Conformité RGPD · RÚglement (UE) 2016/679

Politique de
Confidentialité

La présente politique décrit comment AFRIMO collecte, utilise et protÚge vos données personnelles, conformément au RÚglement général sur la protection des données (RGPD) et à la loi belge du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractÚre personnel.

DerniÚre mise à jour : 9 mai 2026 / May 9, 2026 / 9 mei 2026·Version : 1.0

1. Identité du responsable du traitement

Le responsable du traitement des données personnelles collectées via la plateforme AFRIMO est :

QualitéAFRIMOQualitéFondateur et responsable de la plateforme AFRIMOAdresseBelgiqueSite webhttps://afrimo.be

AFRIMO n'a pas dĂ©signĂ© de DĂ©lĂ©guĂ© Ă  la Protection des DonnĂ©es (DPO) au sens de l'article 37 RGPD, cette obligation ne s'appliquant pas aux traitements rĂ©alisĂ©s dans le cadre de la prĂ©sente activitĂ©. Toute demande relative Ă  la protection des donnĂ©es doit ĂȘtre adressĂ©e directement au responsable du traitement via notre site web.

2. Données personnelles collectées

AFRIMO collecte uniquement les données strictement nécessaires au fonctionnement du service (principe de minimisation, article 5(1)(c) RGPD). Ces données sont regroupées en plusieurs catégories :

2.1 Données d'identité et d'authentification

DonnéeDescriptionObligatoire
NomNom complet de l'utilisateur, utilisé pour personnaliser l'interfaceOui
Adresse emailIdentifiant unique de connexion, utilisé pour les communicationsOui
Mot de passe (hachĂ©)Jamais stockĂ© en clair — hachĂ© via bcrypt (salt 12 rounds)Oui
Langue prĂ©fĂ©rĂ©eFR, EN ou NL — pour l'affichage de l'interfaceNon (FR par dĂ©faut)
RĂŽle applicatifSTANDARD, METREUR, EXPERT ou ADMIN — dĂ©termine les droits d'accĂšsAutomatique
Token de réinitialisationJeton temporaire (1h) pour la procédure de mot de passe oubliéTemporaire

2.2 Données de paiement et d'abonnement

AFRIMO utilise Stripe comme processeur de paiement certifié PCI-DSS niveau 1. Les données bancaires (numéro de carte, CVV) ne transitent jamais par les serveurs AFRIMO et ne sont jamais stockées dans notre base de données.

DonnéeDescriptionStockée par AFRIMO
Identifiant client StripeRéférence Stripe (cus_
) permettant la gestion des abonnementsOui
Plan d'abonnementFREE, STARTER, PRO ou ENTERPRISEOui
Statut d'abonnementACTIVE, TRIALING, PAST_DUE, CANCELED, UNPAIDOui
Identifiant d'abonnement StripeRéférence Stripe (sub_
) de l'abonnement actifOui
Date de fin de périodeDate de la prochaine échéance ou fin d'abonnementOui
NumĂ©ro de carte bancaireNon collectĂ© — gĂ©rĂ© exclusivement par StripeNon

2.3 Données métier (contenu utilisateur)

Ces données sont saisies librement par l'utilisateur dans le cadre de son activité professionnelle. Elles peuvent contenir des données à caractÚre personnel de tiers (clients finaux). L'utilisateur est responsable du respect du RGPD vis-à-vis de ses propres clients.

  • ‱Projets de construction : nom, description, type de projet, rĂ©gion, surfaces, nature des travaux, statut.
  • ‱Devis : lignes de postes CCTB, quantitĂ©s, prix unitaires, taux TVA, marges, totaux HT/TVA/TTC, versions successives.
  • ‱DonnĂ©es clients (CRM) : nom ou raison sociale, type (particulier, sociĂ©tĂ©, indĂ©pendant
), numĂ©ro BCE, numĂ©ro TVA belge, numĂ©ro de registre national, adresse, email, tĂ©lĂ©phone, notes internes.
  • ‱Profil entreprise : nom lĂ©gal, forme juridique, numĂ©ro BCE, adresse professionnelle, coordonnĂ©es bancaires (IBAN/BIC), nom du signataire.

2.4 Données techniques et de journalisation

  • ‱Adresse IP de connexion (journaux serveur Morgan, durĂ©e de conservation : 30 jours).
  • ‱Horodatage des requĂȘtes API.
  • ‱Identifiant de session JWT (stockĂ© dans un cookie navigateur afrimo_token).
  • ‱Langue sĂ©lectionnĂ©e (cookie afrimo_langue).

