Politique de Confidentialité

Traitement des données via la plateforme HelpingHands

En vigueur: 20 avril 2026 Version 1.6 Publié par VDGT Consultancy BV

1. Responsable du traitement et DPD

VDGT Consultancy BV (ci-après : « nous »), BCE 1004820426, est le responsable du traitement au sens du RGPD (Règlement (UE) 2016/679) pour toutes les données à caractère personnel traitées via HelpingHands. VDGT Consultancy BV n’a pas désigné de Délégué à la protection des données formel (l’art. 37 RGPD ne l’exige pas actuellement pour notre échelle de traitement). Pour les questions relatives à la vie privée, les demandes d’exercice de droits et toute question de protection des données, le point de contact est : [email protected]. Autorité de contrôle compétente : Autorité de protection des données (APD) — autoriteprotectiondonnees.be

2. À propos de la plateforme

HelpingHands est une place de marché mobile (iOS/Android) pour des sessions d’aide vidéo, exploitée par VDGT Consultancy BV. Proposée aux résidents de l’Espace économique européen (EEE : les 27 États membres de l’UE ainsi que l’Islande, le Liechtenstein et la Norvège).

3. Quelles données traitons-nous ?

3.1 Données de compte

Adresse e-mail, prénom, nom de famille ;
Photo de profil (facultative — base64 dans PostgreSQL) ;
Bio, slogan, préférence de langue, langues parlées ;
Type de compte et données professionnelles (helpers professionnels : BCE, TVA, nom, adresse, e-mail de facturation) ;
Date et version des Conditions que vous avez acceptées en dernier ;
Informations sur le statut du compte (motif de suspension, date de suppression prévue).

3.2 Authentification

Mot de passe (haché — jamais lisible) ;
Identifiant de compte Google ou Apple (connexion sociale).

3.3 Données financières

IBAN et nom du titulaire du compte (pour l’intégration Stripe Connect) ;
Montants des transactions et identifiants PaymentIntent Stripe (pas de données de carte) ;
Identifiants de virement de versement.

3.4 Activité sur la plateforme

Demandes d’aide, réponses des helpers, avis, pourboires, badges, évaluations de qualité de session ;
Tickets d’assistance et réponses (corps du message, auteur, horodatages) ;
Blocages et signalements d’abus que vous soumettez ou qui sont soumis à votre encontre (identifiants utilisateurs, horodatage, catégorie, motif facultatif) ;
Vos compétences de helper (catégorie, sous-catégorie, niveau de compétence auto-déclaré).

3.5 Données techniques et opérationnelles

Jeton d’appareil FCM (notifications push — aucune donnée de localisation, aucun suivi) ;
Préférences de notification.

3.5.1 Journalisation opérationnelle (sécurité et diagnostic)

Des journaux opérationnels sont tenus pour la sécurité, la stabilité et le diagnostic des pannes de la plateforme. Cela couvre trois couches :

Journaux d’application personnalisés via OpenObserve Cloud (eu1-api.openobserve.ai, région UE conformément à notre configuration de déploiement) : contiennent uniquement des ID utilisateurs (entiers), des descriptions d’actions et des messages d’erreur — pas d’adresses e-mail, de noms ou autres identifiants personnels directs. Conservés 90 jours maximum.
Journaux de session Serverpod (niveau framework) : le framework backend traite automatiquement les données de session et d’authentification pour le diagnostic interne. Conservés selon le paramètre par défaut du framework.
Journaux d’accès nginx ingress (proxy inverse) : contiennent les adresses IP, les chemins de requête et les codes de statut HTTP. Pas de données de compte. Conservés 30 jours maximum.

Base légale pour toute journalisation opérationnelle : intérêt légitime (art. 6.1.f RGPD) — nécessaire pour la sécurité de la plateforme, la prévention de la fraude et la continuité technique. Aucun profil utilisateur n’est construit à partir des données de journal et celles-ci ne sont pas utilisées à des fins marketing.

4. Bases légales et finalités

Exécution d’un contrat (art. 6.1.b RGPD) : gestion des comptes, sessions, paiements ;
Intérêt légitime (art. 6.1.f RGPD) : sécurité, prévention de la fraude, notifications push, journalisation opérationnelle (voir art. 3.5.1) ;
Obligation légale (art. 6.1.c RGPD) : obligation de conservation financière d’au moins 7 ans en vertu de la législation comptable belge (art. III.86 Code de droit économique) ;
Consentement (art. 6.1.a RGPD) : contenu de profil facultatif, marketing.

