Politique de confidentialité

1. Responsable du traitement

Matteo Sayeh, indépendant exerçant sous la dénomination commerciale « Dirigia » (ci-après « Dirigia »), dont le siège est situé 2 Les Cerisiers, 4800 Verviers, Belgique, inscrit à la BCE sous le n° 1030.708.043, est responsable du traitement de vos données personnelles conformément au Règlement Général sur la Protection des Données (RGPD — UE 2016/679).

2. Données collectées

Dans le cadre de l'utilisation de Dirigia, nous collectons les données suivantes :

• Données d'identification : nom, prénom, adresse email, numéro de téléphone
• Données d'entreprise : raison sociale, adresse, numéro BCE/TVA, IBAN
• Données de facturation : factures, devis, clients, produits, dépenses
• Données de stock : mouvements de stock (entrées, sorties, ajustements, transferts), inventaires annuels, lots de valorisation FIFO/PMP, dépréciations exceptionnelles. Ces données sont rattachées à votre entreprise et non à une personne physique tierce, mais l'identifiant de l'utilisateur ayant saisi le mouvement est mémorisé pour la traçabilité comptable.
• Données de connexion : adresse IP, logs de connexion, tokens d'authentification
• Données d'utilisation : pages visitées, actions effectuées dans l'application
• Données de connexion Google : si vous utilisez « Se connecter avec Google », votre adresse email, votre nom et votre photo de profil (scopes « email » et « profile ») — voir section 14

3. Finalités du traitement

Vos données sont traitées pour les finalités suivantes :

• Fourniture du service Dirigia (facturation, gestion, assistant IA)
• Gestion de votre compte et authentification
• Tenue du livre d'inventaire et des mouvements de stock (obligation légale art. III.84 et III.85 CDE — irréversibilité des écritures et inventaire annuel)
• Support client et communication
• Amélioration du service et analyse d'utilisation
• Respect de nos obligations légales et comptables

4. Base légale

Le traitement de vos données repose sur : (1) l'exécution du contrat liant Dirigia à ses utilisateurs, (2) le respect d'obligations légales auxquelles Dirigia est soumise, et (3) l'intérêt légitime de Dirigia à améliorer ses services.

5. Durée de conservation

Vos données sont conservées pendant la durée de votre abonnement et les 3 années suivant sa résiliation, sauf obligation légale contraire.

Documents comptables — conservation 10 ans. Conformément à l'article III.86 du Code de droit économique belge (tel que modifié par la loi du 20 novembre 2022) et à l'article 60 du Code TVA, les livres, factures émises et reçues, écritures comptables, déclarations TVA, mouvements de stock, inventaires annuels et pièces justificatives sont conservés 10 ans à compter du 1^erjanvier de l'année suivant leur date d'émission ou de clôture. Cette conservation repose sur une obligation légale (base légale RGPD art. 6.1.c) et prime sur le droit à l'effacement (RGPD art. 17 §3.b).

À l'issue de cette période, ou si vous nous le demandez explicitement après écoulement du délai légal, ces données seront définitivement purgées.

6. Sous-traitants

Dirigia fait appel aux sous-traitants suivants, tous conformes au RGPD :

• Supabase — Base de données et authentification (serveurs EU West, Irlande)
• Google LLC — Authentification « Se connecter avec Google » et, en option, intégration Gmail (États-Unis, EU-US Data Privacy Framework)
• Vercel — Hébergement et déploiement
• Anthropic — Traitement IA (assistant Dirigia) — vos données ne sont pas utilisées pour entraîner les modèles
• Stripe — Paiement en ligne (données de carte non stockées par Dirigia)
• Posthog — Analyse d'usage anonyme (UE — eu.i.posthog.com), activé uniquement avec votre consentement
• Sentry — Suivi d'erreurs (intérêt légitime, données sensibles strippées) et rejeu de session sur erreur (opt-in), hébergement UE
• Ibanity / Ponto Connect (Isabel Group SA, BE 0406.811.190) — Agrégateur bancaire AISP agréé PSD2, fournit l'accès lecture seule aux comptes bancaires. Hébergement UE (Belgique). Activé uniquement si vous connectez une banque.