2.5 Données non collectées

AFRIMO ne collecte pas : données de géolocalisation précise, données biométriques, données de santé, données relatives aux condamnations pénales, données d'origine ethnique, opinions politiques, convictions religieuses, appartenance syndicale, données génétiques.

3. Finalités et bases légales du traitement

ConformĂ©ment Ă  l'article 6 RGPD, tout traitement repose sur l'une des bases lĂ©gales suivantes : exĂ©cution d'un contrat (6(1)(b)), intĂ©rĂȘt lĂ©gitime (6(1)(f)), obligation lĂ©gale (6(1)(c)) ou consentement (6(1)(a)).

Finalité du traitementDonnées concernéesBase légale
Création et gestion du compte utilisateurNom, email, mot de passe haché, langue, rÎleExécution du contrat (art. 6(1)(b))
Authentification et sĂ©curitĂ© de l'accĂšsEmail, mot de passe hachĂ©, JWT, adresse IPIntĂ©rĂȘt lĂ©gitime (art. 6(1)(f)) — sĂ©curitĂ© du service
Fourniture des fonctionnalités SaaS (projets, devis, CRM, PEB, TVA)Toutes données métier saisies par l'utilisateurExécution du contrat (art. 6(1)(b))
Gestion de l'abonnement et facturationEmail, ID Stripe, plan, statut, datesExécution du contrat (art. 6(1)(b))
Envoi d'emails transactionnels (bienvenue, réinitialisation, devis)Email, nom, contenu du devisExécution du contrat (art. 6(1)(b))
AmĂ©lioration du service et dĂ©tection d'anomaliesJournaux techniques, horodatages, erreursIntĂ©rĂȘt lĂ©gitime (art. 6(1)(f))
Respect des obligations comptables et fiscales belges (archivage 10 ans)DonnĂ©es de facturation StripeObligation lĂ©gale (art. 6(1)(c)) — loi belge du 17/07/1975
PrĂ©paration des dĂ©clarations TVA, listings clients et relevĂ©s intracom de l'utilisateur (module fiscal)DonnĂ©es mĂ©tier (factures Ă©mises et reçues, n° TVA des clients/fournisseurs, montants)Obligation lĂ©gale (art. 6(1)(c)) — Code TVA belge
Validation des n° TVA UE via le service VIES de la Commission europĂ©enneN° TVA des clients de l'utilisateurObligation lĂ©gale (art. 6(1)(c)) — art. 39bis CTVA
Notifications d'Ă©chĂ©ances fiscales (alertes J-15/J-7/J-3/J-1)Email, langue, Ă©chĂ©ances fiscales propresIntĂ©rĂȘt lĂ©gitime (art. 6(1)(f)) — assistance Ă  la conformitĂ©
Réponse aux demandes de droits RGPDDonnées du demandeur (email, identité)Obligation légale (art. 6(1)(c))

AFRIMO ne vend pas, ne loue pas et ne commercialise pas vos données personnelles à des tiers à des fins de marketing ou de profilage. Aucun traitement automatisé produisant des effets juridiques significatifs (profilage au sens de l'art. 22 RGPD) n'est effectué.

4. Durée de conservation

Les données sont conservées pour la durée strictement nécessaire à la finalité pour laquelle elles ont été collectées, conformément à l'article 5(1)(e) RGPD.

Catégorie de donnéesDurée de conservationJustification
Données de compte (nom, email, langue)Durée de l'abonnement actif + 12 mois aprÚs résiliationPermettre la réactivation du compte et le service aprÚs-vente
Données métier (projets, devis, CRM)Durée de l'abonnement actif + 12 mois aprÚs résiliationContinuité du service, historique professionnel de l'utilisateur
DonnĂ©es d'abonnement Stripe10 ans Ă  compter de la date de facturationObligation lĂ©gale — Code des sociĂ©tĂ©s et des associations belge, art. III.86
Journaux serveur (IP, horodatages)30 jours glissantsDĂ©tection d'intrusions, dĂ©bogage — suppression automatique
Token de réinitialisation mot de passe1 heure à compter de la générationInvalidation automatique aprÚs expiration
Cookies de session (JWT)7 joursInvalidation automatique Ă  l'expiration
Données suite à demande de suppressionSuppression dans un délai maximal de 30 joursRespect du droit à l'effacement (art. 17 RGPD)

À l'expiration des dĂ©lais ci-dessus, les donnĂ©es sont supprimĂ©es ou anonymisĂ©es de maniĂšre irrĂ©versible. Certaines donnĂ©es peuvent ĂȘtre conservĂ©es sous forme agrĂ©gĂ©e et anonymisĂ©e Ă  des fins statistiques sans limitation de durĂ©e.

