Politique de confidentialité

1 Responsable du traitement

Le responsable du traitement des données à caractère personnel collectées via la plateforme Famylio est :

MOLDEREZ-CONSULT SRL
Société à responsabilité limitée de droit belge
Numéro d'entreprise : BE 0842.262.084
Siège social : Square Valère-Gille, 13 bte 5 — 1050 Ixelles, Belgique
E-mail : hello@famylio.com

La présente politique s'applique à tous les traitements de données effectués dans le cadre du site famylio.com, de l'application web Famylio et de l'ensemble des services associés, conformément au Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et à la loi belge du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel.

2 Délégué à la protection des données

MOLDEREZ-CONSULT SRL a désigné un point de contact pour la protection des données (DPO), joignable à :

E-mail : dpo@famylio.com
Adresse postale : DPO Famylio — Square Valère-Gille, 13 bte 5 — 1050 Ixelles, Belgique

Le DPO est votre interlocuteur privilégié pour toute question relative au traitement de vos données personnelles, à l'exercice de vos droits ou à toute préoccupation en matière de vie privée.

3 Données collectées

Nous collectons les catégories de données suivantes, selon le principe de minimisation (art. 5.1.c RGPD) :

Données d'identification : nom, prénom, adresse e-mail, nom de famille, ville, pays, photo de profil (optionnelle).

Données de connexion : identifiants de session, adresse IP, logs de connexion, date et heure d'accès, données de navigation (pages visitées, durée de session).

Données familiales : informations saisies volontairement par l'utilisateur dans les modules de la plateforme (calendrier familial, tâches, budget, santé, documents, contacts, etc.). Ces données constituent le cœur du service et sont traitées exclusivement pour la finalité choisie par l'utilisateur.

Données de facturation : historique des transactions, montants, dates de paiement, méthode de paiement (les données bancaires complètes ne sont jamais stockées sur nos serveurs — elles sont traitées par notre prestataire de paiement certifié PCI-DSS).

Données techniques : type d'appareil, système d'exploitation, version du navigateur, langue, résolution d'écran, fuseau horaire.

4 Finalités et bases légales

Vos données sont traitées aux fins suivantes, chacune reposant sur une base légale spécifique conformément à l'article 6 du RGPD :

Exécution du contrat (art. 6.1.b RGPD) :

— Création et gestion de votre compte Famylio
— Fourniture et personnalisation des services souscrits
— Gestion de la famille et des membres invités
— Support client et assistance technique
— Traitement des paiements et gestion des abonnements

Intérêt légitime (art. 6.1.f RGPD) :

— Sécurité de la plateforme et prévention des fraudes
— Amélioration continue des services et de l'expérience utilisateur
— Analyses statistiques anonymisées et agrégées
— Détection et prévention des abus
— Gestion des litiges et exercice des droits en justice

Obligation légale (art. 6.1.c RGPD) :

— Conservation des données de facturation conformément au droit fiscal belge (Code des impôts sur les revenus)
— Réponse aux réquisitions judiciaires ou administratives

Consentement (art. 6.1.a RGPD) :

— Envoi de communications marketing et newsletters
— Dépôt de cookies non essentiels
Vous pouvez retirer votre consentement à tout moment sans que cela affecte la licéité des traitements effectués avant le retrait.

5 Données des enfants et des familles

Famylio est une plateforme familiale. La protection des données des mineurs est notre priorité absolue.

Conformément à l'article 8 du RGPD et à la loi belge du 30 juillet 2018, Famylio respecte les règles suivantes :

Âge minimum : Seules les personnes âgées de 16 ans ou plus (ou l'âge fixé par la législation nationale applicable, entre 13 et 16 ans selon le pays de résidence) peuvent créer un compte Famylio. En Belgique, l'âge est fixé à 13 ans conformément à la loi du 30 juillet 2018.

Données relatives aux enfants : Les informations concernant les enfants de moins de 16 ans (prénoms, dates d'anniversaire, informations de santé, etc.) sont saisies exclusivement par les parents ou tuteurs légaux et stockées sous leur entière responsabilité et contrôle.

Consentement parental : Pour tout utilisateur de moins de 16 ans, le consentement vérifiable du titulaire de la responsabilité parentale est requis conformément à l'article 8.1 du RGPD. Nous mettons en œuvre des mesures raisonnables pour vérifier ce consentement.

Pas de profilage des mineurs : Aucune décision automatisée, aucun profilage et aucun ciblage publicitaire n'est effectué sur les données des mineurs.

Droit de suppression : Tout parent ou tuteur légal peut demander la suppression intégrale des données relatives à un enfant à tout moment en contactant dpo@famylio.com.

