Twin-PeaksIA
RGPD · Vos données

Politique de confidentialité

Vos données restent en Belgique, ne sont jamais vendues, et vous gardez le contrôle sur leur conservation.

Dernière mise à jour : 6 juin 2026

1. Responsable du traitement

Le responsable du traitement de vos données personnelles est :

Société
ZIXAR SRL
BCE
BE 1032 903 114
Siège
Rue de la Rosière 32, 7141 Carnières, Belgique
Contact RGPD
rgpdtwin-peaks.be

ZIXAR SRL ne dispose pas d'un délégué à la protection des données (DPO) obligatoire au sens de l'article 37 du RGPD : nos activités n'impliquent ni traitement à grande échelle ni traitement de catégories particulières de données. L'adresse rgpdtwin-peaks.be est gérée directement par la direction de la société.

2. Données collectées

Nous collectons et traitons les catégories de données suivantes :

CatégorieDonnées
Identification du compteEmail, mot de passe (haché), nom et prénom
Informations professionnellesRaison sociale, BCE, adresse du bureau
Données d'usageQuestions soumises, réponses générées, historique de recherche, compteurs de quota
Données de facturationFactures émises, identifiants Stripe (pas de numéro de carte bancaire stocké chez nous)
Données techniquesAdresse IP, agent utilisateur, journaux de connexion
Formulaire de contactNom, email, sujet, message saisi

Nous ne collectons aucune donnée sensible au sens de l'article 9 du RGPD (santé, opinion politique, religion, appartenance syndicale, données biométriques, orientation sexuelle, etc.).

3. Finalités et bases légales

Vos données sont traitées pour les finalités suivantes, sur les bases légales indiquées :

FinalitéBase légale
Fourniture du service Twin-Peaks IA, gestion de votre compte courtierExécution du contrat (art. 6.1.b RGPD)
Facturation et tenue de la comptabilitéObligation légale (art. 6.1.c RGPD) — Code des sociétés et tenue obligatoire des livres comptables
Sécurité du service, prévention de la fraude, détection des abusIntérêt légitime (art. 6.1.f RGPD)
Statistiques d'usage anonymisées (amélioration produit)Intérêt légitime (art. 6.1.f RGPD)
Réponse à votre demande via le formulaire de contactIntérêt légitime (art. 6.1.f RGPD)

Vos questions et réponses ne sont jamais utilisées pour entraîner un modèle d'IA, ni partagées avec des tiers à des fins commerciales.

4. Destinataires et sous-traitants

Pour fournir notre service, nous faisons appel à des sous-traitants soumis à des accords de traitement (DPA) conformes au RGPD :

Sous-traitantFinalitéLocalisation
Cyber Technology SRL (StrictlyHosting)Hébergement infrastructureBelgique, Pays-Bas
Stripe Payments Europe LtdTraitement des paiementsIrlande (UE)
Sendinblue SAS (Brevo)Envoi des emails transactionnelsFrance (UE)
Mistral AI SASCalcul des embeddings (indexation des CG)France (UE)
Anthropic PBCGénération des réponses IAÉtats-Unis (hors UE)
Odoo SAComptabilité et facturationBelgique

Aucune autre transmission de vos données à des tiers n'est effectuée, hormis sur demande légale d'une autorité judiciaire ou administrative compétente.

5. Transferts hors UE

Un seul de nos sous-traitants est établi hors de l'Union européenne : Anthropic PBC (Californie, États-Unis), qui fournit le moteur de génération de réponses IA. Les questions que vous soumettez à Twin-Peaks IA transitent par l'API d'Anthropic pour génération de la réponse.

Ce transfert est encadré par :

  • Les clauses contractuelles types (CCT) de la Commission européenne, version 2021/914/UE — module 2 (responsable de traitement → sous-traitant).
  • Un accord de traitement des données (DPA) entre ZIXAR SRL et Anthropic PBC précisant les obligations RGPD du sous-traitant, incorporé automatiquement aux Commercial Terms of Service d'Anthropic.
  • Une politique contractuelle d'Anthropic interdisant l'utilisation des données API pour entraîner des modèles sans consentement explicite.

