Politique de confidentialité
Vos données restent en Belgique, ne sont jamais vendues, et vous gardez le contrôle sur leur conservation.
Dernière mise à jour : 6 juin 2026
1. Responsable du traitement
Le responsable du traitement de vos données personnelles est :
- Société
- ZIXAR SRL
- BCE
- BE 1032 903 114
- Siège
- Rue de la Rosière 32, 7141 Carnières, Belgique
- Contact RGPD
- rgpdtwin-peaks.be
ZIXAR SRL ne dispose pas d'un délégué à la protection des données (DPO) obligatoire au sens de l'article 37 du RGPD : nos activités n'impliquent ni traitement à grande échelle ni traitement de catégories particulières de données. L'adresse rgpdtwin-peaks.be est gérée directement par la direction de la société.
2. Données collectées
Nous collectons et traitons les catégories de données suivantes :
| Catégorie | Données |
|---|---|
| Identification du compte | Email, mot de passe (haché), nom et prénom |
| Informations professionnelles | Raison sociale, BCE, adresse du bureau |
| Données d'usage | Questions soumises, réponses générées, historique de recherche, compteurs de quota |
| Données de facturation | Factures émises, identifiants Stripe (pas de numéro de carte bancaire stocké chez nous) |
| Données techniques | Adresse IP, agent utilisateur, journaux de connexion |
| Formulaire de contact | Nom, email, sujet, message saisi |
Nous ne collectons aucune donnée sensible au sens de l'article 9 du RGPD (santé, opinion politique, religion, appartenance syndicale, données biométriques, orientation sexuelle, etc.).
3. Finalités et bases légales
Vos données sont traitées pour les finalités suivantes, sur les bases légales indiquées :
| Finalité | Base légale |
|---|---|
| Fourniture du service Twin-Peaks IA, gestion de votre compte courtier | Exécution du contrat (art. 6.1.b RGPD) |
| Facturation et tenue de la comptabilité | Obligation légale (art. 6.1.c RGPD) — Code des sociétés et tenue obligatoire des livres comptables |
| Sécurité du service, prévention de la fraude, détection des abus | Intérêt légitime (art. 6.1.f RGPD) |
| Statistiques d'usage anonymisées (amélioration produit) | Intérêt légitime (art. 6.1.f RGPD) |
| Réponse à votre demande via le formulaire de contact | Intérêt légitime (art. 6.1.f RGPD) |
Vos questions et réponses ne sont jamais utilisées pour entraîner un modèle d'IA, ni partagées avec des tiers à des fins commerciales.
4. Destinataires et sous-traitants
Pour fournir notre service, nous faisons appel à des sous-traitants soumis à des accords de traitement (DPA) conformes au RGPD :
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| Cyber Technology SRL (StrictlyHosting) | Hébergement infrastructure | Belgique, Pays-Bas |
| Stripe Payments Europe Ltd | Traitement des paiements | Irlande (UE) |
| Sendinblue SAS (Brevo) | Envoi des emails transactionnels | France (UE) |
| Mistral AI SAS | Calcul des embeddings (indexation des CG) | France (UE) |
| Anthropic PBC | Génération des réponses IA | États-Unis (hors UE) |
| Odoo SA | Comptabilité et facturation | Belgique |
Aucune autre transmission de vos données à des tiers n'est effectuée, hormis sur demande légale d'une autorité judiciaire ou administrative compétente.
5. Transferts hors UE
Un seul de nos sous-traitants est établi hors de l'Union européenne : Anthropic PBC (Californie, États-Unis), qui fournit le moteur de génération de réponses IA. Les questions que vous soumettez à Twin-Peaks IA transitent par l'API d'Anthropic pour génération de la réponse.
Ce transfert est encadré par :
- Les clauses contractuelles types (CCT) de la Commission européenne, version 2021/914/UE — module 2 (responsable de traitement → sous-traitant).
- Un accord de traitement des données (DPA) entre ZIXAR SRL et Anthropic PBC précisant les obligations RGPD du sous-traitant, incorporé automatiquement aux Commercial Terms of Service d'Anthropic.