Données de santé : Les modules de santé de Famylio peuvent contenir des données de santé au sens de l'article 9 du RGPD (catégories spéciales). Ces données sont traitées sur la base du consentement explicite de l'utilisateur (art. 9.2.a RGPD), chiffrées au repos et en transit, et ne sont jamais partagées avec des tiers.

6 Durée de conservation

Nous appliquons le principe de limitation de la conservation (art. 5.1.e RGPD) :

Données de compte actif : conservées pendant toute la durée de la relation contractuelle et tant que le compte reste actif.

Après suppression du compte : les données personnelles sont anonymisées de manière irréversible ou supprimées définitivement dans un délai maximum de 30 jours calendaires. Les sauvegardes chiffrées sont purgées dans un délai de 90 jours.

Données de facturation : conservées 7 ans conformément à l'article 60 du Code de la TVA belge et à l'article 315 du Code des impôts sur les revenus.

Logs de connexion et de sécurité : conservés 12 mois glissants, conformément aux besoins de sécurité et aux obligations légales.

Données de consentement marketing : la preuve du consentement (date, heure, contenu) est conservée pendant 3 ans après le retrait du consentement, à des fins probatoires.

7 Destinataires et sous-traitants

Vos données personnelles ne sont jamais vendues, louées ou cédées à des tiers à des fins commerciales.

Elles peuvent être communiquées aux catégories de destinataires suivantes, exclusivement dans les limites nécessaires aux finalités décrites :

Sous-traitants techniques (art. 28 RGPD) :

— Hébergeur : serveurs situés dans l'Union européenne, liés par un contrat de traitement conforme au RGPD
— Prestataire de paiement : certifié PCI-DSS, ne recevant que les données strictement nécessaires au traitement des transactions
— Service d'envoi d'e-mails transactionnels : lié par un contrat de traitement, serveurs dans l'UE
— Services de sauvegarde et de stockage chiffré : serveurs dans l'UE

Tous nos sous-traitants sont soumis à des contrats de traitement (Data Processing Agreements) conformes à l'article 28 du RGPD. La liste détaillée de nos sous-traitants est disponible sur demande à dpo@famylio.com.

Autorités compétentes : vos données ne sont communiquées qu'en cas d'obligation légale impérative, de réquisition judiciaire ou d'injonction d'une autorité habilitée.

Membres de la famille : les données que vous choisissez de partager au sein de votre espace familial Famylio sont accessibles uniquement aux membres que vous avez invités et autorisés.

8 Transferts internationaux

Vos données sont hébergées et traitées exclusivement au sein de l'Espace Économique Européen (EEE).

Si, à titre exceptionnel, un transfert vers un pays tiers devait être nécessaire, nous nous engageons à mettre en place les garanties appropriées conformément au Chapitre V du RGPD (articles 44 à 49), notamment :

— Décision d'adéquation de la Commission européenne (art. 45 RGPD)
— Clauses contractuelles types (CCT) adoptées par la Commission européenne (art. 46.2.c RGPD)
— Règles d'entreprise contraignantes (BCR) le cas échéant (art. 47 RGPD)

Vous pouvez obtenir une copie des garanties mises en place en contactant dpo@famylio.com.

9 Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

Droit d'accès (art. 15) — obtenir confirmation que vos données sont traitées et recevoir une copie de l'ensemble de vos données personnelles dans un format lisible.

Droit de rectification (art. 16) — corriger des données inexactes ou compléter des données incomplètes.

Droit à l'effacement (art. 17) — demander la suppression de vos données (« droit à l'oubli »), notamment lorsque les données ne sont plus nécessaires aux finalités du traitement.

Droit à la limitation du traitement (art. 18) — obtenir la limitation du traitement dans certains cas (contestation de l'exactitude, traitement illicite, etc.).

Droit à la portabilité (art. 20) — recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON/CSV), et les transmettre à un autre responsable de traitement.

Droit d'opposition (art. 21) — vous opposer à tout moment aux traitements fondés sur l'intérêt légitime, y compris le marketing direct.

Droit de retrait du consentement (art. 7.3) — retirer votre consentement à tout moment, sans que cela n'affecte la licéité des traitements antérieurs.

Droit de ne pas faire l'objet d'une décision automatisée (art. 22) — voir la section dédiée ci-dessous.

Pour exercer vos droits : envoyez un e-mail à dpo@famylio.com en précisant votre demande et en joignant une copie de votre pièce d'identité. Nous répondrons dans un délai de 30 jours conformément à l'article 12.3 du RGPD (extensible à 60 jours pour les demandes complexes).

