Politique de confidentialité

Version Avril 2026 — v5.0 — Cette politique a été mise à jour pour refléter l'intégralité des modules de la plateforme : simulateur de primes (y compris communales), hub de crédit, estimateur de devis, OCR Vision, gestion de clôture de chantier (PV, réserves, garanties, carnet d'entretien), PWA, comparateur de produits et checklists de chantier.

1. Responsable de traitement

ArchiTecht SRL (exploitant la marque Ren0vate)
Siège social : Clos Charles Bailly 16, 1310 La Hulpe (Belgique)
BCE : BE 1020.345.473 — TVA BE1020345473
Email DPO / contact RGPD : robin@architecht.be
Objet : « Protection des données personnelles »
Téléphone : +32 485 043 745

En tant que responsable de traitement, Architecht SRL détermine les finalités et les moyens de la collecte et du traitement des données personnelles conformément au RGPD (UE) 2016/679 et à la loi belge du 30 juillet 2018.

2. Données personnelles collectées

2.1 Données d'identification et de contact
  • Nom, prénom
  • Adresse email
  • Numéro de téléphone (optionnel)
  • Statut : particulier, architecte, entrepreneur, investisseur
  • Préférence de langue (français, néerlandais, anglais)
2.2 Données relatives au(x) bien(s) immobilier(s)
  • Adresse complète du bien (rue, numéro, commune, région, code postal)
  • Type de bien (maison, appartement, immeuble de rapport)
  • Année de construction, surface habitable
  • Caractéristiques techniques : PEB actuel/cible, type de chauffage, type d'isolation
  • Données cadastrales (référence parcelle)
2.3 Données financières et de revenus
Données financières personnelles : dans le cadre du simulateur de primes à la rénovation, la plateforme collecte le revenu exact de référence du ménage afin de déterminer la catégorie d'éligibilité aux primes régionales (critères de revenus Bruxelles, Wallonie, Flandre). Ces données sont strictement nécessaires à la fourniture du service de simulation et ne sont jamais utilisées à des fins de scoring financier ou de marketing.
  • Revenus de référence du ménage (montant exact, utilisé pour calcul de primes)
  • Données d'abonnement et de facturation (plan souscrit, montants)
  • Token de session de paiement Stripe (jamais les coordonnées bancaires brutes — celles-ci sont traitées exclusivement par Stripe)
2.4 Données de projet et de chantier
  • Description et périmètre des travaux
  • Planning, jalons, dates de réalisation
  • Budget estimé et suivi des coûts
  • Photos de chantier (avant, pendant, après travaux)
  • Documents : devis, contrats, factures, plans, certificats
  • Échanges de messages entre parties prenantes sur la plateforme
  • Données relatives aux intervenants (nom, BCE, assurance des entrepreneurs)
2.5 Données spécifiques aux simulations et calculs
  • Données PEB (label initial, label cible, type de ventilation, type de logement)
  • Données amiante (surfaces de toiture et de murs concernées)
  • Paramètres d'éligibilité aux primes régionales et communales (catégorie, seuils de revenus appliqués, montants simulés par prime)
  • Paramètres de simulation de crédit / prêts (montant emprunté, durée, taux, type de prêt : classique, Verbouwlening, RenoPass, Éco-Prêt)
  • Données de devis estimatifs (types de travaux, quantités, montants par poste)
  • Résultats du calculateur ROI (coût total travaux, économies d'énergie estimées, plus-value immobilière estimée)
2.6 Données extraites par OCR Vision
Données issues de la lecture automatique de documents : la fonctionnalité OCR Vision extrait automatiquement des informations structurées à partir de documents uploadés par l'utilisateur. Ces données sont strictement nécessaires à l'automatisation des formulaires de demande de primes et de simulation.
  • AER (avertissement-extrait de rôle) : revenus imposables globaux, revenus du demandeur et du conjoint, année fiscale de référence — données fiscales personnelles particulièrement sensibles
  • RIB (relevé d'identité bancaire) : IBAN belge (7 premiers caractères masqués après extraction), titulaire du compte
  • Certificat PEB : label énergétique actuel, consommation en kWh/m², référence du certificat
  • Devis d'entrepreneur : poste de travaux, montants HT/TTC, identité et BCE de l'entrepreneur
  • Bordereau de châssis : type de vitrage, Uw, valeur de performance thermique
  • Label énergétique (appareils) : classe énergétique, consommation
2.7 Données de clôture de chantier
  • Procès-verbaux de réception (provisoire/définitive) : contenu, date, signataires
  • Réserves : description, photos, statut de résolution, responsable
  • Garanties contractuelles : type (décennale, biennale, RC), dates de début/fin, numéros de police d'assurance
  • Carnet d'entretien / DIU : interventions planifiées, fréquences, équipements concernés
  • Signatures numériques des PV : identité des signataires, horodatage
2.8 Données de support et notifications
  • Tickets de support : description du problème, captures d'écran, échanges
  • Token de notification push (PWA) : identifiant de dispositif, pas de données personnelles directement liées — utilisé uniquement pour l'envoi de notifications de service
2.6 Données techniques et de navigation
  • Adresse IP (anonymisée dans les logs)
  • Type de navigateur, système d'exploitation
  • Cookies de session et de préférence (voir section 9)
  • Horodatage des connexions (via module Devise :trackable)
  • Historique de navigation sur la plateforme (pages visitées)

