Plateforme SaaS pour les institutions patrimoniales
Version 1.0 – 11 février 2026
Dernière mise à jour : 11 février 2026
1. Introduction
La présente Politique de Confidentialité (ci-après « la Politique ») décrit comment la plateforme Patrivox (ci-après « la Plateforme »), éditée par Sébastien Fouss (ci-après « l'Éditeur » ou « le Responsable du traitement »), collecte, utilise, stocke et protège les données personnelles des Utilisateurs dans le cadre de l'utilisation de ses services.
L'Éditeur s'engage à traiter les données personnelles dans le respect du Règlement Général sur la Protection des Données (RGPD – Règlement UE 2016/679), de la loi belge du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, et de toute réglementation applicable en matière de protection des données.
La présente Politique complète les Conditions Générales d'Utilisation (CGU) et la Politique de Cookies de la Plateforme.
Les présentes dispositions sont rédigées en français. En cas de traduction dans une autre langue, seule la version française fait foi.
2. Responsable du traitement
Le responsable du traitement des données personnelles est :
- Nom : Sébastien Fouss
- Adresse : Rue Perdue 10, 7500 Tournai, Belgique
- E-mail : sebastien.fouss@patrivox.io
- Numéro d'entreprise (BCE) : 0640.997.081
Pour toute question relative à la protection de vos données, vous pouvez contacter le délégué à la protection des données (DPO) à l'adresse : dpo@patrivox.io.
3. Données personnelles collectées
3.1 Données fournies directement par l'Utilisateur
Lors de l'inscription et de l'utilisation de la Plateforme, les données suivantes peuvent être collectées :
| Donnée | Moment de collecte | Finalité |
|---|---|---|
| Nom et prénom | Inscription | Identification de l'Utilisateur, personnalisation du Service |
| Adresse e-mail | Inscription | Authentification, communications relatives au Service |
| Mot de passe (hashé) | Inscription | Authentification sécurisée |
| Nom de l'Institution | Inscription | Rattachement de l'Utilisateur à son organisation |
| Rôle au sein de l'Institution | Configuration du compte | Gestion des permissions et des accès |
| Préférences linguistiques | Utilisation | Affichage de l'interface dans la langue choisie (fr, en, nl) |
| Informations de facturation | Souscription d'un abonnement | Traitement des paiements et facturation |
3.2 Données collectées automatiquement
Lors de l'utilisation de la Plateforme, certaines données sont collectées automatiquement :
| Donnée | Finalité |
|---|---|
| Adresse IP | Sécurité, prévention des abus, journaux d'accès |
| Données de connexion (date, heure, méthode) | Sécurité du compte, audit |
| Données de navigation (pages visitées, actions) | Amélioration du Service, support technique |
| Type de navigateur et système d'exploitation | Compatibilité technique |
| Cookies et technologies similaires | Voir notre Politique de Cookies |
3.3 Données contenues dans les documents téléversés
Les Utilisateurs peuvent téléverser des documents d'archives sur la Plateforme. Ces documents peuvent contenir des données personnelles de tiers (noms, adresses, informations biographiques dans des archives historiques, etc.).
Dans ce cas, l'Institution est responsable du traitement de ces données et l'Éditeur agit en qualité de sous-traitant au sens de l'article 28 du RGPD (voir section 10).
4. Bases juridiques des traitements
Les traitements de données personnelles effectués par l'Éditeur reposent sur les bases juridiques suivantes :
| Traitement | Base juridique (art. 6 RGPD) |
|---|---|
| Gestion du compte et authentification | Exécution du contrat (art. 6.1.b) |
| Fourniture du Service (stockage, OCR, indexation, recherche) | Exécution du contrat (art. 6.1.b) |
| Facturation et paiement | Exécution du contrat (art. 6.1.b) et obligation légale (art. 6.1.c) |
| Sécurité de la Plateforme et prévention des abus | Intérêt légitime (art. 6.1.f) |
| Communications relatives au Service (mises à jour, maintenance) | Exécution du contrat (art. 6.1.b) |
| Cookies fonctionnels et d'analyse | Consentement (art. 6.1.a) |
| Amélioration du Service | Intérêt légitime (art. 6.1.f) |
| Respect des obligations légales | Obligation légale (art. 6.1.c) |
5. Finalités des traitements
Les données personnelles sont collectées et traitées pour les finalités suivantes :
- Fourniture du Service : création et gestion des comptes, authentification via Better Auth, gestion des rôles et permissions, téléversement et stockage des documents, traitement OCR, indexation, recherche plein texte et sémantique, interrogation conversationnelle par IA (Requêtes IA)
- Gestion commerciale : traitement des abonnements, facturation, suivi des quotas de Requêtes IA
- Sécurité : protection contre les accès non autorisés, détection des activités suspectes, journalisation des événements de sécurité
- Communication : envoi de notifications relatives au Service (maintenance, mises à jour des CGU, alertes de sécurité)
- Amélioration du Service : analyse anonymisée de l'utilisation pour améliorer les fonctionnalités et l'expérience utilisateur
- Obligations légales : conservation des données de facturation conformément aux obligations comptables et fiscales
6. Traitement des données par l'intelligence artificielle
6.1 OCR et indexation
La Plateforme utilise des technologies d'intelligence artificielle pour la reconnaissance optique de caractères (OCR) via Mistral OCR. Les documents téléversés sont traités pour en extraire le texte, qui est ensuite indexé pour permettre la recherche.