Droit d'introduire une réclamation : vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle de votre pays de résidence. En Belgique : l'Autorité de protection des données (APD) — www.autoriteprotectiondonnees.be — Rue de la Presse, 35 — 1000 Bruxelles — +32 2 274 48 00. Si vous résidez dans un autre pays de l'UE, vous pouvez contacter votre autorité nationale de protection des données.

10 Décision automatisée et profilage

Conformément à l'article 22 du RGPD, vous avez le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou vous affectant de manière significative.

Famylio ne procède à aucune décision automatisée au sens de l'article 22 du RGPD. Nous n'utilisons pas d'algorithmes pour prendre des décisions ayant des effets juridiques ou significatifs sur vous.

Profilage limité : nous pouvons utiliser des données agrégées et anonymisées à des fins statistiques (amélioration des services, analyse d'usage). Ce traitement n'a aucun effet juridique ni significatif sur les individus et ne constitue pas du profilage au sens de l'article 4(4) du RGPD.

11 Cookies et traceurs

Famylio utilise des cookies et technologies similaires conformément à la Directive 2002/58/CE (Directive ePrivacy) telle que transposée par la loi belge du 13 juin 2005.

Cookies strictement nécessaires (dispensés de consentement conformément à l'art. 5.3 de la Directive ePrivacy) :

— Cookie de session (PHPSESSID) : gestion de la connexion utilisateur, durée : session
— Préférences de langue : sauvegarde de la langue choisie, durée : 12 mois
— Jeton CSRF : protection contre les attaques de type cross-site request forgery, durée : session
— Préférences de thème : mode clair/sombre, durée : 12 mois

Cookies non essentiels : aucun cookie publicitaire, de traçage ou d'analyse comportementale n'est déposé sans votre consentement explicite et préalable. En cas d'utilisation future de cookies analytiques (type anonymisé), votre consentement sera sollicité.

Vous pouvez gérer vos préférences de cookies via les paramètres de votre navigateur. La suppression des cookies essentiels peut affecter le fonctionnement de la plateforme.

12 Sécurité des données

MOLDEREZ-CONSULT SRL met en œuvre des mesures techniques et organisationnelles appropriées conformément à l'article 32 du RGPD pour garantir un niveau de sécurité adapté aux risques :

Mesures techniques :

— Chiffrement TLS 1.2+ pour toutes les communications (HTTPS obligatoire)
— Chiffrement AES-256 au repos pour les données sensibles (santé, IBAN)
— Hachage bcrypt des mots de passe (jamais stockés en clair)
— Protection CSRF sur tous les formulaires
— En-têtes de sécurité HTTP (Content-Security-Policy, X-Frame-Options, HSTS)
— Pare-feu applicatif (WAF) et surveillance 24/7

Mesures organisationnelles :

— Accès aux données restreint au strict nécessaire (principe du moindre privilège)
— Journalisation et audit des accès aux données personnelles
— Formation du personnel aux enjeux de protection des données
— Procédures de réponse aux incidents documentées
— Tests de sécurité réguliers (audits, tests de pénétration)

13 Notification de violation de données

Conformément aux articles 33 et 34 du RGPD, en cas de violation de données à caractère personnel :

Notification à l'autorité de contrôle (art. 33) : MOLDEREZ-CONSULT SRL notifiera l'Autorité de protection des données belge (APD) dans un délai de 72 heures après en avoir pris connaissance, sauf si la violation n'est pas susceptible d'engendrer un risque pour les droits et libertés des personnes concernées.

Communication aux personnes concernées (art. 34) : si la violation est susceptible d'engendrer un risque élevé pour vos droits et libertés, nous vous en informerons dans les meilleurs délais par e-mail et/ou notification sur la plateforme, en décrivant la nature de la violation, les conséquences probables et les mesures prises ou proposées.

MOLDEREZ-CONSULT SRL tient un registre de toutes les violations de données conformément à l'article 33.5 du RGPD.

14 Modifications de la politique

Nous nous réservons le droit de modifier la présente politique de confidentialité afin de la maintenir conforme au droit applicable et à nos pratiques.

Modifications mineures : mises à jour éditoriales ou clarifications — entrée en vigueur à la date de publication sur le site.

Modifications substantielles : toute modification affectant les finalités du traitement, les catégories de données collectées, les destinataires ou vos droits vous sera notifiée par e-mail et/ou par notification sur la plateforme au moins 30 jours avant son entrée en vigueur. Si vous n'acceptez pas les modifications, vous pourrez supprimer votre compte avant leur entrée en vigueur.

La version en vigueur de cette politique est toujours accessible à l'adresse /legal/privacy.php.