour refléter les évolutions légales, techniques ou organisationnelles. Toute modification substantielle sera notifiée par email au moins 30 jours avant prise d'effet.
12. Contact
Pour toute question relative à la protection de vos données ou pour exercer vos droits :
- Par email : contact@noesia-labs.com
- Par courrier : Noesia Labs SRL, Zaventem, Belgique