1. Identité du responsable du traitement
Le responsable du traitement des données personnelles collectées via la plateforme AFRIMO est :
AFRIMO n'a pas dĂ©signĂ© de DĂ©lĂ©guĂ© Ă la Protection des DonnĂ©es (DPO) au sens de l'article 37 RGPD, cette obligation ne s'appliquant pas aux traitements rĂ©alisĂ©s dans le cadre de la prĂ©sente activitĂ©. Toute demande relative Ă la protection des donnĂ©es doit ĂȘtre adressĂ©e directement au responsable du traitement via notre site web.
2. Données personnelles collectées
AFRIMO collecte uniquement les données strictement nécessaires au fonctionnement du service (principe de minimisation, article 5(1)(c) RGPD). Ces données sont regroupées en plusieurs catégories :
2.1 Données d'identité et d'authentification
| Donnée | Description | Obligatoire |
|---|---|---|
| Nom | Nom complet de l'utilisateur, utilisé pour personnaliser l'interface | Oui |
| Adresse email | Identifiant unique de connexion, utilisé pour les communications | Oui |
| Mot de passe (hachĂ©) | Jamais stockĂ© en clair â hachĂ© via bcrypt (salt 12 rounds) | Oui |
| Langue prĂ©fĂ©rĂ©e | FR, EN ou NL â pour l'affichage de l'interface | Non (FR par dĂ©faut) |
| RĂŽle applicatif | STANDARD, METREUR, EXPERT ou ADMIN â dĂ©termine les droits d'accĂšs | Automatique |
| Token de réinitialisation | Jeton temporaire (1h) pour la procédure de mot de passe oublié | Temporaire |
2.2 Données de paiement et d'abonnement
AFRIMO utilise Stripe comme processeur de paiement certifié PCI-DSS niveau 1. Les données bancaires (numéro de carte, CVV) ne transitent jamais par les serveurs AFRIMO et ne sont jamais stockées dans notre base de données.
| Donnée | Description | Stockée par AFRIMO |
|---|---|---|
| Identifiant client Stripe | RĂ©fĂ©rence Stripe (cus_âŠ) permettant la gestion des abonnements | Oui |
| Plan d'abonnement | FREE, STARTER, PRO ou ENTERPRISE | Oui |
| Statut d'abonnement | ACTIVE, TRIALING, PAST_DUE, CANCELED, UNPAID | Oui |
| Identifiant d'abonnement Stripe | RĂ©fĂ©rence Stripe (sub_âŠ) de l'abonnement actif | Oui |
| Date de fin de période | Date de la prochaine échéance ou fin d'abonnement | Oui |
| NumĂ©ro de carte bancaire | Non collectĂ© â gĂ©rĂ© exclusivement par Stripe | Non |
2.3 Données métier (contenu utilisateur)
Ces données sont saisies librement par l'utilisateur dans le cadre de son activité professionnelle. Elles peuvent contenir des données à caractÚre personnel de tiers (clients finaux). L'utilisateur est responsable du respect du RGPD vis-à -vis de ses propres clients.
- âąProjets de construction : nom, description, type de projet, rĂ©gion, surfaces, nature des travaux, statut.
- âąDevis : lignes de postes CCTB, quantitĂ©s, prix unitaires, taux TVA, marges, totaux HT/TVA/TTC, versions successives.
- âąDonnĂ©es clients (CRM) : nom ou raison sociale, type (particulier, sociĂ©tĂ©, indĂ©pendantâŠ), numĂ©ro BCE, numĂ©ro TVA belge, numĂ©ro de registre national, adresse, email, tĂ©lĂ©phone, notes internes.
- âąProfil entreprise : nom lĂ©gal, forme juridique, numĂ©ro BCE, adresse professionnelle, coordonnĂ©es bancaires (IBAN/BIC), nom du signataire.
2.4 Données techniques et de journalisation
- âąAdresse IP de connexion (journaux serveur Morgan, durĂ©e de conservation : 30 jours).
- âąHorodatage des requĂȘtes API.
- âąIdentifiant de session JWT (stockĂ© dans un cookie navigateur afrimo_token).
- âąLangue sĂ©lectionnĂ©e (cookie afrimo_langue).