Anthropic publie sa propre politique de protection des données à l'adresse anthropic.com/legal/privacy.

6. Durées de conservation

Type de donnéeDurée
Compte actif (identification, données business)Tant que le compte est actif
Compte résilié (purge de l'historique d'usage)30 jours après résiliation
Factures et données comptables7 ans (obligation légale belge — art. III.86 CDE)
Journaux de connexion et sécurité12 mois maximum
Messages reçus via le formulaire de contact6 mois après dernier échange

7. Vos droits RGPD

En tant que personne concernée, vous disposez des droits suivants conformément aux articles 15 à 22 du RGPD :

  • Droit d'accès — obtenir la confirmation que des données vous concernant sont traitées, et en recevoir une copie.
  • Droit de rectification — corriger des données inexactes ou incomplètes.
  • Droit à l'effacement (« droit à l'oubli ») — demander la suppression de vos données, sous réserve des obligations légales de conservation.
  • Droit à la limitation — demander la suspension temporaire d'un traitement.
  • Droit à la portabilité — recevoir vos données dans un format structuré et lisible par machine, ou les faire transmettre à un autre responsable de traitement.
  • Droit d'opposition — vous opposer à un traitement fondé sur l'intérêt légitime.
  • Droit de définir des directives post-mortem sur le sort de vos données après votre décès.

Twin-Peaks IA ne procède à aucune prise de décision automatisée produisant des effets juridiques à votre égard, ni à aucun profilage.

8. Comment exercer vos droits

Pour exercer l'un de vos droits, écrivez-nous à rgpdtwin-peaks.be en précisant le droit que vous souhaitez exercer et en joignant tout élément permettant de vérifier votre identité (notamment si la demande émane d'une adresse différente de celle associée à votre compte).

Nous nous engageons à répondre à votre demande dans un délai d'un mois à compter de sa réception, conformément à l'article 12.3 du RGPD. Ce délai peut être prolongé de deux mois en cas de demande complexe, auquel cas vous en serez informé.

L'exercice de vos droits est gratuit, sauf en cas de demande manifestement infondée ou excessive (art. 12.5 RGPD).

9. Réclamation auprès de l'APD

Si vous estimez que le traitement de vos données viole le RGPD, vous avez le droit d'introduire une réclamation auprès de l'Autorité de protection des données belge :

Nom
Autorité de protection des données (APD)
Adresse
Rue de la Presse 35, 1000 Bruxelles
Téléphone
+32 (0)2 274 48 00
Email
contactapd-gba.be
Site web
autoriteprotectiondonnees.be

10. Mesures de sécurité

Nous mettons en œuvre les mesures techniques et organisationnelles suivantes :

  • Chiffrement TLS 1.2+ sur toutes les communications HTTPS.
  • Mots de passe stockés sous forme de hash Argon2id (recommandation OWASP).
  • Verrouillage automatique des comptes en cas de tentatives de connexion répétées.
  • Protection anti-bot Altcha (proof-of-work) sur les pages publiques et les formulaires sensibles.
  • Hébergement de l'infrastructure en Belgique et aux Pays-Bas chez un acteur spécialisé.
  • Sauvegardes chiffrées et accès strictement limité aux données par les administrateurs.
  • Politique d'accès au principe du moindre privilège pour l'équipe technique.

11. Modifications de la politique

Cette politique de confidentialité peut être mise à jour pour refléter une évolution de nos pratiques ou de la réglementation. La date de dernière mise à jour est indiquée en début de document. En cas de modification significative, nous vous en informerons par email à l'adresse associée à votre compte.

12. Contact

Pour toute question relative à la présente politique ou au traitement de vos données, contactez-nous à rgpdtwin-peaks.be. Pour les questions générales non liées à la protection des données, utilisez le formulaire de contact.