Politique de confidentialité
Dernière mise à jour : 9 mai 2026
Chut.App BV, société à responsabilité limitée de droit belge, BCE/TVA BE 1035.742.145, dont le siège social est situé Ballingstraat 116, 8560 Wevelgem, Belgique (« Chut », « nous »), exploite la plateforme Chut (chut.app). La présente politique de confidentialité décrit comment nous collectons, utilisons et protégeons vos données personnelles conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi belge du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel.
1. Rôles et responsabilités
Dans le cadre de l'utilisation de la plateforme Chut, votre entreprise est le Responsable du traitement (Data Controller) au sens du RGPD. Chut.App BV agit en qualité de Sous-traitant (Data Processor) pour le traitement de vos données.
Un Accord de traitement des données (DPA) est disponible à /dpa.
2. Données collectées
Nous traitons les catégories de données suivantes selon leur base légale respective :
| Catégorie | Données | Base légale (Art. 6 RGPD) |
|---|---|---|
| Données d'identité | Adresse e-mail, nom, identifiant utilisateur | Art. 6(1)(b) — exécution du contrat |
| Identifiants d'entreprise | Numéro BCE, numéro de TVA, dénomination sociale | Art. 6(1)(b) — exécution du contrat |
| Documents financiers | Factures, reçus, relevés bancaires | Art. 6(1)(b) — exécution du contrat |
| Données comptables | Écritures comptables, plan comptable | Art. 6(1)(b) — exécution du contrat |
| Données de contact | E-mail, téléphone, adresse des fournisseurs/clients | Art. 6(1)(f) — intérêt légitime |
| Documents juridiques | Contrats, documents de constitution (Juridique uniquement) | Art. 6(1)(a) — consentement |
| Conversations IA | Questions-réponses juridiques, résultats d'analyse (Juridique uniquement) | Art. 6(1)(a) — consentement |
3. Localisation des données
L'ensemble de l'infrastructure de stockage et de calcul est situé en Union européenne. Certains traitements par intelligence artificielle peuvent nécessiter un transfert encadré par les Clauses Contractuelles Types (CCT) de la Commission européenne — voir le détail ci-dessous.
| Type de données | Localisation |
|---|---|
| Données applicatives (comptes, documents, écritures, contrats) | France — Scaleway S.A.S., région fr-par (Paris) |
| Vérifications d'identité (KYC) | Lituanie — UAB « iDenfy » |
| Requêtes et réponses IA | Irlande — OpenAI Ireland Limited, avec transferts secondaires vers OpenAI, L.L.C. (États-Unis) encadrés par les CCT |
| Mesure d'audience du site marketing (chut.app) | Irlande — Google Ireland Limited (Google Tag Manager + Google Analytics 4), avec transferts secondaires vers Google LLC (États-Unis) encadrés par les CCT |
4. Durées de conservation
| Catégorie | Durée | Fondement |
|---|---|---|
| Données du compte actif | Durée du contrat + 30 jours (suppression douce) | Contractuel |
| Documents comptables | 7 ans | Code de droit économique Art. III.86 |
| Conversations IA | 1 an après la dernière activité | Intérêt légitime |
| Journaux d'audit | 2 ans (anonymisés ensuite) | Intérêt légitime |
| Sauvegardes | 30 jours glissants | Continuité de service |
5. Sous-traitants
Nous faisons appel aux sous-traitants suivants pour le traitement de vos données. La liste complète et actualisée est disponible à /sub-processors.
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| Scaleway S.A.S. | Calcul, stockage, réseau, base de données | UE — France (Paris / fr-par) |
| OpenAI Ireland Limited | Traitement par intelligence artificielle | UE — Irlande (avec CCT pour transferts secondaires) |
| Google Ireland Limited | Mesure d'audience du site marketing (Google Tag Manager + Google Analytics 4) | UE — Irlande (avec CCT pour transferts secondaires) |
| UAB « iDenfy » | Vérification d'identité (KYC) | UE — Lituanie |
6. Traitement par intelligence artificielle
Chut utilise OpenAI Ireland Limited pour les traitements par intelligence artificielle (orchestration d'outils, génération de réponses, analyse de documents). Pour le module Juridique, ce traitement est soumis à votre consentement explicite (Art. 6(1)(a) RGPD).
Vos données ne sont pas utilisées pour l'entraînement de modèles d'IA (option « zero data retention » souscrite auprès d'OpenAI pour l'API). Les éventuels transferts vers OpenAI, L.L.C. (États-Unis) sont encadrés par les Clauses Contractuelles Types (CCT) de la Commission européenne.