2.5 Données non collectées
AFRIMO ne collecte pas : données de géolocalisation précise, données biométriques, données de santé, données relatives aux condamnations pénales, données d'origine ethnique, opinions politiques, convictions religieuses, appartenance syndicale, données génétiques.
3. Finalités et bases légales du traitement
ConformĂ©ment Ă l'article 6 RGPD, tout traitement repose sur l'une des bases lĂ©gales suivantes : exĂ©cution d'un contrat (6(1)(b)), intĂ©rĂȘt lĂ©gitime (6(1)(f)), obligation lĂ©gale (6(1)(c)) ou consentement (6(1)(a)).
| Finalité du traitement | Données concernées | Base légale |
|---|---|---|
| Création et gestion du compte utilisateur | Nom, email, mot de passe haché, langue, rÎle | Exécution du contrat (art. 6(1)(b)) |
| Authentification et sĂ©curitĂ© de l'accĂšs | Email, mot de passe hachĂ©, JWT, adresse IP | IntĂ©rĂȘt lĂ©gitime (art. 6(1)(f)) â sĂ©curitĂ© du service |
| Fourniture des fonctionnalités SaaS (projets, devis, CRM, PEB, TVA) | Toutes données métier saisies par l'utilisateur | Exécution du contrat (art. 6(1)(b)) |
| Gestion de l'abonnement et facturation | Email, ID Stripe, plan, statut, dates | Exécution du contrat (art. 6(1)(b)) |
| Envoi d'emails transactionnels (bienvenue, réinitialisation, devis) | Email, nom, contenu du devis | Exécution du contrat (art. 6(1)(b)) |
| AmĂ©lioration du service et dĂ©tection d'anomalies | Journaux techniques, horodatages, erreurs | IntĂ©rĂȘt lĂ©gitime (art. 6(1)(f)) |
| Respect des obligations comptables et fiscales belges (archivage 10 ans) | DonnĂ©es de facturation Stripe | Obligation lĂ©gale (art. 6(1)(c)) â loi belge du 17/07/1975 |
| PrĂ©paration des dĂ©clarations TVA, listings clients et relevĂ©s intracom de l'utilisateur (module fiscal) | DonnĂ©es mĂ©tier (factures Ă©mises et reçues, n° TVA des clients/fournisseurs, montants) | Obligation lĂ©gale (art. 6(1)(c)) â Code TVA belge |
| Validation des n° TVA UE via le service VIES de la Commission europĂ©enne | N° TVA des clients de l'utilisateur | Obligation lĂ©gale (art. 6(1)(c)) â art. 39bis CTVA |
| Notifications d'Ă©chĂ©ances fiscales (alertes J-15/J-7/J-3/J-1) | Email, langue, Ă©chĂ©ances fiscales propres | IntĂ©rĂȘt lĂ©gitime (art. 6(1)(f)) â assistance Ă la conformitĂ© |
| Réponse aux demandes de droits RGPD | Données du demandeur (email, identité) | Obligation légale (art. 6(1)(c)) |
AFRIMO ne vend pas, ne loue pas et ne commercialise pas vos données personnelles à des tiers à des fins de marketing ou de profilage. Aucun traitement automatisé produisant des effets juridiques significatifs (profilage au sens de l'art. 22 RGPD) n'est effectué.
4. Durée de conservation
Les données sont conservées pour la durée strictement nécessaire à la finalité pour laquelle elles ont été collectées, conformément à l'article 5(1)(e) RGPD.
| Catégorie de données | Durée de conservation | Justification |
|---|---|---|
| Données de compte (nom, email, langue) | Durée de l'abonnement actif + 12 mois aprÚs résiliation | Permettre la réactivation du compte et le service aprÚs-vente |
| Données métier (projets, devis, CRM) | Durée de l'abonnement actif + 12 mois aprÚs résiliation | Continuité du service, historique professionnel de l'utilisateur |
| DonnĂ©es d'abonnement Stripe | 10 ans Ă compter de la date de facturation | Obligation lĂ©gale â Code des sociĂ©tĂ©s et des associations belge, art. III.86 |
| Journaux serveur (IP, horodatages) | 30 jours glissants | DĂ©tection d'intrusions, dĂ©bogage â suppression automatique |
| Token de réinitialisation mot de passe | 1 heure à compter de la génération | Invalidation automatique aprÚs expiration |
| Cookies de session (JWT) | 7 jours | Invalidation automatique Ă l'expiration |
| Données suite à demande de suppression | Suppression dans un délai maximal de 30 jours | Respect du droit à l'effacement (art. 17 RGPD) |
Ă l'expiration des dĂ©lais ci-dessus, les donnĂ©es sont supprimĂ©es ou anonymisĂ©es de maniĂšre irrĂ©versible. Certaines donnĂ©es peuvent ĂȘtre conservĂ©es sous forme agrĂ©gĂ©e et anonymisĂ©e Ă des fins statistiques sans limitation de durĂ©e.