3. Finalités du traitement et bases légales

Conformément à l'article 6 du RGPD, chaque traitement repose sur une base légale identifiée. Le tableau ci-dessous détaille les finalités et leurs fondements :

Finalité Base légale (art. 6 RGPD) Données concernées
Création et gestion du compte utilisateur Exécution du contrat (art. 6.1.b) Identification, contact
Fourniture du service SaaS (projets, documents, collaboration) Exécution du contrat (art. 6.1.b) Toutes données projet
Simulation de primes à la rénovation Exécution du contrat (art. 6.1.b) Données bien, revenus, PEB, amiante
Analyse IA des photos de chantier (détection progression) Exécution du contrat + consentement explicite (art. 6.1.b + 6.1.a) Photos uploadées par l'utilisateur
Agents IA d'analyse contractuelle et de garanties Exécution du contrat (art. 6.1.b) Contrats, devis uploadés
Gestion de l'abonnement et facturation Exécution du contrat (art. 6.1.b) + obligation légale (art. 6.1.c) Données de paiement, factures
Support client et assistance technique Intérêt légitime (art. 6.1.f) Identification, échanges support
Amélioration et entraînement des modèles IA internes Consentement explicite (art. 6.1.a) Données de projet anonymisées/pseudonymisées
Lecture OCR de documents (AER, RIB, PEB, devis, bordereau, label) Exécution du contrat (art. 6.1.b) Documents uploadés, données extraites
Simulation de crédit / prêts à la rénovation Exécution du contrat (art. 6.1.b) Données financières, revenus, paramètres de prêt
Gestion de clôture (PV, réserves, garanties, carnet d'entretien) Exécution du contrat (art. 6.1.b) + obligation légale (art. 6.1.c) Données de réception, garanties, signatures
Comparateur de produits / matériaux Intérêt légitime (art. 6.1.f) Préférences de matériaux, données de projet
Notifications push (PWA) Consentement explicite (art. 6.1.a) Token de dispositif push
Gestion des tickets de support Intérêt légitime (art. 6.1.f) Identification, échanges support, captures
Envoi de notifications de service (alertes chantier, garanties) Exécution du contrat (art. 6.1.b) Email, données projet
Envoi de communications marketing et newsletter Consentement explicite (art. 6.1.a) Email, préférences
Conservation comptable et fiscale Obligation légale (art. 6.1.c) — Code des sociétés belge Factures, données d'abonnement
Prévention des fraudes et sécurité Intérêt légitime (art. 6.1.f) Données techniques, connexions
Statistiques anonymisées de performance du service Intérêt légitime (art. 6.1.f) — données agrégées non personnelles Données agrégées/anonymisées

