Politique de Confidentialité
Dernière mise à jour : 17 mars 2026
1. Responsable du traitement
Dénomination : AquaExposure
Siège social : Belgique
Contact DPO : [email protected]
Autorité de contrôle : Autorité de Protection des Données (APD) — www.autoriteprotectiondonnees.be
2. Données collectées et finalités
Données d'inscription
Nom, e-mail, mot de passe (haché bcrypt), adresse IP et timestamp d'inscription, consentements RGPD (CGV, âge, marketing). Base légale : exécution du contrat (art. 6 §1 b) + consentement (art. 6 §1 a) pour le marketing.
Données d'utilisation
Progression pédagogique, exercices réalisés, scores, XP, streaks, paramètres de langue. Base légale : exécution du contrat.
Données de paiement
Traitées exclusivement par Stripe (certifié PCI-DSS). AquaExposure ne stocke aucune donnée bancaire. ID client Stripe conservé pour la gestion des abonnements. Base légale : exécution du contrat.
Photos Neptune (consentement explicite requis)
Photos soumises volontairement pour analyse colorimétrique. Stockées sur Cloudflare R2 (bucket privé, URLs signées à durée limitée). Le consentement est traçable (userId + timestamp + version du texte). Retrait possible à tout moment → suppression sous 30 jours. Base légale : consentement explicite (art. 6 §1 a).
Données de navigation et analytics
Collectées via un outil d'analyse RGPD-compatible (Plausible ou équivalent, sans cookies de tracking, sans fingerprinting). Aucune donnée personnelle identifiable transmise à des tiers à des fins publicitaires. Base légale : intérêt légitime (art. 6 §1 f).
3. Durée de conservation
| Catégorie | Durée |
|---|---|
| Compte utilisateur actif | Durée du compte |
| Données après fermeture de compte | Anonymisation sous 30 jours |
| Données comptables et factures | 7 ans (obligation légale belge) |
| Logs techniques (sans données perso) | 90 jours |
| Photos Neptune (avec consentement) | Jusqu'au retrait du consentement + 30 j |
| Consentements RGPD (inscription) | 3 ans après fin de relation contractuelle |
4. Cookies
AquaExposure utilise uniquement des cookies strictement nécessaires au fonctionnement du service (session d'authentification, préférences de langue). Aucun cookie publicitaire ni de tracking tiers n'est déposé sans consentement préalable.
Les cookies de session sont httpOnly, Secure et SameSite=Strict. Durée de vie maximale : 7 jours avec rotation automatique.
5. Sous-traitants et transferts hors UE
AquaExposure fait appel aux sous-traitants suivants. Tous les transferts hors Union Européenne sont encadrés par des Clauses Contractuelles Types (CCT)approuvées par la Commission européenne (art. 46 RGPD) et/ou la décision d'adéquation UE–États-Unis (Data Privacy Framework, 10 juillet 2023).
| Sous-traitant | Finalité | Localisation | Garantie |
|---|---|---|---|
| Vercel Inc. | Hébergement web | USA | CCT + DPF |
| Neon (DB) | Base de données | UE (Frankfurt) | Région UE |
| Cloudflare R2 | Stockage médias | USA/EU | CCT + DPF |
| Stripe Inc. | Paiements en ligne | USA | CCT + DPA + DPF |
| Resend | E-mails transactionnels | USA | CCT + DPA |
| Google (Gemma API) | Traductions automatiques | USA | CCT + DPF |
| Plausible / Fathom | Analytics RGPD-friendly | UE | Région UE, sans cookies |
CCT = Clauses Contractuelles Types | DPF = Data Privacy Framework | DPA = Data Processing Agreement
5.5 Âge minimum requis
Le service AquaExposure est destiné aux personnes âgées d'au moins 13 ans, ou de l'âge légal de consentement numérique en vigueur dans leur pays de résidence si celui-ci est supérieur (ex. : 16 ans en Belgique pour le consentement au traitement des données RGPD, art. 8). Les mineurs de moins de 16 ans résidant en Belgique doivent obtenir l'accord de leur représentant légal.
AquaExposure ne collecte pas sciemment de données personnelles d'enfants de moins de 13 ans. En cas de découverte d'un tel compte, il sera immédiatement supprimé.
5.8 Violations de données (art. 33-34 RGPD)
En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, AquaExposure s'engage à :
- → Notifier l'Autorité de Protection des Données (APD) dans un délai de 72 heures après avoir pris connaissance de la violation (art. 33 RGPD) ;
- → Informer sans délai indu les personnes concernées lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés (art. 34 RGPD) ;
- → Documenter toutes les violations dans un registre interne, qu'elles soient ou non notifiées à l'APD.
6. Vos droits RGPD
Accès (art. 15)
Obtenir une copie de vos données via GET /api/user/export
Rectification (art. 16)
Corriger vos données dans les paramètres du compte
Effacement (art. 17)
Demander la suppression via DELETE /api/user/account ou par e-mail
Portabilité (art. 20)
Exporter vos données au format JSON structuré
Opposition (art. 21)
Vous opposer à tout traitement basé sur l'intérêt légitime
Retrait du consentement
Retirer à tout moment un consentement donné, sans rétroactivité
Pour exercer vos droits : [email protected]. Réponse sous 30 jours. En cas de réponse insatisfaisante, vous pouvez introduire une réclamation auprès de l'APD belge.
Questions fréquentes
Mes données sont-elles vendues à des tiers ?
Non. AquaExposure ne vend, ne loue et ne partage jamais vos données personnelles avec des tiers à des fins commerciales. Les sous-traitants listés en section 5 ne peuvent traiter vos données que pour les finalités contractuellement définies.
Comment supprimer mon compte et mes données ?
Depuis vos paramètres de profil ou en envoyant un e-mail à [email protected]. L'anonymisation est effective sous 30 jours. Les données comptables sont conservées 7 ans conformément à la loi belge.
Mes photos Neptune sont-elles utilisées pour entraîner une IA ?
Uniquement avec votre consentement explicite donné lors de l'upload. Vous pouvez retirer ce consentement à tout moment ; vos photos seront supprimées du dataset d'entraînement sous 30 jours.
Dernière mise à jour : 17 mars 2026