5. Durées de conservation

Données de compte : jusqu’à la suppression + période de grâce de 30 jours ;
Données de transaction : au moins 7 ans (obligation comptable belge, art. III.86 Code de droit économique) ; plus longtemps si la législation applicable l’exige ;
Descriptions de demandes d’aide : anonymisées lors de la suppression ;
Journaux serveur : max. 90 jours (personnalisés) / 30 jours (framework/proxy) ;
Exports de données : expirent après 48 heures.

6. Sous-traitants et transferts de données

6.1 Sous-traitants

Stripe, Inc. (É.-U.) — paiements et Stripe Connect. Transfert sur base de CCT et du cadre UE-É.-U. sur la protection des données (« DPF »). DPA Stripe applicable ;
Google LLC / Firebase (É.-U.) — notifications push FCM uniquement. Transfert sur base de CCT et DPF. DPA Google applicable ;
Agora, Inc. — appels vidéo via des jetons côté serveur ; aucune DCP transférée ;
AWS SES (eu-west-1) — e-mails transactionnels. Traitement dans l’UE. DPA AWS + CCT ;
OpenObserve Cloud (eu1-api.openobserve.ai, région UE conformément à notre configuration de déploiement) — agrégation des journaux opérationnels. Les journaux contiennent des ID utilisateurs et des adresses IP, pas d’adresses e-mail ni de noms ;
Amazon Web Services, Inc. (eu-west-1) — sauvegardes chiffrées de la base de données (PITR) et stockage des photos de demandes d’aide via S3. Les données restent dans la région UE. DPA AWS applicable.

6.2 Pas d’analyse ni de publicité

HelpingHands n’utilise aucun SDK d’analyse, pixel de suivi ou réseau publicitaire.

6.3 Résumé des transferts hors EEE

Uniquement vers des sous-traitants conformes à : une décision d’adéquation, des CCT, ou le cadre UE-É.-U. sur la protection des données (DPF).

7. Vos droits

Accès (art. 15 RGPD) : Paramètres → Télécharger mes données ;
Rectification (art. 16 RGPD) : via Paramètres ;
Effacement (art. 17 RGPD) : Paramètres → Supprimer le compte (période de grâce de 30 jours) ;
Portabilité (art. 20 RGPD) : export JSON ;
Limitation (art. 18) et opposition (art. 21) : via [email protected].

Pour les demandes qui ne peuvent pas être traitées directement via votre compte (par ex. opposition, limitation, ou accès pour le compte d’autrui), nous pouvons vérifier votre identité avant de communiquer, rectifier ou effacer des données. Une confirmation depuis l’adresse e-mail liée à votre compte suffit généralement ; en cas de doute, nous pouvons demander une copie d’un document d’identité valide (vous pouvez masquer le numéro de registre national et la photo).

Vous pouvez retirer à tout moment un consentement préalablement donné via [email protected] ou les paramètres de l’appli. Le retrait n’affecte pas la licéité du traitement effectué avant le retrait. Après retrait, certaines fonctionnalités reposant sur ce consentement peuvent ne plus être disponibles.

Les demandes sont traitées dans les 30 jours.

8. Prise de décision automatisée

Algorithmes de mise en correspondance pour les demandes d’aide et les helpers. Aucune décision ayant des effets juridiques sans intervention humaine.

9. Sécurité

HTTPS via nginx ingress + cert-manager (TLS 1.2+) ;
Mots de passe hachés ; Stripe PCI DSS ; jetons d’export 64 caractères, valables 48h ;
HMAC-SHA256 webhook + protection contre la rejouabilité ; sauvegardes PITR PostgreSQL vers S3 (UE, 30 jours).

10. Réclamation auprès de l’autorité de contrôle

Autorité de protection des données (APD) — autoriteprotectiondonnees.be — formulaire de plainte : https://www.gegevensbeschermingsautoriteit.be/burger/acties/klacht-indienen

11. Modifications

Les modifications substantielles sont notifiées par e-mail. Dernière version : https://app.helping-hands.world/legal/privacy_fr.pdf

12. Contact

VDGT Consultancy BV — BCE 1004820426 — [email protected]