Politique de confidentialité
Version : 1.0 — en vigueur au 20 avril 2026
Responsable du traitement : Online Solution Attorney SRL (« OSA »)
Dénomination de la plateforme : LawgiSkill
Siège : Avenue Michel-Ange 86, 1000 Bruxelles, Belgique
BCE : 0653.770.793 — TVA : BE0653770793
Contact DPO : privacy@lawgi.tech
Autorité de contrôle compétente : Autorité de protection des données (APD), rue de la Presse 35, 1000 Bruxelles — contact@apd-gba.be
1. Préambule — Portée
La présente Politique décrit les traitements de données à caractère personnel (« données personnelles ») mis en œuvre par OSA en sa qualité de responsable du traitement, dans le cadre de la consultation du Site https://lawgi.tech, de la souscription à la plateforme LawgiSkill et de la relation commerciale.
Elle est établie conformément au Règlement (UE) 2016/679 (« RGPD ») et à la loi belge du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel.
Point important. OSA propose des supports de raisonnement juridique (skills) et un connecteur technique vers des bases publiques. L'outil d'IA lui-même (p. ex. Claude d'Anthropic, ChatGPT d'OpenAI) est fourni au Client par un éditeur tiers via le propre abonnement du Client. Le contenu des conversations du Client avec cet outil d'IA ne transite pas par les serveurs d'OSA. Voir §5 « Ce que nous ne traitons pas ».
2. Identité du responsable du traitement
Online Solution Attorney SRL
Avenue Michel-Ange 86 — 1000 Bruxelles — Belgique
BCE / RPM Bruxelles : 0653.770.793
TVA : BE0653770793
Représentant légal : non renseigné dans le présent document (consultable au registre BCE 0653.770.793)
Email DPO / Privacy : privacy@lawgi.tech
Courrier postal : Avenue Michel-Ange 86 — 1000 Bruxelles
3. Finalités — Bases légales — Catégories de données
OSA met en œuvre les traitements suivants :
3.1 Prospection commerciale B2B
- Finalité : identifier des professionnels susceptibles d'être intéressés par la plateforme LawgiSkill, prise de contact ciblée, envoi de communications commerciales (newsletters, invitations à des démos).
- Base légale : intérêt légitime d'OSA (art. 6, §1, f RGPD), matérialisé par une prospection strictement professionnelle, réalisée dans le cadre légal (art. VI.110 CDE + art. XII.13 CDE), avec possibilité d'opt-out à tout moment par un lien de désinscription et par email à privacy@lawgi.tech.
- Données : nom, prénom, fonction, email professionnel, société, éventuellement numéro de téléphone professionnel, URL LinkedIn.
- Sources : bases publiques (BCE, LinkedIn, annuaires professionnels, publications au Moniteur), enrichissement via prestataire type Dropcontact (agissant en sous-traitant).
3.2 Gestion des clients, commandes et facturation
- Finalité : exécution du Contrat, création et gestion du compte, traitement des commandes, émission des factures, recouvrement, support, suivi de la relation commerciale.
- Base légale : exécution d'un contrat (art. 6, §1, b RGPD) et obligation légale (obligations comptables et fiscales : art. III.86 CDE, conservation 10 ans).
- Données : identité du dirigeant signataire, raison sociale et forme juridique, adresse postale du siège, numéro BCE et TVA, email(s) de contact, email(s) des postes nominatifs, historique des commandes, factures, moyens de paiement, logs de connexion, token d'accès MCP, tickets support.
3.3 Support et maintenance technique
- Finalité : assistance aux utilisateurs, diagnostic d'incidents, amélioration du service, prévention des abus.
- Base légale : intérêt légitime d'OSA (art. 6, §1, f RGPD) et, le cas échéant, exécution du Contrat (art. 6, §1, b RGPD).
- Données : échanges par email, tickets, logs techniques anonymisés (IP, user-agent, horodatage), identifiant du token MCP associé à une requête.
3.4 Sécurité informatique et prévention des abus
- Finalité : détection d'intrusions, prévention d'usages abusifs, sécurité des systèmes et des comptes.
- Base légale : obligation légale (art. 32 RGPD — sécurité) et intérêt légitime (art. 6, §1, f RGPD).
- Données : logs de connexion, IP, user-agent, événements Wordfence, tentatives de login, utilisation anormale du token MCP (volume, fréquence).
3.5 Mesure d'audience (analytics)
- Finalité : mesurer l'audience du Site, améliorer l'expérience utilisateur, suivre les sources de trafic.
- Outil utilisé : Plausible Analytics (hébergé en UE, sans cookie de suivi, sans empreinte digitale, sans identifiant persistant). Les données collectées sont agrégées et ne permettent pas de ré-identifier les visiteurs.