7. Transferts hors UE

Vos données sont hébergées en Europe (Irlande). Certains sous-traitants peuvent être établis aux États-Unis. Dans ce cas, des garanties appropriées sont mises en place (clauses contractuelles types de la Commission européenne).

8. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

• Droit d'accès : obtenir une copie de vos données
• Droit de rectification : corriger des données inexactes
• Droit à l'effacement : demander la suppression de vos données
• Droit à la portabilité : recevoir vos données dans un format structuré
• Droit d'opposition : vous opposer à certains traitements
• Droit à la limitation : restreindre le traitement de vos données

Pour exercer ces droits, contactez-nous à : privacy@dirigia.app

9. Cookies & traçage

Dirigia distingue trois catégories de cookies et stockages locaux :

• Essentiels— toujours actifs (authentification, préférences d'interface, sécurité). Exemptés de consentement.
• Analytics — Posthog (UE), statistiques d'usage anonymes. Opt-in obligatoire, désactivé par défaut.
• Diagnostic — Sentry Replay (UE), rejeu de session uniquement quand une erreur survient. Opt-in obligatoire, désactivé par défaut.

Le suivi d'erreurs anonymisé Sentry (sans Replay) reste actif sous intérêt légitime (RGPD art. 6.1.f), avec strip automatique des en-têtes Authorization, Cookieet redaction des champs sensibles. Aucun cookie publicitaire ou de tracking marketing n'est utilisé.

Vous pouvez gérer vos préférences à tout moment via le bandeau de consentement (lien Gérer mes cookies dans le footer). Liste exhaustive et durées de conservation : politique cookies.

10. Sécurité

Vos données sont protégées par chiffrement AES-256 au repos et TLS 1.3 en transit. L'accès à vos données est contrôlé par des politiques de sécurité strictes (Row Level Security) qui garantissent que seul vous pouvez accéder à vos données.

11. Autorité de contrôle

Vous avez le droit d'introduire une réclamation auprès de l'Autorité de Protection des Données (APD) belge :
www.autoriteprotectiondonnees.be

12. Contact DPO

Pour toute question relative à la protection de vos données :
privacy@dirigia.app

13. Données bancaires (Open Banking PSD2)

Si vous activez la fonctionnalité Banque, Dirigia accède en lecture seule à vos comptes bancaires via Ponto Connect(Isabel Group SA, BCE 0406.811.190), agréé prestataire de services d'information sur les comptes (AISP) par la Banque nationale de Belgique conformément à la directive européenne PSD2 (UE 2015/2366).

Finalités du traitement

• Lecture des transactions bancaires (dépenses et revenus) et des soldes
• Rapprochement automatique des paiements avec vos factures et dépenses
• Affichage du tableau de bord financier consolidé

Données accédées

Identifiants de comptes (IBAN, intitulés), soldes, transactions (montant, date, contrepartie, communication structurée, code opération). Aucun virement ne peut être initié — l'accès est strictement en lecture seule (scope ai pi au sens PSD2).

Base légale et consentement

Consentement explicite horodaté (RGPD art. 6.1.a + art. 7) recueilli lors du raccordement bancaire et conservé en preuve (version du texte de consentement + timestamp + adresse IP). Validité 90 jours conformément à l'exigence PSD2 d'authentification forte (SCA). Renouvellement nécessaire au-delà — une notification est envoyée à l'approche de l'expiration.

Durée de conservation

Les transactions bancaires liées à un document comptable (facture, dépense) sont conservées 10 ans conformément à l'article 60 du Code TVA et à l'article III.86 du Code de droit économique belge (durée portée de 7 à 10 ans par la loi du 20 novembre 2022). Les transactions non-liées peuvent être supprimées à tout moment depuis l'onglet Banque (bouton Tout effacer).