4. Profilage et décision automatisée

Conformément à l'article 22 du RGPD, Ren0vate vous informe que la plateforme effectue des traitements automatisés pouvant être qualifiés de profilage :

  • Score de santé de projet (/10) : calcul automatique d'un score basé sur les indicateurs budget, planning, communication et qualité de votre chantier. Ce score est fourni à titre informatif pour aider l'utilisateur à piloter son projet.
  • Recommandations personnalisées de l'IA : suggestions de matériaux, d'ordonnancement de primes, de corrections de devis, générées à partir du profil de votre bien et de vos paramètres de projet.
  • Catégorisation pour les primes : attribution automatique d'une catégorie de revenus sur base des revenus fournis et des seuils réglementaires.
Important : aucune de ces opérations automatisées ne produit d'effet juridique contraignant à votre égard ni ne vous affecte de manière significative sans intervention humaine. Les sorties IA sont toujours soumises à votre validation. Vous disposez du droit d'opposition au profilage (section 7 ci-dessous).

5. Sous-traitants et transferts internationaux de données

5.1 Liste des sous-traitants principaux

ArchiTecht SRL fait appel aux sous-traitants suivants. Chacun est lié par un accord de traitement des données (DPA) conforme à l'article 28 du RGPD :

Sous-traitant Rôle Localisation Données transférées Garantie de transfert
Heroku (Salesforce) Hébergement de l'application et bases de données UE — Irlande (Dublin) Toutes données de la plateforme Hébergement intra-UE
Stripe, Inc. Traitement des paiements et gestion des abonnements États-Unis (siège) + infrastructure UE Données de facturation, identité SCC + EU-US Data Privacy Framework (10 juil. 2023)
Anthropic, PBC Modèles IA Claude (Haiku, Sonnet) — chatbot contextuel, analyse photos chantier, hub de décision, agents contractuels États-Unis Voir § 5.3 ci-dessous — données structurées du dossier utilisateur SCC (Décision 2021/914/UE) — DPA disponible sur demande
Amazon Web Services (AWS) Stockage des documents et fichiers (Active Storage / Cloudinary) UE — Ireland/Frankfurt Documents, photos uploadés Hébergement intra-UE
5.2 Détail des données transmises à Anthropic (Claude)
Point de vigilance RGPD — Données envoyées aux serveurs Anthropic (États-Unis)
L'ensemble des fonctionnalités IA de Ren0vate repose sur l'API Anthropic (Claude). Contrairement à ce que l'on pourrait supposer, les données transmises vont au-delà de simples questions-réponses. Voici le détail précis par fonctionnalité :

a) Chatbot contextuel (Assistant Ren0vate) :

À chaque échange, le modèle Claude reçoit un prompt système structuré contenant l'intégralité du contexte utilisateur, notamment :

  • Identité complète : prénom, nom, email, téléphone, adresse postale, région ;
  • Situation familiale et sociale : situation familiale, nombre d'enfants, présence de personnes de 60 ans et plus, grossesse éventuelle, statut BIM/RIS, qualité de client protégé Bruxelles ;
  • Revenus déclarés par le demandeur et le conjoint (montants exacts, années de référence) ;
  • Données AER (avertissement-extrait de rôle) : le revenu imposable global extrait du document fiscal officiel, l'année fiscale concernée et le statut de validation du document sont inclus dans le prompt envoyé à Claude. Il s'agit de données fiscales personnelles particulièrement sensibles ;
  • IBAN belge (présence confirmée, 7 premiers caractères masqués) ;
  • Données complètes du bien immobilier : adresse, PEB, année de construction, surface, chauffage, EAN, données cadastrales, valeur d'achat ;
  • Données de chantier : nom, type de travaux, dates, budgets, identité de l'architecte, de l'entrepreneur et de leurs assurances ;
  • Résultats de simulations de primes : montants, catégories, seuils de revenus ;
  • Historique de la conversation (jusqu'à 20 messages, pendant 2 heures).
Note spécifique sur les données AER : Le document AER (avertissement-extrait de rôle) est un document fiscal officiel belge contenant le revenu imposable du ménage. Son contenu extrait par OCR (revenu imposable global, revenus individuels du demandeur et du conjoint) est inclus directement dans les prompts envoyés à l'API Anthropic. Ces données constituent des données financières personnelles sensibles au sens du considérant 75 du RGPD. Leur traitement repose sur la base légale « exécution du contrat » (art. 6.1.b) compte tenu de leur nécessité pour le calcul des primes régionales. L'utilisateur peut à tout moment s'opposer à ce traitement en désactivant la fonctionnalité chatbot (art. 21 RGPD).

