Politique de confidentialité
Dernière mise à jour : 21 avril 2026 - Version 2.0
Préambule
La présente politique de confidentialité (ci-après « la Politique ») décrit la manière dont TAKION SRL collecte, traite, conserve, partage et protège les données à caractère personnel des utilisateurs de la plateforme Takionic CFO (ci-après « la Plateforme »). Elle s'inscrit dans le cadre du Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD »), de la loi belge du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, et des recommandations de l'Autorité de protection des données (APD/GBA).
1. Responsable du traitement
TAKION SRL, société à responsabilité limitée
de droit belge
Siège social : Rue Mansart 39/A, 7534 Tournai, Belgique
BCE : 1014.464.305 - TVA : BE 1014.464.305
E-mail générique :
contact@takion.be
2. Délégué à la protection des données (DPO)
Pour toute question relative au traitement de vos données ou à l'exercice de vos droits :
- E-mail : dpo@takion.be
- Courrier : TAKION SRL - DPO, Rue Mansart 39/A, 7534 Tournai, Belgique
Le DPO s'engage à répondre dans un délai maximal d'un mois, prorogeable de deux mois en cas de demande complexe (RGPD art. 12.3).
3. Données collectées
3.1. Données d'identification & de compte
- Identifiants de connexion : nom, prénom, adresse e-mail.
- Mot de passe (haché via Argon2id, jamais stocké en clair).
- Société liée au compte (raison sociale).
- Authentification forte : secret TOTP chiffré (AES-GCM) si 2FA activée, codes de récupération hachés.
- Sessions : identifiant de session, adresse IP, user-agent, dates de création / expiration / révocation.
3.2. Données financières et comptables
- Connecteurs tiers : jetons OAuth chiffrés AES-GCM (Exact Online, Stripe, GoCardless).
- Snapshots financiers mensuels : chiffre d'affaires, coûts opérationnels, marge, EBITDA, trésorerie, KPIs CFO étendus (DSO, DPO, burn-rate, runway).
- Données comptables agrégées : factures de vente, écritures générales, soldes bancaires, classes 1-7 du PCMN belge.
- Si Bring Your Own Key activé : clé API LLM (OpenAI ou Anthropic) chiffrée AES-GCM.
3.3. Données d'usage & télémétrie
- Historique de l'assistant IA (prompts, réponses) - anonymisé avant tout envoi à un fournisseur tiers (cf. §7).
- Notifications applicatives, préférences (thème, langue).
- Quotas d'utilisation (compteurs de prompts par jour, indicateurs de plan).
- Journaux de sécurité (événements d'authentification, MFA, opérations admin).
3.4. Données de paiement (le cas échéant)
Le traitement effectif des moyens de paiement est délégué à Stripe Payments Europe Ltd, prestataire PCI-DSS Level 1. TAKION SRL ne stocke jamais les numéros de carte bancaires en clair ; seul un identifiant client Stripe et les métadonnées d'abonnement (statut, période, plan) sont conservés en base.
4. Finalités & bases légales
| Finalité | Base légale (RGPD art. 6) | Conservation |
|---|---|---|
| Fournir le service (auth, dashboard, assistant IA, sync comptable) | Exécution du contrat (art. 6.1.b) | Durée de la relation contractuelle |
| Sécurité, audit, prévention des abus & fraudes | Intérêt légitime (art. 6.1.f) | 12 mois glissants après cessation |
| Obligations comptables et fiscales (facturation, TVA) | Obligation légale (art. 6.1.c - Code TVA, AR n°1) | 7 ans (art. III.86 Code droit éco) |
| Notifications opérationnelles (e-mails transactionnels) | Exécution du contrat (art. 6.1.b) | Durée du contrat + 30 jours |
| Communications marketing (newsletter, opt-in) | Consentement (art. 6.1.a) | Jusqu'au retrait du consentement |
| Statistiques agrégées d'usage produit (anonymisées) | Intérêt légitime (art. 6.1.f) | 36 mois |
5. Durées de conservation
- Compte actif : tant que vous utilisez le service.
- Sessions auth : jusqu'à expiration (60 jours par défaut) puis purge automatique.
- Snapshots financiers & KPIs : 7 ans (obligation comptable belge, art. III.86 Code droit économique).
- Historique chat IA : 12 mois glissants, puis purge automatique. Possibilité d'effacement immédiat depuis l'interface.
- Logs de sécurité : 12 mois après suppression du compte.
- Compte supprimé : cascade delete immédiat (cf. §8 « Droit à l'effacement ») pour toutes les données opérationnelles, hors obligations légales (facturation 7 ans).