5. Vos droits RGPD

En tant que personne concernĂ©e, vous disposez des droits suivants sur vos donnĂ©es personnelles, conformĂ©ment aux articles 15 Ă  22 du RGPD. Pour exercer l'un de ces droits, contactez-nous via https://afrimo.be — Nous rĂ©pondrons dans un dĂ©lai maximal d'un mois (prorogeable de deux mois en cas de demande complexe, avec notification prĂ©alable).

Art. 15Droit d'accĂšs

Obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie, ainsi que des informations sur les finalités, les catégories de données, les destinataires et la durée de conservation.

Art. 16Droit de rectification

Faire corriger les données inexactes ou incomplÚtes vous concernant. Vous pouvez également modifier directement la plupart de vos informations depuis les paramÚtres de votre compte.

Art. 17Droit Ă  l'effacement

Demander la suppression de vos données lorsque (i) elles ne sont plus nécessaires, (ii) vous retirez votre consentement, (iii) vous vous opposez au traitement, ou (iv) le traitement est illicite. Des exceptions s'appliquent pour les obligations légales (comptabilité).

Art. 18Droit Ă  la limitation

Demander la suspension temporaire du traitement de vos données, notamment pendant la vérification d'une contestation relative à l'exactitude des données ou lors d'un recours contre un effacement.

Art. 20Droit à la portabilité

Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON ou CSV), et les transmettre à un autre responsable du traitement. Ce droit s'applique aux données fournies sur la base du consentement ou d'un contrat.

Art. 21Droit d'opposition

Vous opposer Ă  tout moment au traitement de vos donnĂ©es fondĂ© sur l'intĂ©rĂȘt lĂ©gitime (art. 6(1)(f)). Le responsable du traitement doit cesser le traitement, sauf s'il dĂ©montre des motifs lĂ©gitimes impĂ©rieux prĂ©valant sur vos intĂ©rĂȘts.

Comment exercer vos droits ? Contactez-nous via https://afrimo.be en mentionnant l'objet « Demande RGPD — [type de droit] ». Joignez un justificatif d'identitĂ© si nĂ©cessaire pour prĂ©venir les usurpations. Nous accuserons rĂ©ception sous 72 heures.

6. Sécurité des données

AFRIMO met en Ɠuvre des mesures techniques et organisationnelles appropriĂ©es pour protĂ©ger vos donnĂ©es personnelles contre toute destruction accidentelle ou illicite, perte accidentelle, altĂ©ration, divulgation ou accĂšs non autorisĂ© (article 32 RGPD).

6.1 Mesures techniques

  • ‱Chiffrement des mots de passe : algorithme bcrypt avec facteur de coĂ»t 12 — les mots de passe en clair ne sont jamais stockĂ©s ni transmis.
  • ‱Transport chiffrĂ© : toutes les communications entre le navigateur et le serveur s'effectuent via HTTPS (TLS 1.2 minimum).
  • ‱Authentification par JWT : tokens signĂ©s (HMAC-SHA256), durĂ©e de validitĂ© limitĂ©e Ă  7 jours, invalidĂ©s Ă  la dĂ©connexion.
  • ‱ContrĂŽle d'accĂšs basĂ© sur les rĂŽles (RBAC) : chaque utilisateur n'accĂšde qu'Ă  ses propres donnĂ©es ; les administrateurs ont un accĂšs Ă©tendu limitĂ© Ă  la gestion de la plateforme.
  • ‱Isolation des donnĂ©es : chaque compte est strictement isolĂ© — aucune donnĂ©e d'un utilisateur n'est accessible Ă  un autre.
  • ‱Protection des headers HTTP : Helmet.js (CSP, X-Frame-Options, X-Content-Type-Options, HSTS
).
  • ‱Paiements PCI-DSS : les donnĂ©es de cartes bancaires sont traitĂ©es exclusivement par Stripe (certifiĂ© PCI-DSS niveau 1) et ne transitent pas par nos serveurs.
  • ‱Authentification Ă  deux facteurs (2FA) optionnelle (TOTP) : le secret est chiffrĂ© au repos (AES-256) et des codes de secours Ă  usage unique sont fournis.