b) Analyse de photos de chantier (ChantierVision) :

  • Les photos de chantier (jusqu'à 6 par analyse) sont envoyées directement à l'API Anthropic Claude (modèle Sonnet) via URL sécurisée HTTPS ou encodage base64 ;
  • Ces photos peuvent représenter des personnes présentes sur le chantier ;
  • Elles sont accompagnées d'un prompt textuel indiquant le type de chantier et les phases de travaux attendues ;
  • La fonctionnalité utilise Anthropic (Claude), non OpenAI. La mention d'OpenAI dans les documents stratégiques correspond à une orientation future non encore implémentée.

c) Hub de décision et simulation de primes :

  • Les données complètes de simulation (montants par prime, documents manquants, planning, conformité technique) sont envoyées à Claude pour générer les recommandations personnalisées ;
  • Les données de revenus et de catégorie d'éligibilité figurent dans ces prompts.

d) Générateur de devis et agents contractuels :

  • Les devis et contrats PDF uploadés par les utilisateurs sont analysés par Claude ; leur contenu textuel (montants, conditions, identité des parties, BCE entrepreneur, numéros de police d'assurance) est transmis à l'API Anthropic ;
  • Les agents IA de gestion de garanties transmettent également les données de réception de chantier, les signalements de problèmes et les informations contractuelles des entrepreneurs.
5.3 Mesures de protection pour les transmissions à Anthropic
  • Toutes les transmissions s'effectuent exclusivement via HTTPS TLS 1.2+ ;
  • Les données sont transmises dans le contexte d'une session utilisateur authentifiée uniquement (token de session vérifié côté serveur) ;
  • L'historique de conversation est stocké dans le cache applicatif (Rails.cache) pendant 2 heures maximum puis supprimé automatiquement ;
  • ArchiTecht SRL a souscrit à la politique d'utilisation des données d'Anthropic qui prévoit que les données soumises via l'API ne sont pas utilisées pour l'entraînement des modèles généraux (API usage policy, section « Data usage ») ;
  • Un DPA (Data Processing Agreement) conforme à l'art. 28 RGPD doit être conclu avec Anthropic avant le lancement commercial — action requise.
5.4 Transferts hors Union Européenne
Transferts vers les États-Unis (Anthropic, Stripe) : Ces transferts sont encadrés par des Clauses Contractuelles Types (SCC) adoptées par la Commission européenne (Décision 2021/914/UE), conformément à l'article 46.2.c du RGPD. Stripe bénéficie en outre du cadre EU-US Data Privacy Framework (décision d'adéquation du 10 juillet 2023). Compte tenu de la sensibilité des données transmises à Anthropic (données fiscales AER, données familiales, photos de chantier), il est recommandé d'informer explicitement l'utilisateur via une bannière de consentement spécifique lors de la première ouverture du chatbot.