- Base légale : intérêt légitime (art. 6, §1, f RGPD). Conformément à la recommandation de la CNIL du 27 juillet 2023 et à la doctrine de l'APD, les outils d'analyse d'audience strictement nécessaires et dépourvus d'identifiants de suivi ne requièrent pas de consentement préalable. En cas de mise en œuvre ultérieure d'un outil nécessitant consentement (p. ex. Meta Pixel, Google Ads), le consentement est sollicité via la bannière cookies.
- Données : URL visitée, page de provenance, pays, type d'appareil, durée de la visite (sans IP stockée, sans identifiant utilisateur).
3.6 Communication transactionnelle
- Finalité : envoi d'emails informatifs liés à l'exécution du Contrat (confirmation de commande, livraison du token, mise à jour d'une facture, changement de CGV, incident de sécurité).
- Base légale : exécution du Contrat (art. 6, §1, b RGPD).
- Prestataire : à confirmer (Brevo, Postmark ou SMTP via Zimbra OVH). Voir §6 « Destinataires — Sous-traitants ».
- Données : email du destinataire, nom, contenu du message.
3.7 Cookies — Complément
Les cookies strictement nécessaires (session, panier, CSRF) sont utilisés sur la base de l'exemption article 129, §2 de la loi du 13 juin 2005 relative aux communications électroniques. Les autres cookies, le cas échéant, requièrent le consentement préalable. Voir la Politique de cookies (https://lawgi.tech/legal/cookies/).
4. Origine des données
Les données sont collectées :
- directement auprès du Client lors de la commande, de l'inscription, des échanges email, des appels vidéo ;
- auprès de sources publiques (BCE, LinkedIn) en prospection ;
- auprès de prestataires de données B2B (Dropcontact et similaires, agissant en sous-traitant), qui les ont elles-mêmes obtenues selon les conditions prévues par leurs politiques de confidentialité respectives.
5. Ce que nous ne traitons PAS
Il est important de distinguer ce qui sort du périmètre des traitements d'OSA :
- Les questions posées par le Client à son outil d'IA (Claude, ChatGPT, etc.) : ces conversations se déroulent dans l'environnement de l'éditeur tiers de l'IA. OSA n'y a pas accès. Le responsable du traitement pour ces contenus est le Client lui-même, qui doit encadrer ses propres usages (instructions internes, politique de secret professionnel, etc.) et tenir compte des conditions applicables à l'outil d'IA qu'il utilise.
- Les contenus juridiques produits par le Client dans le cadre de son activité (notes, contrats, avis, procédures) : ils appartiennent au Client et à ses propres clients finaux. OSA n'en a aucune copie.
- Les requêtes effectuées par le Client via le connecteur MCP : le connecteur exécute des requêtes HTTP vers des bases publiques (Moniteur belge, Legifrance, EUR-Lex, etc.) qui renvoient des contenus publics. OSA conserve uniquement un journal technique (horodatage, identifiant de token, nom de l'outil appelé, code de réponse, temps d'exécution) à des fins de facturation, de sécurité et de diagnostic (art. 32 RGPD). Aucun contenu substantiel de requête n'est conservé au-delà de ce qui est nécessaire à la sécurité et à la facturation, et ces journaux sont purgés conformément au §9.
6. Destinataires — Sous-traitants
Les données personnelles peuvent être communiquées aux catégories de destinataires suivantes, dans le strict nécessaire à la finalité :
| Destinataire / sous-traitant | Rôle | Pays | Garanties RGPD |
|---|---|---|---|
| OVH (hébergement WordPress, Zimbra email) | Hébergement web + email | France (UE) | Accord DPA OVH, pas de transfert hors UE pour le Site |
| Hetzner Online GmbH (hébergement MCP) | Hébergement des serveurs du connecteur MCP | Allemagne (UE) | DPA Hetzner, transfert purement intra-UE |
| Stripe Payments Europe, Ltd. | Paiement en ligne | Irlande (UE) + accès serveurs US | SCC + Data Privacy Framework (DPF) |
| Brevo (ex-Sendinblue) ou équivalent | Emailing transactionnel et newsletter | France (UE) | DPA standard |
| Plausible Insights B.V. | Mesure d'audience | Pays-Bas (UE) | Pas de cookies, pas de transfert hors UE |
| Dropcontact (ou équivalent) | Enrichissement de données B2B | France (UE) | DPA, bases B2B professionnelles uniquement |
| Prestataire de sauvegarde (UpdraftPlus) | Sauvegardes chiffrées | USA | SCC + DPF. Migration en cours vers OVH Object Storage ou similaire (UE) |
| Comptable / expert comptable OSA | Gestion comptable et fiscale | Belgique (UE) | Obligation légale + secret professionnel |
| Avocat / conseil OSA | Défense en justice si nécessaire | Belgique (UE) | Secret professionnel |
| Autorités compétentes (sur réquisition légale) | Obligation légale | Belgique / UE | Art. 6.1 c RGPD |
Principe. OSA privilégie systématiquement les prestataires basés dans l'Union européenne. Lorsqu'un transfert hors UE est strictement nécessaire (p. ex. certaines fonctions de Stripe), il repose sur les Clauses Contractuelles Types (CCT) 2021/914 complétées par le Data Privacy Framework (décision d'adéquation UE-USA du 10 juillet 2023), à l'exception des périmètres ne bénéficiant pas du DPF qui sont couverts par analyse d'impact sur les transferts (TIA).
