Politique de confidentialité

Dernière mise à jour : 24 mai 2026

La présente Politique de confidentialité (ci-après « Politique ») décrit la manière dont Goscript collecte, utilise, conserve et protège les données personnelles des Utilisateurs du Service, conformément au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après « RGPD »), à la loi belge du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, ainsi qu'à l'ensemble des textes d'application.

Cette Politique s'applique à tout Utilisateur qui accède au Service Goscript, crée un compte, uploade un fichier audio ou souscrit à un Abonnement. Elle doit être lue conjointement avec les Conditions Générales d'Utilisation (CGU) et, le cas échéant, les Conditions Générales de Vente (CGV).

1. Qui est le responsable du traitement ?

Au sens de l'article 4.7 du RGPD, le responsable du traitement des données personnelles collectées dans le cadre du Service est :

Kévin Delporte Personne physique exerçant en nom propre (SRL Goscript en cours de constitution) Adresse postale : [à compléter — adresse postale] Email : geometre1470@gmail.com

Tant que la SRL Goscript n'est pas formellement constituée et immatriculée, Kévin Delporte, personne physique, assume seul la qualité de responsable du traitement et les obligations qui en découlent au regard du RGPD. Dès l'immatriculation effective de la SRL, cette qualité sera automatiquement transférée à la société, sans modification de la présente Politique, et les Utilisateurs en seront informés dans les conditions prévues à la section 15.

2. Point de contact protection des données

Pour toute question concernant le traitement de vos données personnelles, vous pouvez contacter le point de contact protection des données de Goscript.

3. Quelles données collectons-nous ?

Le tableau ci-dessous récapitule les finalités du traitement, les données collectées, la base légale de chaque traitement (au sens de l'art. 6.1 RGPD) et la durée de conservation.

Les données personnelles collectées par Goscript se limitent au strict nécessaire au regard de chaque finalité poursuivie (principe de minimisation, art. 5.1.c RGPD). Goscript ne collecte pas de données relevant des catégories particulières visées à l'article 9 du RGPD (données de santé, opinions politiques, croyances religieuses, données biométriques, etc.), sauf si l'Utilisateur les inclut volontairement dans un fichier audio qu'il uploade, auquel cas leur traitement repose sur le consentement explicite résultant de cet upload.

4. Durées de conservation

Le tableau de la section 3 précise pour chaque traitement la durée de conservation applicable. Les règles générales suivantes s'appliquent :

• Données de compte (nom, email, préférences) : conservées tant que le compte est actif, puis supprimées dans un délai de 30 jours suivant la résiliation ou la demande de suppression du compte.
• Fichiers audio uploadés : purgés immédiatement après la fin de l'opération de transcription — voir la section 5 pour l'engagement spécifique.
• Transcriptions : conservées tant que le compte est actif. L'Utilisateur peut les supprimer manuellement à tout moment depuis son espace personnel.
• Données de paiement (jetons Stripe, derniers chiffres de carte) : conservées le temps de la relation contractuelle, puis archivées conformément aux obligations légales applicables.
• Données comptables et factures : conservées 7 ans conformément à l'article III.86 du Code de droit économique belge (CDE), qui impose une durée minimale de conservation des pièces justificatives comptables.
• Logs d'audit de sécurité : conservés 90 jours puis supprimés automatiquement (voir section 9).
• Données liées aux cookies fonctionnels et analytiques : conformément à la durée indiquée dans la Politique cookies.

À l'expiration de chaque durée de conservation, les données sont soit supprimées définitivement, soit anonymisées de manière irréversible, de façon à ne plus permettre l'identification directe ou indirecte d'une personne physique.

5. Audio dicté — engagement spécifique

Goscript prend un engagement ferme et contractuel sur le traitement des fichiers audio :

« Le fichier audio que vous uploadez est traité immédiatement par notre moteur de transcription puis purgé de nos systèmes dans la foulée. Goscript ne conserve jamais l'audio au-delà du temps strictement nécessaire à sa transcription. »

Concrètement, cela signifie que le fichier audio est transmis au moteur de transcription (voir section 6 pour les sous-traitants concernés), puis supprimé de l'ensemble des systèmes de Goscript, y compris des éventuels systèmes de stockage temporaire, dès que le résultat de la transcription est disponible. Aucune copie de l'audio n'est conservée à des fins de sauvegarde, d'amélioration du service ou d'entraînement de modèles (voir aussi section 8).

Cet engagement constitue une obligation de résultat. En cas de violation technique de cette règle, Goscript s'engage à en informer l'Utilisateur concerné et l'Autorité de Protection des Données conformément à la procédure décrite à la section 16.

6. À qui sont communiquées vos données ?