Vous avez le droit d'obtenir une copie des garanties appropriées mises en place pour ces transferts en adressant votre demande à : robin@architecht.be

6. Durées de conservation

Catégorie de données Durée de conservation Fondement légal
Données de compte actif Durée de la relation contractuelle Exécution du contrat
Données de projet et de chantier Durée de l'abonnement + 2 ans après clôture du chantier Intérêt légitime (suivi post-travaux)
Documents juridiques (contrats, PV de réception, garanties) 10 ans à compter de la réception provisoire Obligation légale — garantie décennale (art. 1792 Code Civil)
Données extraites par OCR (AER, RIB, PEB, devis) Durée du projet + 1 an (données structurées en DB) ; documents bruts : identique aux documents associés Exécution du contrat
Données de clôture (PV, réserves, garanties, DIU) 10 ans à compter de la réception provisoire Obligation légale — garantie décennale + garantie biennale
Tokens push PWA Jusqu'au retrait du consentement ou désinstallation de l'application Consentement
Données de facturation et comptables 10 ans Obligation légale — Code des sociétés + TVA belge
Données de revenus (simulations de primes) Durée de la simulation + 1 an (pour les demandes en cours) Exécution du contrat
Données de connexion (logs) 12 mois Intérêt légitime + obligation légale (art. XII.7 CDE)
Photos de chantier Durée du projet + 10 ans (documents de réception) Exécution du contrat + obligation légale décennale
Données de compte supprimé 30 jours (conservation temporaire) puis effacement définitif RGPD — droit à l'effacement + réversibilité
Données marketing (newsletter, avec consentement) Jusqu'au retrait du consentement ou 3 ans d'inactivité Consentement
Statistiques anonymisées Conservation illimitée (données non personnelles) — (données hors champ RGPD)

7. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

  • Droit d'accès (art. 15) : obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie.
  • Droit de rectification (art. 16) : faire corriger des données inexactes ou incomplètes.
  • Droit à l'effacement / « droit à l'oubli » (art. 17) : demander la suppression de vos données, sous réserve des obligations légales de conservation (garantie décennale, conservation comptable).
  • Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré, couramment utilisé, lisible par machine (JSON/CSV), et les transmettre à un autre responsable de traitement.
  • Droit d'opposition (art. 21) : vous opposer à tout moment au traitement fondé sur l'intérêt légitime ou à des fins de marketing direct. Vous pouvez également vous opposer au profilage automatisé (section 4).
  • Droit de limitation du traitement (art. 18) : demander la suspension du traitement de vos données dans certaines circonstances.
  • Droit de retrait du consentement (art. 7.3) : retirer à tout moment votre consentement pour les traitements qui en dépendent (marketing, entraînement IA, consentement analyse photos), sans que ce retrait affecte la licéité des traitements antérieurs.
  • Droit relatif aux décisions automatisées (art. 22) : ne pas faire l'objet d'une décision produisant des effets juridiques significatifs basée exclusivement sur un traitement automatisé.
Comment exercer vos droits ?

Envoyez votre demande à : robin@architecht.be
Objet : « Exercice droit RGPD — [type de droit] »
Joignez une copie d'un justificatif d'identité pour les demandes d'accès, de rectification ou d'effacement.
Délai de réponse : 30 jours calendrier (prorogeable à 3 mois pour les demandes complexes).

8. Sécurité des données

Architecht SRL met en œuvre les mesures techniques et organisationnelles suivantes, conformément à l'article 32 du RGPD :

  • Chiffrement en transit : HTTPS TLS 1.2+ sur l'intégralité des communications
  • Chiffrement au repos : bases de données chiffrées par Heroku PostgreSQL
  • Authentification : hachage bcrypt (coût 12) pour les mots de passe
  • Gestion des sessions : tokens de session sécurisés avec expiration automatique
  • Contrôle d'accès : système de rôles (utilisateur, modérateur, administrateur)
  • Pseudonymisation : avant transmission aux services IA tiers (Anthropic)
  • Sauvegardes : sauvegardes automatiques quotidiennes chiffrées
  • Audit de sécurité : évaluations régulières de vulnérabilités (OWASP)

En cas de violation de données susceptible d'engendrer un risque élevé pour vos droits et libertés, vous serez notifié dans les meilleurs délais conformément à l'article 34 du RGPD. Toute violation sera déclarée à l'APD dans les 72 heures (art. 33 RGPD).