OSA tient à disposition du Client, sur demande à contact@lawgi.tech, la liste tenue à jour des sous-traitants en vigueur et les éventuels changements.
7. Transferts hors Union européenne
Les transferts hors UE sont strictement limités aux situations mentionnées au §6. Ils sont encadrés :
- par une décision d'adéquation de la Commission européenne (p. ex. Data Privacy Framework pour les organisations américaines certifiées) ;
- à défaut, par des Clauses Contractuelles Types (décision UE 2021/914), complétées le cas échéant par des mesures supplémentaires (chiffrement, pseudonymisation, documentation du fournisseur) à la suite d'une Transfer Impact Assessment (TIA) ;
- dans tous les cas, les transferts portent sur le minimum de données strictement nécessaire à l'exécution du service.
Aucun transfert n'est opéré vers des pays sous sanctions internationales ou à niveau de protection manifestement insuffisant (Chine, Russie, etc.).
8. Cookies et traceurs
Voir la Politique de cookies : https://lawgi.tech/legal/cookies/
9. Durées de conservation
| Catégorie de données | Durée de conservation | Fondement |
|---|---|---|
| Prospection B2B — prospect non-client | 3 ans à compter du dernier contact (CNIL / APD) | Norme métier B2B |
| Client — compte actif | Pour la durée du Contrat + 1 an | Exécution contrat |
| Client — facturation et comptabilité | 10 ans à partir du dernier exercice | Art. III.86 CDE |
| Logs techniques — sécurité | 12 mois maximum | Art. 32 RGPD + guideline APD |
| Logs techniques — facturation MCP | 24 mois | Justification facturation |
| Emails de support | 3 ans à compter du dernier échange | Pertinence opérationnelle |
| Newsletters — abonnés | Jusqu'à désinscription + 6 mois | Intérêt légitime + preuve |
| Demandes d'exercice des droits | 5 ans | Art. 12 RGPD + preuve |
| Cookies (hors strictement nécessaires) | Selon consentement / bannière Complianz | Directive ePrivacy |
10. Droits des personnes
Vous disposez, sur les données personnelles vous concernant :
- d'un droit d'accès (art. 15 RGPD) : obtenir confirmation du traitement et en recevoir une copie ;
- d'un droit de rectification (art. 16 RGPD) : corriger des données inexactes ou incomplètes ;
- d'un droit à l'effacement (art. 17 RGPD) : demander la suppression lorsque les conditions sont réunies ;
- d'un droit à la limitation du traitement (art. 18 RGPD) ;
- d'un droit à la portabilité (art. 20 RGPD) pour les données fournies et traitées sur base du contrat ou du consentement ;
- d'un droit d'opposition (art. 21 RGPD), notamment au traitement fondé sur l'intérêt légitime, en ce compris la prospection directe, qui peut être exercé à tout moment et sans motif ;
- d'un droit de retirer son consentement à tout moment, lorsque le traitement est fondé sur le consentement (sans effet rétroactif) ;
- du droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques ou significatifs (art. 22 RGPD). OSA ne met pas en œuvre de telles décisions automatisées dans le cadre de la plateforme ;
- du droit d'introduire une réclamation auprès de l'Autorité de protection des données (APD) — rue de la Presse 35, 1000 Bruxelles — ou de l'autorité du pays de résidence du plaignant.
Pour exercer vos droits : écrivez à privacy@lawgi.tech ou adressez un courrier au siège d'OSA. Nous pourrons vous demander une preuve d'identité raisonnable. Réponse dans un délai d'un (1) mois, prolongeable de deux mois en cas de complexité (art. 12 RGPD).
11. Sécurité — Incidents
OSA applique des mesures techniques et organisationnelles adaptées au risque : chiffrement des communications (HTTPS), authentification renforcée (mots de passe complexes, 2FA administrateur), contrôle d'accès, journalisation, sauvegardes chiffrées, mises à jour logicielles régulières, politique d'entrée/sortie du personnel, limitation aux strictes nécessités professionnelles.
En cas de violation de données susceptible d'engendrer un risque élevé, OSA informe les personnes concernées dans les meilleurs délais et procède à la notification à l'APD dans les 72 heures (art. 33-34 RGPD).
12. Modifications
La présente Politique peut être mise à jour pour refléter des évolutions légales, jurisprudentielles, ou des changements dans l'organisation des traitements. La version en vigueur est celle publiée sur https://lawgi.tech/legal/privacy/. Les modifications substantielles sont notifiées aux Clients par email.
Version 1.0 en vigueur au 20 avril 2026. Éditée par Online Solution Attorney SRL — marque LawgiSkill.