5. Vos droits RGPD
En tant que personne concernĂ©e, vous disposez des droits suivants sur vos donnĂ©es personnelles, conformĂ©ment aux articles 15 Ă 22 du RGPD. Pour exercer l'un de ces droits, contactez-nous via https://afrimo.be â Nous rĂ©pondrons dans un dĂ©lai maximal d'un mois (prorogeable de deux mois en cas de demande complexe, avec notification prĂ©alable).
Obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie, ainsi que des informations sur les finalités, les catégories de données, les destinataires et la durée de conservation.
Faire corriger les données inexactes ou incomplÚtes vous concernant. Vous pouvez également modifier directement la plupart de vos informations depuis les paramÚtres de votre compte.
Demander la suppression de vos données lorsque (i) elles ne sont plus nécessaires, (ii) vous retirez votre consentement, (iii) vous vous opposez au traitement, ou (iv) le traitement est illicite. Des exceptions s'appliquent pour les obligations légales (comptabilité).
Demander la suspension temporaire du traitement de vos données, notamment pendant la vérification d'une contestation relative à l'exactitude des données ou lors d'un recours contre un effacement.
Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON ou CSV), et les transmettre à un autre responsable du traitement. Ce droit s'applique aux données fournies sur la base du consentement ou d'un contrat.
Vous opposer Ă tout moment au traitement de vos donnĂ©es fondĂ© sur l'intĂ©rĂȘt lĂ©gitime (art. 6(1)(f)). Le responsable du traitement doit cesser le traitement, sauf s'il dĂ©montre des motifs lĂ©gitimes impĂ©rieux prĂ©valant sur vos intĂ©rĂȘts.
Comment exercer vos droits ? Contactez-nous via https://afrimo.be en mentionnant l'objet « Demande RGPD â [type de droit] ». Joignez un justificatif d'identitĂ© si nĂ©cessaire pour prĂ©venir les usurpations. Nous accuserons rĂ©ception sous 72 heures.
6. Sécurité des données
AFRIMO met en Ćuvre des mesures techniques et organisationnelles appropriĂ©es pour protĂ©ger vos donnĂ©es personnelles contre toute destruction accidentelle ou illicite, perte accidentelle, altĂ©ration, divulgation ou accĂšs non autorisĂ© (article 32 RGPD).
6.1 Mesures techniques
- âąChiffrement des mots de passe : algorithme bcrypt avec facteur de coĂ»t 12 â les mots de passe en clair ne sont jamais stockĂ©s ni transmis.
- âąTransport chiffrĂ© : toutes les communications entre le navigateur et le serveur s'effectuent via HTTPS (TLS 1.2 minimum).
- âąAuthentification par JWT : tokens signĂ©s (HMAC-SHA256), durĂ©e de validitĂ© limitĂ©e Ă 7 jours, invalidĂ©s Ă la dĂ©connexion.
- âąContrĂŽle d'accĂšs basĂ© sur les rĂŽles (RBAC) : chaque utilisateur n'accĂšde qu'Ă ses propres donnĂ©es ; les administrateurs ont un accĂšs Ă©tendu limitĂ© Ă la gestion de la plateforme.
- âąIsolation des donnĂ©es : chaque compte est strictement isolĂ© â aucune donnĂ©e d'un utilisateur n'est accessible Ă un autre.
- âąProtection des headers HTTP : Helmet.js (CSP, X-Frame-Options, X-Content-Type-Options, HSTSâŠ).
- âąPaiements PCI-DSS : les donnĂ©es de cartes bancaires sont traitĂ©es exclusivement par Stripe (certifiĂ© PCI-DSS niveau 1) et ne transitent pas par nos serveurs.
