Politique de Confidentialité

La présente Politique de Confidentialité décrit la manière dont HDdev (ci-après « HDdev », « nous » ou « notre ») collecte, utilise, conserve et protège les données personnelles des utilisateurs (ci-après « vous » ou « l'Utilisateur ») du service Finance.HDdev, conformément au Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (RGPD) et à la loi belge du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel.

Article 1 — Responsable du Traitement

Le responsable du traitement des données personnelles est :

• Dénomination : HDdev
• Email de contact : contact@hddev.eu
• Délégué à la protection des données (DPO) : privacy@hddev.eu
• Pour les informations légales complètes, consultez nos mentions légales.

Article 2 — Données Collectées

2.1 Données fournies directement par l'Utilisateur

• Données d'inscription : adresse email, nom, prénom, mot de passe (stocké sous forme hashée) ;
• Données de profil : préférences de langue, devise, paramètres de notification ;
• Données de paiement : traitées exclusivement par Stripe (HDdev ne stocke aucune donnée de carte bancaire).

2.2 Données collectées via la synchronisation bancaire

• Données de comptes : nom du compte, numéro IBAN, solde, type de compte ;
• Données de transactions : date, montant, libellé, catégorie, référence du virement ;
• Identité bancaire : nom de l'établissement bancaire, identifiant de connexion bancaire (géré exclusivement par Bridge, non stocké par HDdev).

Important : HDdev ne stocke à aucun moment vos identifiants bancaires (login, mot de passe, codes d'accès). La connexion à vos comptes s'effectue exclusivement via Bridge by Bankin', prestataire agréé par l'ACPR (Autorité de Contrôle Prudentiel et de Résolution) en tant que prestataire de services d'information sur les comptes au titre de la directive PSD2 (Directive (UE) 2015/2366).

2.3 Données collectées automatiquement

• Données techniques : adresse IP (anonymisée), type de navigateur, système d'exploitation, résolution d'écran ;
• Données d'usage : pages consultées, fonctionnalités utilisées, horodatage des actions (à des fins d'amélioration du Service).

Article 3 — Finalités et Bases Légales du Traitement

Vos données personnelles sont traitées pour les finalités suivantes :

• Exécution du contrat (Art. 6.1.b RGPD) : création et gestion du compte utilisateur, fourniture du Service de gestion financière, synchronisation bancaire, traitement des paiements, support client.
• Consentement (Art. 6.1.a RGPD) : envoi de communications marketing (newsletters, offres promotionnelles). Vous pouvez retirer votre consentement à tout moment.
• Intérêt légitime (Art. 6.1.f RGPD) : amélioration du Service, détection de fraude et sécurité, analyse statistique anonymisée de l'utilisation du Service.
• Obligation légale (Art. 6.1.c RGPD) : conservation des données de facturation conformément à la législation fiscale belge, réponse aux réquisitions des autorités compétentes.

Article 4 — Sous-traitants et Destinataires

Vos données personnelles peuvent être communiquées aux sous-traitants suivants, agissant pour le compte et selon les instructions de HDdev :

• Bridge by Bankin' (Bankin' SAS, France) : prestataire de services d'information sur les comptes agréé ACPR, assurant la connexion Open Banking PSD2 pour la synchronisation bancaire. Bridge traite les données bancaires conformément à la directive PSD2 et au RGPD.
• Stripe, Inc. (États-Unis, avec traitement européen) : prestataire de services de paiement certifié PCI-DSS Niveau 1, assurant le traitement sécurisé des paiements par carte bancaire et prélèvement SEPA. Stripe est conforme au Data Privacy Framework UE-US.
• Infomaniak Network SA (Suisse) : fournisseur de services de messagerie électronique, assurant l'envoi des emails transactionnels et notifications. Infomaniak est soumis à la loi fédérale suisse sur la protection des données (nLPD), reconnue comme adéquat par la Commission européenne.

HDdev ne vend, ne loue et ne communique en aucun cas vos données personnelles à des tiers à des fins publicitaires ou commerciales.

Article 5 — Hébergement et Transferts de Données

Les données personnelles sont hébergées sur une infrastructure située en Europe. Aucun transfert de données en dehors de l'Espace Économique Européen n'est effectué, sauf dans le cadre des services fournis par Stripe, qui bénéficie du Data Privacy Framework UE-US et de clauses contractuelles types approuvées par la Commission européenne.