Sécurité technique

• Communication entre Dirigia et Ibanity en mTLS (TLS 1.3 + certificat client)
• Tokens d'accès et de rafraîchissement chiffrés AES-256-GCM au repos
• Aucun stockage de vos identifiants bancaires — ils ne transitent jamais par Dirigia (vous vous authentifiez directement chez votre banque via Ponto)
• Webhooks Ibanity signés JWT RS512 vérifiés à la réception
• Journalisation immuable (audit log 10 ans) de toutes les actions liées à la connexion bancaire : initiation, succès, échec, déconnexion, effacement

Révocation et effacement

Vous pouvez à tout moment :

• Déconnecter votre banque depuis l'onglet Banque — les transactions historiques sont conservées 10 ans pour conformité comptable, mais aucune nouvelle synchronisation n'est effectuée
• Effacer toutes les données bancaires via le bouton dédié — supprime irrévocablement les comptes, transactions et rapprochements (les dépenses référencées sont préservées avec lien rompu). Cette action est tracée dans l'audit log comme preuve d'exécution du droit à l'effacement (RGPD art. 17).
• Révoquer le consentement directement depuis l'interface de votre banque — Dirigia perdra l'accès au prochain cycle de synchronisation

Sous-traitants chaînés

Le traitement implique : Ibanity (Belgique), votre banque (UE), et l'infrastructure d'hébergement Dirigia (Supabase Irlande, Vercel UE). Aucun transfert hors UE n'est effectué pour les données bancaires.

Décision automatisée: la catégorisation automatique des transactions repose sur des règles déterministes (apprentissage cumulatif de vos validations passées) et n'a pas d'effet juridique sur vous au sens de l'article 22 du RGPD. Vous pouvez modifier ou supprimer chaque catégorie attribuée.

14. Connexion via Google (Sign in with Google)

Si vous choisissez de vous connecter à Dirigia avec votre compte Google, nous recevons de Google, sur la base de votre consentement, uniquement votre adresse email, votre nom et votre photo de profil (scopes email et profile). Ces données servent exclusivement à créer et authentifier votre compte Dirigia.

Nous n'accédons à aucun autre contenu de votre compte Google dans le cadre de la connexion. Google LLC (États-Unis, EU-US Data Privacy Framework) agit comme fournisseur d'identité ; le traitement de vos données par Google est régi par la politique de confidentialité de Google. La base légale est l'exécution du contrat et les mesures précontractuelles (RGPD art. 6.1.b).

15. Données issues des API Google (Gmail)

Si vous connectez une boîte Gmail à Dirigia, l'usage et le transfert par Dirigia des informations reçues des API Google respectent la Google API Services User Data Policy, y compris ses exigences Limited Use. Concrètement :

• ces données ne sont utilisées que pour fournir ou améliorer des fonctionnalités visibles par vous au sein de Dirigia ;
• elles ne sont ni vendues, ni utilisées à des fins publicitaires, ni pour évaluer votre solvabilité ;
• elles ne sont transférées à des tiers qu'avec votre consentement explicite, ou si nécessaire à la fourniture ou à l'amélioration du service, à des fins de sécurité, ou pour se conformer à une obligation légale ;
• aucun humain ne lit ces données, sauf accord explicite de votre part, pour des raisons de sécurité, pour respecter la loi, ou sur des données agrégées et anonymisées.

16. Public et âge minimum

Dirigia est un service professionnel destiné aux indépendants et aux entreprises, et non aux mineurs. Vous devez être âgé d'au moins 18 ans et disposer de la capacité juridique d'exercer une activité professionnelle. Conformément à l'article 8 du RGPD et au droit belge, nous ne collectons pas sciemment de données de mineurs. Si vous estimez qu'un mineur nous a transmis des données, contactez-nous à privacy@dirigia.app.