9. Cookies et technologies de traçage

9.1 Cookies strictement nécessaires (pas de consentement requis)
  • Cookie de session (_session) : maintien de votre session authentifiée. Durée : session en cours.
  • Token CSRF (authenticity_token) : protection contre les attaques de type Cross-Site Request Forgery. Durée : session en cours.
  • Cookie de mémorisation (remember_user_token) : maintien de la connexion si « se souvenir de moi » est activé. Durée : 2 semaines.
  • Cookie de préférences linguistiques : mémorisation de la région et de la langue choisies. Durée : 1 an.
9.2 Cookies analytiques et de traçage

Ren0vate n'utilise pas de cookies analytiques tiers (Google Analytics, Hotjar, etc.) ni de cookies publicitaires ou de ciblage comportemental. Le suivi d'utilisation est effectué via des métriques internes agrégées et anonymisées, ne nécessitant pas de consentement cookie.

9.3 Cookies de paiement Stripe

Lors du processus de paiement, Stripe peut déposer des cookies nécessaires à la sécurité de la transaction. Ces cookies sont soumis à la politique de confidentialité de Stripe .

9.4 Gestion de vos préférences cookies

Vous pouvez configurer votre navigateur pour refuser les cookies non essentiels. Notez que la désactivation des cookies strictement nécessaires empêchera le fonctionnement normal de la plateforme (authentification impossible).

10. Partage et communication des données

Aucune revente : vos données personnelles ne sont jamais vendues, louées ou échangées à des fins commerciales.

Intervenants du chantier : lorsque vous invitez un architecte ou un entrepreneur sur un projet, les informations relatives à ce projet leur sont accessibles dans la stricte limite de leur mission. Chaque intervenant invité accepte les CGV de Ren0vate lors de son inscription.

Sous-traitants techniques : voir section 5 ci-dessus. Chaque sous-traitant est contractuellement limité à l'usage strictement nécessaire à la prestation convenue.

Autorités : Architecht SRL peut être tenu de communiquer des données aux autorités compétentes sur réquisition judiciaire ou en vertu d'une obligation légale (art. 6.1.c RGPD).

11. Données des mineurs

Ren0vate est un service destiné aux personnes majeures. Nous ne collectons pas sciemment de données concernant des personnes de moins de 18 ans. Si vous pensez qu'un mineur a créé un compte sans autorisation parentale, contactez-nous immédiatement à l'adresse ci-dessous.

12. Droit de réclamation

Si vous estimez que le traitement de vos données personnelles ne respecte pas le RGPD, vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente :

Autorité de Protection des Données (APD)
Rue de la Presse, 35 — 1000 Bruxelles
Tél. : +32 2 274 48 00
autoriteprotectiondonnees.be

Nous vous encourageons à nous contacter directement en premier lieu afin de résoudre votre demande dans les meilleurs délais.

13. Modifications de la présente politique

Architecht SRL se réserve le droit de modifier la présente politique de confidentialité pour refléter l'évolution du service, des traitements ou de la réglementation. En cas de modification substantielle, une notification sera envoyée par email et/ou affichée à la connexion avec un délai de préavis de 30 jours avant entrée en vigueur (sauf obligation légale d'application immédiate).

14. Contact

Pour toute question relative à la protection de vos données personnelles :
Email : robin@architecht.be
Objet : « Protection des données personnelles »
Téléphone : +32 485 043 745

Dernière mise à jour : Avril 2026
Version : Ren0vate SaaS v5.0 — Plateforme complète
Base réglementaire : RGPD (UE) 2016/679 · Loi belge 30 juillet 2018 · Directive ePrivacy 2002/58/CE · AI Act (UE) 2024/1689