7. Cookies
Nous utilisons deux catégories de cookies :
| Catégorie | Finalité | Base légale | Consentement requis |
|---|---|---|---|
| Cookies essentiels | Authentification (cookie de session __chut_session sur l'application app.chut.app), préférences de langue, mémorisation du choix de cookies. | Art. 6(1)(f) RGPD — intérêt légitime ; ePrivacy art. 5(3) — strict nécessaire | Non |
| Cookies de mesure d'audience | Sur le site marketing chut.app uniquement : Google Analytics 4 via Google Tag Manager, pour comprendre l'usage du site (pages visitées, source de trafic, performances). | Art. 6(1)(a) RGPD — consentement | Oui |
Les cookies de mesure d'audience ne sont déposés et activés qu'après votre consentement explicite via la bannière de cookies. Tant que vous n'avez pas consenti, le Consent Mode v2 de Google reste sur denied par défaut pour les quatre signaux (analytics_storage, ad_storage, ad_user_data, ad_personalization) et aucun identifiant n'est transmis. Vous pouvez retirer votre consentement à tout moment via le lien « Gérer mes cookies » au pied de page.
Nous n'affichons pas de publicités sur le site et nous ne menons pas de campagnes de remarketing. Cependant, lorsque vous acceptez les cookies, nous activons les signaux de mesure publicitaire de Google (ad_storage, ad_user_data, ad_personalization) afin que, si nous lançons à l'avenir des campagnes Google Ads pour amener du trafic vers le site, Google puisse correctement attribuer les conversions à ces campagnes. Vos données ne sont jamais vendues à des annonceurs.
7.1 Liste détaillée des cookies déposés
| Nom | Domaine | Type | Durée | Finalité | Catégorie |
|---|---|---|---|---|---|
__chut_session | app.chut.app | HTTP (httpOnly, Secure, SameSite=Lax) | Session (jusqu'à la déconnexion ou ~30 jours) | Authentification chiffrée (AES-256-GCM) émise par la passerelle après connexion. | Essentiel |
chut.cookies.v1 | www.chut.app | localStorage (côté navigateur) | Persistant (jusqu'à effacement manuel) | Mémorisation de votre choix sur la bannière de cookies (« granted » ou « denied »). | Essentiel |
_ga | .chut.app | HTTP (1st-party) | 2 ans | Identifiant utilisateur anonyme pour Google Analytics 4. Déposé uniquement après votre consentement. | Mesure d'audience |
_ga_TVHD33QP | .chut.app | HTTP (1st-party) | 2 ans | État de session GA4 pour le conteneur GTM-TVHD33QP. Déposé uniquement après votre consentement. | Mesure d'audience |
Si le conteneur Google Tag Manager (GTM-TVHD33QP) est étendu avec d'autres balises à l'avenir, cette liste sera mise à jour avant leur activation et vous serez à nouveau invité·e à confirmer votre consentement.
8. Vos droits (RGPD)
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :
| Droit | Article RGPD | Comment l'exercer |
|---|---|---|
| Droit d'accès | Art. 15 | Demander un export complet de vos données via l'interface ou par e-mail au DPO |
| Droit de rectification | Art. 16 | Modifier vos informations dans les paramètres du compte |
| Droit à l'effacement | Art. 17 | Demander la suppression de votre compte via l'interface ou par e-mail au DPO |
| Droit à la portabilité | Art. 20 | Exporter vos données au format JSON via l'interface |
| Droit à la limitation du traitement | Art. 18 | Contacter le DPO à dpo@chut.app |
| Droit d'opposition | Art. 21 | Désactiver le traitement IA dans les paramètres |
| Droit de retrait du consentement | Art. 7(3) | Gérer vos consentements dans les paramètres du compte |
9. Contact
Pour toute question relative à la protection de vos données, vous pouvez contacter notre Délégué à la Protection des Données (DPO) :
- E-mail : dpo@chut.app
Vous disposez également du droit d'introduire une réclamation auprès de l'Autorité de protection des données (APD / GBA), autorité de contrôle belge compétente :
- Rue de la Presse 35, 1000 Bruxelles
- Site web : www.autoriteprotectiondonnees.be
- Téléphone : +32 (0)2 274 48 00
- E-mail : contact@apd-gba.be
10. Historique des modifications
| Date | Modification |
|---|---|
| 11 mai 2026 | Liste détaillée des cookies ajoutée (section 7.1). Les quatre signaux Consent Mode v2 (analytics, ad storage, ad user data, ad personalization) basculent désormais ensemble lors d'un Accepter/Refuser. Traduction EN publiée. |
| 9 mai 2026 | Ajout de Google Ireland Limited aux sous-traitants pour la mesure d'audience du site marketing. Réécriture de la section cookies pour décrire le modèle à deux niveaux avec bannière de consentement. |
| 23 avril 2026 | Publication initiale post-migration vers Scaleway : OpenAI Ireland Limited (IA) et UAB iDenfy (KYC) listés comme sous-traitants. |