6.2 Mesures organisationnelles

  • ‱AccĂšs aux donnĂ©es de production limitĂ© au strict nĂ©cessaire (principe du moindre privilĂšge).
  • ‱Mises Ă  jour de sĂ©curitĂ© des dĂ©pendances effectuĂ©es rĂ©guliĂšrement.
  • ‱Variables d'environnement sensibles (clĂ©s API, secrets JWT) stockĂ©es hors du code source.
  • ‱Sauvegardes rĂ©guliĂšres de la base de donnĂ©es PostgreSQL.
  • ‱Journal d'audit : les actions sensibles (connexions, modifications, exports, suppressions de compte) sont horodatĂ©es et conservĂ©es.

6.3 Violation de données

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, AFRIMO s'engage à notifier l'Autorité de protection des données (APD) dans un délai de 72 heures conformément à l'article 33 RGPD, et à vous en informer sans délai injustifié si la violation présente un risque élevé pour vos droits (article 34 RGPD).

7. Cookies et traceurs

AFRIMO utilise un nombre minimal de cookies, strictement nécessaires au fonctionnement du service. Aucun cookie publicitaire, de profilage ou de suivi comportemental n'est utilisé.

Nom du cookieTypeFinalitéDurée
afrimo_tokenFonctionnel — nĂ©cessaireJeton d'authentification JWT. Maintient la session de l'utilisateur connectĂ©.7 jours (ou Ă  la dĂ©connexion)
afrimo_langueFonctionnel — nĂ©cessaireMĂ©morise la langue d'affichage choisie par l'utilisateur (FR, EN ou NL).Session navigateur
afrimo_userFonctionnel — nĂ©cessaireStocke les informations de base du profil utilisateur (id, nom, rĂŽle) pour l'affichage interface.7 jours (ou Ă  la dĂ©connexion)

Ces cookies sont strictement nécessaires à la fourniture du service demandé par l'utilisateur. Conformément à l'article 5(3) de la Directive ePrivacy, ils sont exemptés de l'obligation de recueil du consentement préalable.

Si AFRIMO intÚgre à l'avenir des outils d'analyse ou de marketing, la présente politique sera mise à jour et un mécanisme de recueil du consentement conforme sera mis en place.

8. Sous-traitants et destinataires tiers

AFRIMO fait appel à des prestataires tiers pour fournir certaines fonctionnalités. Ces prestataires agissent en qualité de sous-traitants au sens de l'article 28 RGPD et sont liés par des obligations contractuelles de protection des données.

PrestataireRÎleDonnées transmisesSiÚge / Garanties
Stripe Payments Europe LtdProcesseur de paiement — gestion des abonnements et transactions bancairesEmail, nom, identifiant client, montants des transactionsIrlande — RGPD applicable + certification PCI-DSS niveau 1
Google LLC (Gemini API)Intelligence artificielle — modĂšle Gemini utilisĂ© pour l'assistant et l'analyse de plansContenu des prompts envoyĂ©s Ă  l'assistant IA (sans rĂ©utilisation pour entraĂźnement)USA — Clauses contractuelles types UE + DPF
Resend, Inc.Envoi d'emails transactionnels (bienvenue, rĂ©initialisation, devis, alertes fiscales)Adresse email destinataire, nom, contenu du messageUSA — Clauses contractuelles types UE
Cloudflare, Inc.Routage des emails entrants (support@ / privacy@) vers la plateformeEmails entrants : expĂ©diteur, objet, contenu, piĂšces jointesUSA / UE — Clauses contractuelles types UE
Vercel, Inc.HĂ©bergement frontend et CDNTrafic HTTP, IP, en-tĂȘtes (logs)USA / UE — Clauses contractuelles types UE
Railway Corp.HĂ©bergement backend et base de donnĂ©es PostgreSQLEnsemble des donnĂ©es de la plateforme (chiffrĂ©es au repos)USA / UE — Clauses contractuelles types UE + DPA
Banque Centrale Européenne (API publique)Récupération des taux de change officiels pour le module fiscal multi-devisesAucune donnée personnelle transmise (consultation publique)UE
Commission europĂ©enne (API VIES)Validation des numĂ©ros de TVA intracommunautairesN° TVA UE des clients de l'utilisateurUE — donnĂ©es publiques au registre VIES