6. Sous-traitants & transferts internationaux
Les données sont stockées dans l'Union européenne. Nous faisons appel aux sous-traitants suivants, tous engagés contractuellement au respect du RGPD via des accords de traitement (DPA) et, le cas échéant, des Clauses Contractuelles Types (CCT) de la Commission européenne (décision 2021/914) ou via leur certification au cadre EU-U.S. Data Privacy Framework (DPF) :
| Sous-traitant | Finalité | Données partagées | Région | Garanties |
|---|---|---|---|---|
| Cloudflare, Inc. | Hébergement (Workers, D1, R2, Pages) | Toutes les données app (chiffrées en transit + au repos) | EU primary (eu-west) | SOC 2 Type II, ISO 27001, PCI-DSS L1, DPF |
| Exact Online B.V. | Lecture comptable (cible de l'intégration) | Tokens OAuth chiffrés ; lecture TransactionLines, Divisions, Receivables | Pays-Bas (UE) | RGPD direct, ISO 27001 |
| Resend Inc. | E-mails transactionnels | E-mail destinataire, nom, corps de l'e-mail | USA | DPF actif, CCT |
| OpenAI Ireland Ltd | Assistant IA fallback hors-LAN (opt-in) | Prompts anonymisés (sans noms, sans n° factures, sans contreparties) - cf. §7 | Irlande (UE) | RGPD direct, certification SOC 2 |
| Anthropic, PBC | BYOK Claude (si vous connectez votre clé) | Prompts (sous votre contrôle, votre clé, votre compte) | USA | DPF actif, CCT |
| Ollama (auto-hébergé LAN Takion) | Assistant IA principal - privacy by design | Prompts complets (jamais de sortie hors LAN Takion) | Belgique (LAN privé) | Hors transfert (intra-organisation) |
| GoCardless Ltd | Agrégation bancaire PSD2 | Tokens OAuth + soldes/transactions (lecture seule) | Royaume-Uni | Décision d'adéquation UE-UK |
| Stripe Payments Europe Ltd | Connecteur revenue + facturation Takion | Tokens OAuth + transactions Stripe + identifiants clients | Irlande (UE) | RGPD direct, PCI-DSS L1 |
| Google LLC | Login social Google OAuth (optionnel) | E-mail + nom Google (lecture seule) | USA | DPF actif |
La liste à jour est tenue par TAKION SRL et communiquée sur demande à dpo@takion.be. Vous serez informé(e) au moins 30 jours avant tout ajout d'un nouveau sous-traitant susceptible d'avoir un impact significatif sur vos données.
7. Anonymisation & transparence IA
Avant tout envoi à un fournisseur LLM tiers (OpenAI, Anthropic), les prompts et le contexte sont passés par un pipeline d'anonymisation côté serveur qui redacte : e-mails, numéros de téléphone, références internes (n° de factures, n° de TVA clients), noms de personnes physiques, identifiants tiers. Aucun jeton d'API ni secret n'est jamais transmis.
Conformément à l'article 50 du Règlement (UE) 2024/1689 (AI Act), vous êtes informé(e) explicitement que vous interagissez avec un système d'IA. Les sorties du modèle sont fournies à titre d'aide à la décision et ne constituent pas une opinion professionnelle réglementée (comptable agréé, conseiller fiscal).
Décisions automatisées (RGPD art. 22) : aucun traitement entièrement automatisé produisant des effets juridiques ou affectant significativement l'utilisateur n'est mis en œuvre par TAKION SRL. Toute recommandation générée par l'IA est consultative et requiert une décision humaine pour être appliquée.
8. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Accès & portabilité : bouton « Exporter mes données » (Paramètres → Zone dangereuse). Export JSON complet, structuré et lisible par machine.
- Rectification : modification du profil dans Paramètres ou par e-mail au DPO.
- Effacement (droit à l'oubli) : bouton « Supprimer mon compte » - suppression en cascade immédiate de toutes vos données opérationnelles, hors obligations légales.
- Limitation, opposition, retrait du consentement : par e-mail à dpo@takion.be.
- Décision automatisée & profilage : pas de traitement entièrement automatisé (cf. §7).
- Réclamation : vous pouvez introduire une plainte auprès de l'Autorité de protection des données belge (APD/GBA, Rue de la Presse 35, 1000 Bruxelles, www.autoriteprotectiondonnees.be).
Délai de réponse maximal : 1 mois (prorogeable de 2 mois en cas de demande complexe - RGPD art. 12.3).
9. Cookies
La Plateforme utilise uniquement des cookies de session strictement nécessaires au fonctionnement de l'authentification (better-auth). Aucun cookie publicitaire, analytics ou de tracking tiers n'est déposé. À ce titre, le consentement préalable n'est pas requis pour ces cookies (Directive ePrivacy 2002/58/CE art. 5(3) - exception technique).
Si TAKION SRL devait à l'avenir déposer des cookies non-essentiels (analytics, marketing), un bandeau de consentement explicite serait affiché et vous pourriez refuser sans pénalité d'usage du service.
10. Sécurité
Mesures techniques et organisationnelles mises en œuvre :
- En transit : TLS 1.3 obligatoire (HSTS preload activé, durée 2 ans).
- Au repos : AES-GCM 256-bit pour tokens OAuth, refresh tokens et clés API IA personnelles. Clé maître chiffrée gérée séparément.
- Mots de passe : hashés via Argon2id, jamais stockés en clair.
- Sessions : cryptées, liées à un device fingerprint, durée 60 jours par défaut, révocation possible depuis Paramètres.
- MFA TOTP : optionnelle (recommandée), codes de récupération hachés.
- Code & déploiement : revue par PR, CI obligatoire (typecheck, tests, gitleaks), aucun push direct sur la branche prod.
- Infrastructure : Cloudflare (SOC 2 Type II + ISO 27001 + PCI-DSS Level 1).
- Pratiques OWASP : queries paramétrées (Drizzle ORM), RBAC sur tous les endpoints d'admin, headers de sécurité stricts (CSP, X-Frame-Options DENY, COOP/CORP, Permissions-Policy verrouillée).
- Audit interne : revues de code mensuelles ; pen-test externe planifié Q3 2026.
- Notification de violation : tout incident de sécurité affectant vos données vous sera notifié sous 72 h conformément au RGPD art. 33-34.
11. Modifications de la politique
Nous pouvons mettre à jour cette politique pour refléter des évolutions légales, techniques ou contractuelles. Toute modification substantielle vous sera notifiée par e-mail et/ou via la plateforme au moins 30 jours avant son entrée en vigueur. Pour toute évolution constituant un nouveau traitement nécessitant votre consentement, celui-ci sera explicitement redemandé.