- âąAuthentification Ă deux facteurs (2FA) optionnelle (TOTP) : le secret est chiffrĂ© au repos (AES-256) et des codes de secours Ă usage unique sont fournis.
6.2 Mesures organisationnelles
- âąAccĂšs aux donnĂ©es de production limitĂ© au strict nĂ©cessaire (principe du moindre privilĂšge).
- âąMises Ă jour de sĂ©curitĂ© des dĂ©pendances effectuĂ©es rĂ©guliĂšrement.
- âąVariables d'environnement sensibles (clĂ©s API, secrets JWT) stockĂ©es hors du code source.
- âąSauvegardes rĂ©guliĂšres de la base de donnĂ©es PostgreSQL.
- âąJournal d'audit : les actions sensibles (connexions, modifications, exports, suppressions de compte) sont horodatĂ©es et conservĂ©es.
6.3 Violation de données
En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, AFRIMO s'engage à notifier l'Autorité de protection des données (APD) dans un délai de 72 heures conformément à l'article 33 RGPD, et à vous en informer sans délai injustifié si la violation présente un risque élevé pour vos droits (article 34 RGPD).
7. Cookies et traceurs
AFRIMO utilise un nombre minimal de cookies, strictement nécessaires au fonctionnement du service. Aucun cookie publicitaire, de profilage ou de suivi comportemental n'est utilisé.
| Nom du cookie | Type | Finalité | Durée |
|---|---|---|---|
| afrimo_token | Fonctionnel â nĂ©cessaire | Jeton d'authentification JWT. Maintient la session de l'utilisateur connectĂ©. | 7 jours (ou Ă la dĂ©connexion) |
| afrimo_langue | Fonctionnel â nĂ©cessaire | MĂ©morise la langue d'affichage choisie par l'utilisateur (FR, EN ou NL). | Session navigateur |
| afrimo_user | Fonctionnel â nĂ©cessaire | Stocke les informations de base du profil utilisateur (id, nom, rĂŽle) pour l'affichage interface. | 7 jours (ou Ă la dĂ©connexion) |
Ces cookies sont strictement nécessaires à la fourniture du service demandé par l'utilisateur. Conformément à l'article 5(3) de la Directive ePrivacy, ils sont exemptés de l'obligation de recueil du consentement préalable.
Si AFRIMO intÚgre à l'avenir des outils d'analyse ou de marketing, la présente politique sera mise à jour et un mécanisme de recueil du consentement conforme sera mis en place.
8. Sous-traitants et destinataires tiers
AFRIMO fait appel à des prestataires tiers pour fournir certaines fonctionnalités. Ces prestataires agissent en qualité de sous-traitants au sens de l'article 28 RGPD et sont liés par des obligations contractuelles de protection des données.
| Prestataire | RÎle | Données transmises | SiÚge / Garanties |
|---|---|---|---|
| Stripe Payments Europe Ltd | Processeur de paiement â gestion des abonnements et transactions bancaires | Email, nom, identifiant client, montants des transactions | Irlande â RGPD applicable + certification PCI-DSS niveau 1 |
| Google LLC (Gemini API) | Intelligence artificielle â modĂšle Gemini utilisĂ© pour l'assistant et l'analyse de plans | Contenu des prompts envoyĂ©s Ă l'assistant IA (sans rĂ©utilisation pour entraĂźnement) | USA â Clauses contractuelles types UE + DPF |
| Resend, Inc. | Envoi d'emails transactionnels (bienvenue, rĂ©initialisation, devis, alertes fiscales) | Adresse email destinataire, nom, contenu du message | USA â Clauses contractuelles types UE |
| Cloudflare, Inc. | Routage des emails entrants (support@ / privacy@) vers la plateforme | Emails entrants : expĂ©diteur, objet, contenu, piĂšces jointes | USA / UE â Clauses contractuelles types UE |
| Vercel, Inc. | HĂ©bergement frontend et CDN | Trafic HTTP, IP, en-tĂȘtes (logs) | USA / UE â Clauses contractuelles types UE |
| Railway Corp. | HĂ©bergement backend et base de donnĂ©es PostgreSQL | Ensemble des donnĂ©es de la plateforme (chiffrĂ©es au repos) | USA / UE â Clauses contractuelles types UE + DPA |
| Banque Centrale Européenne (API publique) | Récupération des taux de change officiels pour le module fiscal multi-devises | Aucune donnée personnelle transmise (consultation publique) | UE |
| Commission europĂ©enne (API VIES) | Validation des numĂ©ros de TVA intracommunautaires | N° TVA UE des clients de l'utilisateur | UE â donnĂ©es publiques au registre VIES |
AFRIMO ne divulgue vos données personnelles à aucun autre tiers, sauf obligation légale imposée par une autorité judiciaire ou administrative compétente. Si vous activez l'option facultative « Afrimo Index », vos prix unitaires sont intégrés à un indice de référence sous forme strictement anonymisée et agrégée (médiane et quartiles, calculés sur au minimum 5 organisations distinctes, sans aucune identification d'organisation) ; cette fonctionnalité repose sur votre consentement (opt-in) et est désactivable à tout moment.