Goscript ne vend, ne loue et ne cède jamais vos données personnelles à des tiers à des fins commerciales. Goscript fait appel à des sous-traitants techniques pour fournir le Service. Chaque sous-traitant est lié par un Data Processing Agreement (DPA) conforme à l'article 28 du RGPD, qui lui interdit notamment d'utiliser vos données à d'autres fins que la prestation de service commandée et d'entraîner des modèles d'IA avec vos données.

En cas de changement de sous-traitant présentant un impact sur la protection des données, les Utilisateurs en sont informés selon les modalités prévues à la section 15. La liste complète et à jour des sous-traitants est également consultable via le tableau ci-dessus.

7. Transferts hors UE

Certains sous-traitants sont susceptibles de traiter vos données depuis les États-Unis, notamment OpenAI et Anthropic selon la configuration active. Ces transferts sont encadrés par les garanties suivantes :

1. Clauses Contractuelles Types (SCC) 2021/914 de la Commission européenne : ces clauses, adoptées par la décision d'exécution 2021/914 du 4 juin 2021, sont signées avec chaque sous-traitant établi hors de l'Espace Économique Européen. Elles constituent une garantie appropriée au sens de l'article 46.2.c du RGPD et imposent aux destinataires des obligations contractuelles équivalentes à celles du RGPD.

2. Data Privacy Framework (DPF) UE-US : les sous-traitants américains certifiés au titre du DPF bénéficient d'un niveau de protection adéquat reconnu par la décision d'adéquation de la Commission européenne du 10 juillet 2023 (décision 2023/1795). Cette certification est vérifiée périodiquement par Goscript via le registre officiel du DPF (dataprivacyframework.gov).

3. Évaluation d'impact sur le transfert (TIA) : conformément à la jurisprudence Schrems II (CJUE, 16 juillet 2020, C-311/18) et aux recommandations 01/2020 du Comité Européen de la Protection des Données (CEPD), Goscript procède à une évaluation périodique du niveau de protection effective offert par les pays tiers destinataires. Cette évaluation tient compte de l'accès des autorités publiques aux données et des voies de recours disponibles pour les personnes concernées.

L'Utilisateur peut s'opposer à ces transferts en désactivant les fonctionnalités concernées. Un panneau de paramétrage utilisateur permettant de gérer ces préférences est en cours de développement. Pour exercer ce droit aujourd'hui, contacter geometre1470@gmail.com.

8. Engagement « pas d'entraînement IA »

L'engagement de Goscript sur ce point est absolu et s'applique à l'ensemble de la chaîne de traitement :

« Goscript s'engage à ne jamais utiliser le contenu des audios et transcriptions des Utilisateurs pour entraîner, ré-entraîner ou affiner un modèle d'intelligence artificielle, ni le sien ni celui d'un tiers. Cette interdiction lie également les sous-traitants de Goscript, qui s'y sont contractuellement engagés. »

Cet engagement figure dans chaque DPA conclu avec les sous-traitants qui traitent des fichiers audio ou des transcriptions. En particulier :

• OpenAI est utilisé via son API en mode « non-entraînement » (opt-out activé) : les données transmises via l'API OpenAI ne sont pas utilisées pour entraîner les modèles d'OpenAI, conformément à la politique d'utilisation des données d'OpenAI pour les clients API.
• Anthropic bénéficie du même régime : les données transmises via l'API Anthropic en mode commercial ne sont pas utilisées à des fins d'entraînement sans consentement explicite.

En cas de changement de politique d'un sous-traitant qui remettrait en cause cet engagement, Goscript s'engage à en informer les Utilisateurs et, si nécessaire, à mettre fin à la relation contractuelle avec ce sous-traitant ou à trouver une alternative technique préservant cet engagement.

9. Sécurité des données

Conformément à l'article 32 du RGPD, Goscript met en œuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque présenté par les traitements.

Mesures techniques

• Chiffrement en transit : TLS 1.3 sur l'intégralité des communications entre le client (navigateur) et les serveurs de Goscript, sans possibilité de fallback vers des versions antérieures du protocole.
• Chiffrement au repos : chiffrement AES-256 appliqué à l'ensemble de la base de données Supabase (PostgreSQL), y compris les sauvegardes.
• Hashage des mots de passe : algorithme bcrypt avec facteur de coût adapté aux recommandations OWASP en vigueur, garantissant la résistance aux attaques par force brute et par table arc-en-ciel.
• Row-Level Security (RLS) PostgreSQL : isolation stricte des données par user_id au niveau de la base de données, de sorte qu'aucune requête ne peut accéder aux données d'un autre Utilisateur, même en cas de bug applicatif.
• Logs d'audit : journalisation des événements de sécurité significatifs (connexions, tentatives échouées, modifications de données sensibles), conservés 90 jours puis supprimés automatiquement.
• En-têtes de sécurité HTTP : Content-Security-Policy, Strict-Transport-Security (HSTS), X-Frame-Options, X-Content-Type-Options configurés sur l'ensemble des réponses serveur.