Article 6 — Sécurité des Données

HDdev met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles contre tout accès non autorisé, altération, divulgation ou destruction :

• Chiffrement : toutes les données sensibles sont chiffrées au repos avec l'algorithme Fernet (AES + HMAC) et en transit via HTTPS/TLS ;
• Mots de passe : stockés exclusivement sous forme de hash (bcrypt) avec salage individuel ;
• Accès : accès aux données restreint aux seuls collaborateurs habilités, selon le principe du moindre privilège ;
• Surveillance : monitoring continu des accès et détection d'anomalies ;
• Sauvegardes : sauvegardes chiffrées régulières avec plan de reprise d'activité ;
• Audits : évaluations de sécurité régulières et tests de pénétration.

Article 7 — Durée de Conservation

• Données du compte : conservées pendant toute la durée d'utilisation du Service. En cas de suppression du compte, les données sont effacées dans un délai de trente (30) jours, sous réserve des obligations légales de conservation.
• Données de facturation : conservées pendant une durée de cinq (5) ans après la dernière transaction, conformément aux obligations comptables et fiscales belges (Art. III.86 du Code de droit économique).
• Données bancaires synchronisées : conservées pendant la durée du compte. Supprimées dans un délai de trente (30) jours après déconnexion du compte bancaire ou suppression du compte utilisateur.
• Logs techniques : conservés pendant douze (12) mois maximum, puis anonymisés.
• Données post-suppression : après suppression du compte, les données non soumises à une obligation légale de conservation sont anonymisées ou effacées dans un délai de trente (30) jours. Les données soumises à obligation légale (facturation) sont conservées pendant cinq (5) ans supplémentaires dans un archivage sécurisé à accès restreint.

Article 8 — Vos Droits

Conformément au RGPD et à la législation belge, vous disposez des droits suivants sur vos données personnelles :

• Droit d'accès (Art. 15 RGPD) : obtenir confirmation du traitement de vos données et en recevoir une copie ;
• Droit de rectification (Art. 16 RGPD) : corriger les données inexactes ou incomplètes ;
• Droit à l'effacement (Art. 17 RGPD) : demander la suppression de vos données, sous réserve des obligations légales ;
• Droit à la portabilité (Art. 20 RGPD) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine ;
• Droit d'opposition (Art. 21 RGPD) : vous opposer au traitement de vos données pour des motifs légitimes ;
• Droit à la limitation (Art. 18 RGPD) : demander la limitation du traitement dans les cas prévus par le RGPD ;
• Droit de retrait du consentement (Art. 7.3 RGPD) : retirer votre consentement à tout moment pour les traitements fondés sur celui-ci ;
• Droit d'introduire une réclamation : auprès de l'Autorité de protection des données belge (APD) — www.autoriteprotectiondonnees.be.

Pour exercer vos droits, adressez votre demande par email à privacy@hddev.eu en joignant une copie de votre pièce d'identité. Nous nous engageons à répondre dans un délai d'un mois à compter de la réception de votre demande, conformément à l'Article 12.3 du RGPD.

Article 9 — Cookies

Pour toute information relative à l'utilisation des cookies sur Finance.HDdev, veuillez consulter notre Politique Cookies dédiée.

Article 10 — Protection des Mineurs

Le Service est destiné aux personnes âgées de 16 ans et plus. HDdev ne collecte pas sciemment de données personnelles auprès de mineurs de moins de 16 ans. Si nous apprenons qu'un mineur de moins de 16 ans nous a fourni des données personnelles sans le consentement parental requis, nous supprimerons ces données dans les meilleurs délais.

Article 11 — Violation de Données

En cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, HDdev s'engage à notifier l'Autorité de protection des données belge dans un délai de 72 heures conformément à l'Article 33 du RGPD. Si la violation est susceptible d'engendrer un risque élevé, vous en serez également informé directement conformément à l'Article 34 du RGPD.

Article 12 — Modification de la Politique

HDdev se réserve le droit de modifier la présente Politique de Confidentialité à tout moment. Toute modification substantielle sera notifiée aux Utilisateurs par email et/ou par notification dans le Service au moins trente (30) jours avant son entrée en vigueur. La date de dernière mise à jour est indiquée en bas de cette page.

Article 13 — Contact

Pour toute question relative à la présente Politique de Confidentialité ou à la protection de vos données personnelles, vous pouvez nous contacter :

• Email général : contact@hddev.eu
• Délégué à la protection des données : privacy@hddev.eu