- Une politique contractuelle d'Anthropic interdisant l'utilisation des données API pour entraîner des modèles sans consentement explicite.
Anthropic publie sa propre politique de protection des données à l'adresse anthropic.com/legal/privacy.
6. Durées de conservation
| Type de donnée | Durée |
|---|---|
| Compte actif (identification, données business) | Tant que le compte est actif |
| Compte résilié (purge de l'historique d'usage) | 30 jours après résiliation |
| Factures et données comptables | 7 ans (obligation légale belge — art. III.86 CDE) |
| Journaux de connexion et sécurité | 12 mois maximum |
| Messages reçus via le formulaire de contact | 6 mois après dernier échange |
7. Vos droits RGPD
En tant que personne concernée, vous disposez des droits suivants conformément aux articles 15 à 22 du RGPD :
- Droit d'accès — obtenir la confirmation que des données vous concernant sont traitées, et en recevoir une copie.
- Droit de rectification — corriger des données inexactes ou incomplètes.
- Droit à l'effacement (« droit à l'oubli ») — demander la suppression de vos données, sous réserve des obligations légales de conservation.
- Droit à la limitation — demander la suspension temporaire d'un traitement.
- Droit à la portabilité — recevoir vos données dans un format structuré et lisible par machine, ou les faire transmettre à un autre responsable de traitement.
- Droit d'opposition — vous opposer à un traitement fondé sur l'intérêt légitime.
- Droit de définir des directives post-mortem sur le sort de vos données après votre décès.
Twin-Peaks IA ne procède à aucune prise de décision automatisée produisant des effets juridiques à votre égard, ni à aucun profilage.
8. Comment exercer vos droits
Pour exercer l'un de vos droits, écrivez-nous à rgpdtwin-peaks.be en précisant le droit que vous souhaitez exercer et en joignant tout élément permettant de vérifier votre identité (notamment si la demande émane d'une adresse différente de celle associée à votre compte).
Nous nous engageons à répondre à votre demande dans un délai d'un mois à compter de sa réception, conformément à l'article 12.3 du RGPD. Ce délai peut être prolongé de deux mois en cas de demande complexe, auquel cas vous en serez informé.
L'exercice de vos droits est gratuit, sauf en cas de demande manifestement infondée ou excessive (art. 12.5 RGPD).
9. Réclamation auprès de l'APD
Si vous estimez que le traitement de vos données viole le RGPD, vous avez le droit d'introduire une réclamation auprès de l'Autorité de protection des données belge :
- Nom
- Autorité de protection des données (APD)
- Adresse
- Rue de la Presse 35, 1000 Bruxelles
- Téléphone
- +32 (0)2 274 48 00
- contactapd-gba.be
- Site web
- autoriteprotectiondonnees.be
10. Mesures de sécurité
Nous mettons en œuvre les mesures techniques et organisationnelles suivantes :
- Chiffrement TLS 1.2+ sur toutes les communications HTTPS.
- Mots de passe stockés sous forme de hash Argon2id (recommandation OWASP).
- Verrouillage automatique des comptes en cas de tentatives de connexion répétées.
- Protection anti-bot Altcha (proof-of-work) sur les pages publiques et les formulaires sensibles.
- Hébergement de l'infrastructure en Belgique et aux Pays-Bas chez un acteur spécialisé.
- Sauvegardes chiffrées et accès strictement limité aux données par les administrateurs.
- Politique d'accès au principe du moindre privilège pour l'équipe technique.
11. Modifications de la politique
Cette politique de confidentialité peut être mise à jour pour refléter une évolution de nos pratiques ou de la réglementation. La date de dernière mise à jour est indiquée en début de document. En cas de modification significative, nous vous en informerons par email à l'adresse associée à votre compte.
12. Contact
Pour toute question relative à la présente politique ou au traitement de vos données, contactez-nous à rgpdtwin-peaks.be. Pour les questions générales non liées à la protection des données, utilisez le formulaire de contact.