9. Transferts hors Union européenne
Certains sous-traitants d'AFRIMO (Google, Resend, Vercel, Railway, Cloudflare) ont leur siĂšge social aux Ătats-Unis. Les transferts de donnĂ©es vers ces entitĂ©s sont encadrĂ©s par les garanties appropriĂ©es prĂ©vues au Chapitre V du RGPD :
- âąClauses contractuelles types (CCT) â Clauses contractuelles types (CCT) adoptĂ©es par la Commission europĂ©enne (dĂ©cision d'exĂ©cution 2021/914/UE), intĂ©grĂ©es dans les contrats de traitement des donnĂ©es conclus avec les sous-traitants Ă©tablis hors UE (Google LLC, Resend, Vercel, Railway). Stripe est Ă©tabli en Irlande (UE) et ne fait l'objet d'aucun transfert hors UE.
- âąData Privacy Framework (DPF) â Data Privacy Framework (DPF) : dans la mesure oĂč ces prestataires y adhĂšrent, le cadre de protection des donnĂ©es UEâĂtats-Unis constitue une garantie supplĂ©mentaire (dĂ©cision d'adĂ©quation de la Commission du 10 juillet 2023).
Vous pouvez obtenir une copie des garanties via https://afrimo.be.
10. Données relatives aux mineurs
AFRIMO est une plateforme professionnelle B2B destinée exclusivement aux professionnels du secteur de la construction. Le service n'est pas destiné aux personnes ùgées de moins de 18 ans. AFRIMO ne collecte pas sciemment de données personnelles relatives à des mineurs. Si vous avez connaissance d'un traitement non conforme concernant un mineur, veuillez nous contacter immédiatement.
11. Modifications de la présente politique
AFRIMO se réserve le droit de modifier la présente politique de confidentialité à tout moment, notamment pour se conformer à l'évolution de la réglementation applicable ou pour refléter de nouvelles fonctionnalités du service.
En cas de modification substantielle (nouvelle finalité de traitement, nouveau sous-traitant, nouveau transfert hors UE), vous serez informé par email à l'adresse associée à votre compte au moins 30 jours avant l'entrée en vigueur des modifications. L'utilisation continue du service aprÚs cette période vaut acceptation des modifications.
La date de « DerniÚre mise à jour » en haut de ce document indique la version actuellement en vigueur. Les versions antérieures sont disponibles sur demande.
12. Contact et droit de réclamation
12.1 Contact du responsable du traitement
Pour toute question relative à la présente politique ou pour exercer vos droits :
12.2 Droit de réclamation auprÚs de l'autorité de contrÎle
Si vous estimez que le traitement de vos données personnelles constitue une violation du RGPD, vous avez le droit d'introduire une réclamation auprÚs de l'autorité de contrÎle compétente. En Belgique, il s'agit de :
Autorité de protection des données (APD)
Rue de la Presse 35 â 1000 Bruxelles, Belgique
Tél. : +32 (0)2 274 48 00
www.autoriteprotectiondonnees.beVous pouvez Ă©galement vous adresser Ă l'autoritĂ© de contrĂŽle de votre Ătat membre de rĂ©sidence habituelle ou de votre lieu de travail si vous rĂ©sidez dans un autre pays de l'Union europĂ©enne.
© 2026 AFRIMO
Politique de confidentialité v2.0 · DerniÚre mise à jour : 9 mai 2026 / May 9, 2026 / 9 mei 2026
Conforme au RĂšglement (UE) 2016/679 (RGPD) et Ă la loi belge du 30 juillet 2018.