AFRIMO ne divulgue vos données personnelles à aucun autre tiers, sauf obligation légale imposée par une autorité judiciaire ou administrative compétente. Si vous activez l'option facultative « Afrimo Index », vos prix unitaires sont intégrés à un indice de référence sous forme strictement anonymisée et agrégée (médiane et quartiles, calculés sur au minimum 5 organisations distinctes, sans aucune identification d'organisation) ; cette fonctionnalité repose sur votre consentement (opt-in) et est désactivable à tout moment.

9. Transferts hors Union européenne

Certains sous-traitants d'AFRIMO (Google, Resend, Vercel, Railway, Cloudflare) ont leur siĂšge social aux États-Unis. Les transferts de donnĂ©es vers ces entitĂ©s sont encadrĂ©s par les garanties appropriĂ©es prĂ©vues au Chapitre V du RGPD :

  • ‱Clauses contractuelles types (CCT) — Clauses contractuelles types (CCT) adoptĂ©es par la Commission europĂ©enne (dĂ©cision d'exĂ©cution 2021/914/UE), intĂ©grĂ©es dans les contrats de traitement des donnĂ©es conclus avec les sous-traitants Ă©tablis hors UE (Google LLC, Resend, Vercel, Railway). Stripe est Ă©tabli en Irlande (UE) et ne fait l'objet d'aucun transfert hors UE.
  • ‱Data Privacy Framework (DPF) — Data Privacy Framework (DPF) : dans la mesure oĂč ces prestataires y adhĂšrent, le cadre de protection des donnĂ©es UE–États-Unis constitue une garantie supplĂ©mentaire (dĂ©cision d'adĂ©quation de la Commission du 10 juillet 2023).

Vous pouvez obtenir une copie des garanties via https://afrimo.be.

10. Données relatives aux mineurs

AFRIMO est une plateforme professionnelle B2B destinée exclusivement aux professionnels du secteur de la construction. Le service n'est pas destiné aux personnes ùgées de moins de 18 ans. AFRIMO ne collecte pas sciemment de données personnelles relatives à des mineurs. Si vous avez connaissance d'un traitement non conforme concernant un mineur, veuillez nous contacter immédiatement.

11. Modifications de la présente politique

AFRIMO se réserve le droit de modifier la présente politique de confidentialité à tout moment, notamment pour se conformer à l'évolution de la réglementation applicable ou pour refléter de nouvelles fonctionnalités du service.

En cas de modification substantielle (nouvelle finalité de traitement, nouveau sous-traitant, nouveau transfert hors UE), vous serez informé par email à l'adresse associée à votre compte au moins 30 jours avant l'entrée en vigueur des modifications. L'utilisation continue du service aprÚs cette période vaut acceptation des modifications.

La date de « DerniÚre mise à jour » en haut de ce document indique la version actuellement en vigueur. Les versions antérieures sont disponibles sur demande.

12. Contact et droit de réclamation

12.1 Contact du responsable du traitement

Pour toute question relative à la présente politique ou pour exercer vos droits :

AFRIMO

Responsable du traitement — AFRIMO

🌐 https://afrimo.be

12.2 Droit de réclamation auprÚs de l'autorité de contrÎle

Si vous estimez que le traitement de vos données personnelles constitue une violation du RGPD, vous avez le droit d'introduire une réclamation auprÚs de l'autorité de contrÎle compétente. En Belgique, il s'agit de :

Autorité de protection des données (APD)

Rue de la Presse 35 — 1000 Bruxelles, Belgique

Tél. : +32 (0)2 274 48 00

www.autoriteprotectiondonnees.be

Vous pouvez Ă©galement vous adresser Ă  l'autoritĂ© de contrĂŽle de votre État membre de rĂ©sidence habituelle ou de votre lieu de travail si vous rĂ©sidez dans un autre pays de l'Union europĂ©enne.

© 2026 AFRIMO

Politique de confidentialité v2.0 · DerniÚre mise à jour : 9 mai 2026 / May 9, 2026 / 9 mei 2026

Conforme au RĂšglement (UE) 2016/679 (RGPD) et Ă  la loi belge du 30 juillet 2018.

← Retour à l'accueil