6.2 Recherche sémantique et Requêtes IA
Les Requêtes IA permettent aux Utilisateurs d'interroger leurs documents de manière conversationnelle. Les requêtes de l'Utilisateur et les extraits de documents pertinents sont envoyés à des modèles de langage pour générer des réponses.
6.3 Engagements relatifs à l'IA
L'Éditeur s'engage à ce que :
- Les données des Utilisateurs ne soient pas utilisées pour entraîner des modèles d'intelligence artificielle tiers
- Les résultats de l'IA ne soient pas partagés entre les Institutions
- Le traitement IA respecte le cloisonnement strict des données entre les Institutions
- Les fournisseurs de modèles d'IA utilisés offrent des garanties contractuelles de non-réutilisation des données
7. Hébergement et localisation des données
7.1 Stratégie de souveraineté européenne
Conformément à sa stratégie de souveraineté européenne, l'Éditeur s'engage à héberger et traiter l'ensemble des données personnelles exclusivement sur des infrastructures situées dans l'Union européenne.
7.2 Sous-traitants d'hébergement
| Sous-traitant | Service | Localisation |
|---|---|---|
| Scaleway | Stockage objet (S3-compatible) | France (UE) |
| Neon | Base de données PostgreSQL | Union européenne |
| Typesense | Moteur de recherche plein texte | Union européenne |
| Qdrant | Base de données vectorielle (recherche sémantique) | Union européenne |
7.3 Transferts hors UE
Aucun transfert de données personnelles en dehors de l'Espace Économique Européen n'est effectué. Si un transfert devait être envisagé à l'avenir, il ne serait réalisé que dans les conditions prévues par le RGPD (décision d'adéquation, clauses contractuelles types, ou autre mécanisme de garantie approprié).
8. Destinataires des données
Les données personnelles peuvent être communiquées aux destinataires suivants :
- Personnel habilité de l'Éditeur : dans la limite de ce qui est nécessaire à la fourniture du Service et au support technique
- Sous-traitants techniques : hébergeurs et prestataires de services listés en section 7.2, liés par des obligations contractuelles de confidentialité et de protection des données
- Prestataires de paiement : pour le traitement des transactions, dans le respect des normes PCI-DSS
- Autorités compétentes : en cas d'obligation légale ou de réquisition judiciaire
Les données personnelles ne sont en aucun cas vendues, louées ou cédées à des tiers à des fins commerciales ou publicitaires.
9. Durée de conservation
Les données personnelles sont conservées pour la durée strictement nécessaire aux finalités pour lesquelles elles sont traitées :
| Donnée | Durée de conservation |
|---|---|
| Données du compte (nom, e-mail, institution) | Durée de l'abonnement + 30 jours après résiliation (période d'export) |
| Documents téléversés et résultats OCR/IA | Durée de l'abonnement + 30 jours après résiliation |
| Données de facturation | 10 ans à compter de la clôture de l'exercice comptable (obligation légale belge) |
| Journaux de connexion et de sécurité | 12 mois |
| Données de consentement (cookies) | 12 mois, puis renouvellement |
| Données de navigation anonymisées | 25 mois maximum |
À l'issue de ces durées, les données sont supprimées de manière sécurisée ou anonymisées de façon irréversible.
10. Sous-traitance et données des documents
10.1 Rôles respectifs
Lorsque l'Institution téléverse des documents contenant des données personnelles de tiers (archives nominatives, registres, correspondances, etc.) :
- L'Institution est responsable du traitement de ces données personnelles
- L'Éditeur agit en qualité de sous-traitant au sens de l'article 28 du RGPD
10.2 Obligations du sous-traitant
En tant que sous-traitant, l'Éditeur s'engage à :
- Ne traiter les données que sur instruction documentée de l'Institution
- Garantir la confidentialité des données traitées
- Mettre en œuvre les mesures techniques et organisationnelles appropriées pour assurer la sécurité des données
- Ne pas faire appel à un autre sous-traitant sans l'autorisation écrite préalable de l'Institution
- Assister l'Institution dans le respect de ses obligations au titre du RGPD
- Supprimer ou restituer les données à l'issue de la prestation
10.3 Accord de sous-traitance (DPA)
Un accord de sous-traitance (Data Processing Agreement) distinct et détaillé peut être conclu sur demande de l'Institution. Cet accord précise les instructions de traitement, les mesures de sécurité, les procédures de notification en cas de violation de données et les modalités d'audit.