Mesures organisationnelles

• Authentification multi-facteurs (MFA) obligatoire pour tous les accès administrateur aux systèmes de production.
• Principe du moindre privilège : chaque collaborateur ou système n'accède qu'aux données strictement nécessaires à sa fonction ; aucun accès n'est accordé par défaut.
• Procédure de notification de violation : Goscript dispose d'une procédure documentée pour détecter, qualifier et notifier les violations de données conformément aux articles 33 et 34 du RGPD (voir aussi section 16).
• Revue annuelle des sous-traitants : audit annuel de la conformité des sous-traitants, incluant la vérification de leurs certifications (ISO 27001, SOC 2, DPF) et de l'actualité de leurs DPA.
• Tests de pénétration : audits de sécurité périodiques visant à identifier et corriger les vulnérabilités avant qu'elles ne soient exploitées.

Aucun système d'information n'est infaillible. Goscript ne garantit pas une sécurité absolue mais s'engage à mettre en œuvre l'état de l'art raisonnablement applicable à sa taille et aux risques identifiés.

10. Vos droits

En tant que personne concernée, le RGPD vous confère huit droits fondamentaux sur vos données personnelles :

1. Droit d'accès (art. 15 RGPD) : obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie.
2. Droit de rectification (art. 16 RGPD) : faire corriger des données inexactes ou compléter des données incomplètes.
3. Droit à l'effacement (art. 17 RGPD) : obtenir la suppression de vos données dans les conditions prévues par le RGPD (« droit à l'oubli »).
4. Droit à la limitation du traitement (art. 18 RGPD) : obtenir la suspension temporaire du traitement en attendant une vérification ou une rectification.
5. Droit à la portabilité (art. 20 RGPD) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable.
6. Droit d'opposition (art. 21 RGPD) : s'opposer au traitement de vos données, notamment à des fins de prospection commerciale.
7. Droit au retrait du consentement (art. 7.3 RGPD) : retirer votre consentement à tout moment, sans que ce retrait affecte la licéité du traitement fondé sur le consentement préalablement donné.
8. Droit de donner des directives post-mortem (art. 71 loi belge du 30 juillet 2018) : définir des directives sur le sort de vos données après votre décès.

Le tableau ci-dessous détaille chaque droit, la référence RGPD applicable et la marche à suivre pour l'exercer :

11. Comment exercer vos droits

Pour exercer l'un des droits listés à la section 10, envoyez un email à geometre1470@gmail.com en indiquant :

• Le droit que vous souhaitez exercer (ex. : « droit d'accès », « droit à l'effacement ») ;
• Les données ou catégories de données concernées, si applicable ;
• Une copie d'une pièce d'identité en cours de validité (carte d'identité ou passeport), à des fins de vérification de votre identité. Cette pièce est utilisée exclusivement pour répondre à votre demande et supprimée ensuite.

Goscript accuse réception de votre demande dans les meilleurs délais et y répond dans un délai maximum d'un mois à compter de la réception de la demande complète, conformément à l'article 12.3 du RGPD. Ce délai peut être prorogé de deux mois supplémentaires en cas de demande particulièrement complexe ou en raison d'un nombre important de demandes simultanées ; Goscript vous en informe alors dans le délai d'un mois en précisant les raisons du report.

Si votre demande est manifestement infondée ou excessive (notamment en raison de son caractère répétitif), Goscript se réserve le droit, conformément à l'article 12.5 du RGPD, soit d'exiger le paiement de frais raisonnables tenant compte des coûts administratifs, soit de refuser de donner suite à la demande, en motivant ce refus.

Goscript ne facture pas les demandes présentées pour la première fois et traitées dans le délai légal.

12. Recours auprès de l'APD belge

Si vous estimez que Goscript ne traite pas vos données personnelles conformément au RGPD ou à la législation belge applicable, vous disposez du droit d'introduire une réclamation sans frais auprès de l'Autorité de Protection des Données (APD) belge, l'autorité de contrôle nationale compétente :

• Adresse : Rue de la Presse 35, 1000 Bruxelles
• Site web : https://www.autoriteprotectiondonnees.be
• Email : contact@apd-gba.be
• Formulaire en ligne : https://www.autoriteprotectiondonnees.be/citoyen/agir

Ce recours est sans préjudice de tout autre recours administratif ou juridictionnel. Vous pouvez notamment exercer un recours juridictionnel devant les tribunaux belges compétents si vous estimez avoir subi un préjudice du fait d'un traitement illicite de vos données.

Goscript encourage cependant les Utilisateurs à le contacter en priorité à geometre1470@gmail.com afin de résoudre amiablement tout différend relatif au traitement des données personnelles, avant d'introduire une réclamation auprès de l'APD.

13. Cookies

L'utilisation de cookies par Goscript — leur nature (techniques, analytiques, de préférence), leur durée de vie, et les moyens de les refuser — est détaillée dans notre Politique cookies. Nous vous invitons à consulter ce document pour une information complète sur les traceurs déposés par le Service.

En résumé, Goscript n'utilise pas de cookies publicitaires ou de traçage à des fins commerciales. Les cookies utilisés sont limités aux cookies strictement nécessaires au fonctionnement du Service et, avec votre consentement, aux cookies analytiques permettant d'améliorer l'expérience utilisateur.

14. Sous-traitance pour clients professionnels (DPA disponible)

Pour les clients professionnels — cabinets d'avocats, d'architectes, d'experts-comptables, entreprises, administrations ou toute autre organisation — qui agissent en tant que responsables de traitement au sens de l'article 4.7 du RGPD et qui confient à Goscript le traitement de données personnelles de leurs propres clients, collaborateurs ou mandants, Goscript agit en qualité de sous-traitant au sens de l'article 4.8 du RGPD.

Dans ce contexte, la conclusion d'un Data Processing Agreement (DPA) conforme à l'article 28 du RGPD est obligatoire avant tout traitement. Ce DPA précise notamment :

• L'objet, la durée, la nature et la finalité du traitement confié à Goscript ;
• Les catégories de données personnelles et les catégories de personnes concernées ;
• Les obligations et droits du responsable du traitement (le client) ;
• Les obligations de Goscript en qualité de sous-traitant (confidentialité, sécurité, assistance, suppression ou restitution des données) ;
• Les conditions dans lesquelles Goscript peut faire appel à des sous-traitants ultérieurs.

Pour toute demande de DPA ou question relative à l'utilisation professionnelle du Service, contactez geometre1470@gmail.com en précisant votre secteur d'activité et le volume estimé de traitements.

15. Modifications de la présente politique

Goscript peut faire évoluer la présente Politique pour refléter des changements dans le Service, dans la réglementation applicable, dans les pratiques de traitement ou dans la liste des sous-traitants.

Modifications mineures (corrections orthographiques, précisions rédactionnelles sans impact sur les droits des Utilisateurs) : publiées sans préavis, avec mise à jour de la date figurant en bas de page.

Modifications matérielles (nouvelles finalités, nouveaux transferts, modification substantielle des droits des Utilisateurs) : notifiées par email à l'ensemble des Utilisateurs actifs au moins 30 jours avant leur entrée en vigueur. L'Utilisateur qui s'opposerait aux modifications notifiées peut demander la suppression de son compte avant la date d'entrée en vigueur, sans frais et sans obligation de motiver sa décision.

L'historique complet des versions de la présente Politique est consultable via le lien « voir l'historique » figurant en bas de cette page. Chaque version archivée précise sa date de publication et la liste des modifications apportées par rapport à la version précédente.

La poursuite de l'utilisation du Service après la date d'entrée en vigueur d'une modification vaut acceptation de la Politique dans sa version révisée.

16. Notification de violation de données

Goscript dispose d'une procédure documentée pour traiter les violations de données à caractère personnel au sens de l'article 4.12 du RGPD (destruction, perte, altération, divulgation ou accès non autorisé).

Conformément aux articles 33 et 34 du RGPD :

• Notification à l'APD : toute violation de données est notifiée à l'Autorité de Protection des Données belge dans un délai de 72 heures après que Goscript en a pris connaissance, sauf si la violation n'est pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Si la notification complète ne peut être fournie dans ce délai, une notification initiale est transmise et complétée ultérieurement, conformément à l'article 33.4 du RGPD.

• Notification aux Utilisateurs concernés : les Utilisateurs directement affectés par une violation présentant un risque élevé pour leurs droits et libertés sont notifiés individuellement par email, dans les meilleurs délais, avec une description claire de la nature de la violation, des données concernées, des conséquences probables et des mesures prises ou envisagées par Goscript.

• Registre interne des violations : conformément à l'article 33.5 du RGPD, Goscript tient un registre interne documentant l'ensemble des violations de données, y compris celles pour lesquelles une notification à l'APD n'a pas été jugée nécessaire. Ce registre est tenu à la disposition de l'APD en cas de contrôle.

En cas de doute ou de question sur une violation potentielle vous concernant, vous pouvez contacter geometre1470@gmail.com.

17. Date de dernière mise à jour

La présente Politique est entrée en vigueur le 24 mai 2026. La date de dernière mise à jour figure en bas de cette page et est actualisée à chaque modification, conformément aux règles définies à la section 15.

Dernière mise à jour le 24 mai 2026 · voir l'historique