11. Sécurité des données
L'Éditeur met en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre l'accès non autorisé, la perte, la destruction ou l'altération, notamment :
- Chiffrement en transit : toutes les communications utilisent le protocole HTTPS/TLS
- Chiffrement au repos : les données stockées sont chiffrées sur les infrastructures d'hébergement
- Authentification sécurisée : gestion des sessions via Better Auth avec cookies sécurisés (flag Secure en production)
- Cloisonnement des données : isolation stricte des données entre les Institutions au niveau applicatif et base de données
- Contrôle d'accès : système de rôles et permissions (administrateur, contributeur, lecteur)
- Journalisation : enregistrement des événements de sécurité pour détection des anomalies
- Sauvegardes : sauvegardes régulières des données avec procédures de restauration testées
- Mises à jour : application régulière des correctifs de sécurité
12. Droits des personnes concernées
Conformément au RGPD, tout Utilisateur dispose des droits suivants concernant ses données personnelles :
12.1 Droit d'accès (art. 15)
Vous pouvez obtenir la confirmation que des données vous concernant sont traitées et en obtenir une copie.
12.2 Droit de rectification (art. 16)
Vous pouvez demander la correction de données inexactes ou incomplètes.
12.3 Droit à l'effacement (art. 17)
Vous pouvez demander la suppression de vos données personnelles, sous réserve des obligations légales de conservation.
12.4 Droit à la limitation du traitement (art. 18)
Vous pouvez demander la limitation du traitement de vos données dans certains cas prévus par le RGPD.
12.5 Droit à la portabilité (art. 20)
Vous pouvez recevoir vos données dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable du traitement.
12.6 Droit d'opposition (art. 21)
Vous pouvez vous opposer au traitement de vos données fondé sur l'intérêt légitime, pour des motifs liés à votre situation particulière.
12.7 Droit de retirer votre consentement
Lorsque le traitement est fondé sur votre consentement, vous pouvez le retirer à tout moment, sans que cela ne remette en cause la licéité du traitement effectué avant le retrait.
12.8 Exercice des droits
Pour exercer vos droits, vous pouvez contacter l'Éditeur :
- Par e-mail : dpo@patrivox.io
- Par courrier : Patrivox DPO, Rue Perdue 10, 7500 Tournai, Belgique
L'Éditeur s'engage à répondre à toute demande dans un délai d'un (1) mois à compter de la réception, conformément au RGPD. Ce délai peut être prolongé de deux (2) mois en cas de complexité ou de nombre élevé de demandes.
Une pièce d'identité pourra être demandée en cas de doute raisonnable sur l'identité du demandeur.
13. Violation de données
En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, l'Éditeur s'engage à :
- Notifier l'Autorité de protection des données (APD) belge dans les 72 heures suivant la prise de connaissance de la violation, conformément à l'article 33 du RGPD
- Informer les personnes concernées dans les meilleurs délais si la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés, conformément à l'article 34 du RGPD
- Informer l'Institution (en cas de sous-traitance) dans les meilleurs délais afin qu'elle puisse remplir ses propres obligations de notification
14. Mineurs
La Plateforme n'est pas destinée aux mineurs de moins de 16 ans. L'Éditeur ne collecte pas sciemment de données personnelles de mineurs. Si l'Éditeur prend connaissance que des données de mineurs ont été collectées sans le consentement parental requis, il procédera à leur suppression dans les meilleurs délais.
15. Autorité de contrôle
En cas d'insatisfaction quant au traitement de vos données personnelles, vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente :
Autorité de protection des données (APD)
Rue de la Presse 35
1000 Bruxelles
Belgique
Tél. : +32 (0)2 274 48 00
E-mail : contact@apd-gba.be
Site web : https://www.autoriteprotectiondonnees.be
16. Modifications de la Politique de Confidentialité
L'Éditeur se réserve le droit de modifier la présente Politique à tout moment. Toute modification substantielle sera notifiée aux Utilisateurs par e-mail ou par notification sur la Plateforme, avec un préavis raisonnable.
La date de dernière mise à jour est indiquée en tête du présent document. L'utilisation continue de la Plateforme après modification vaut acceptation de la Politique révisée.
17. Contact
Pour toute question relative à la présente Politique de Confidentialité, à la protection de vos données ou pour exercer vos droits :
- Par e-mail : dpo@patrivox.io
- Par courrier : Patrivox DPO, Rue Perdue 10, 7500 Tournai, Belgique
- Via le formulaire de contact disponible sur la Plateforme