Art. 1 Identité du responsable du traitement & Délégué à la Protection des Données

Le responsable du traitement des données collectées via la plateforme KLAVIA (ci-après la « Plateforme », accessible à klavia.ai) est :

Au sens de l'article 4, point 7, du RGPD, KlavIA SRL détermine les finalités et les moyens du traitement des données à caractère personnel réalisé dans le cadre de l'exploitation de la Plateforme.

1.1 Délégué à la Protection des Données (DPO)

Conformément à l'article 37 du RGPD, KLAVIA a désigné un Délégué à la Protection des Données (DPO). La désignation d'un DPO est justifiée par le fait que les activités de la Plateforme impliquent un traitement à grande échelle de données juridiques pouvant comprendre des données relatives à des condamnations pénales et infractions (Art. 10 RGPD), ainsi que des données de santé susceptibles d'apparaître dans certains dossiers (Art. 9 RGPD).

Le DPO surveille le respect du RGPD et de la loi belge du 30 juillet 2018, conseille KLAVIA sur les obligations en matière de protection des données, et constitue le point de contact des personnes concernées pour l'exercice de leurs droits. Le DPO de KLAVIA est dûment notifié à l'APD belge conformément à l'Art. 37.7 du RGPD.

Référence : Art. 4(7), Art. 24, Art. 37-39 RGPD — Loi belge du 30 juillet 2018, Art. 23.

Art. 2 Données collectées

2.1 Données d'identification

Lors de la création de votre compte ou de l'utilisation de la Plateforme, nous collectons :

• Nom, prénom
• Adresse e-mail
• Numéro de téléphone
• Adresse postale

2.2 Données professionnelles (avocats)

Pour les avocats inscrits sur la Plateforme, des données supplémentaires sont collectées :

• Numéro de barreau et ordre d'appartenance
• Spécialités juridiques
• Numéro IBAN (pour les virements de rémunération)
• Numéro de TVA professionnelle
• Photo de profil
• Disponibilités et calendrier de consultation

2.2bis Données professionnelles (Professionnels — Marketplace Pro)

Pour les utilisateurs inscrits sur la Marketplace Pro (rôle « pro »), les données suivantes sont collectées :

• Nom, prénom ou dénomination commerciale
• Catégorie professionnelle (expert-comptable, notaire, médiateur, conseiller en entreprise, etc.)
• Coordonnées professionnelles (adresse, téléphone, site web)
• Photo de profil
• Numéro de TVA (le cas échéant)
• Paramètre de visibilité du profil : « public » (référencé dans la Marketplace) ou « lien uniquement » (accessible uniquement via URL directe)

Base légale : exécution du contrat (Art. 6.1.b RGPD). Ces données sont nécessaires à la mise en ligne du profil professionnel sur la Marketplace.

2.3 Données de consultation, dossiers et formulaires d'intake

Dans le cadre des consultations juridiques et de la mise en relation, la Plateforme traite :

• Sujet juridique et domaine légal concerné
• Données des formulaires d'intake : description de la situation juridique saisie par le client lors de la prise de contact ou de la réservation (catégorie juridique sélectionnée, description libre de la situation, pièces jointées)
• Notes de séance rédigées par l'avocat
• Résumés générés par intelligence artificielle (Claude/Anthropic)
• Documents joints (pièces, contrats, justificatifs)
• Contrats générés par l'IA
• Données de recouvrement (créances, débiteurs, montants)
• Données Pro Deo : revenus déclarés et composition familiale (le cas échéant)
• Métadonnées de réservation : type de consultation choisi, créneau réservé, fichier iCalendar généré

Base légale : exécution du contrat (Art. 6.1.b RGPD). Les données saisies dans les formulaires d'intake sont soumises au secret professionnel de l'avocat dès leur transmission. Elles ne sont partagées qu'avec l'avocat concerné et, le cas échéant, traitées par l'IA (Anthropic Claude) pour une première orientation, conformément à l'Art. 2.6 ci-après.

2.4 Données de paiement

Les paiements sont traités par Stripe Inc. KLAVIA ne stocke jamais les numéros de carte bancaire ni les données sensibles de paiement. Nous conservons uniquement :

• La référence de transaction Stripe
• Le montant et la devise
• La date et le statut du paiement

2.5 Données de messagerie interne

La Plateforme propose une messagerie sécurisée entre clients et avocats. Le contenu des messages échangés est stocké dans notre base de données hébergée dans l'Union européenne. Nous collectons également les métadonnées des messages (date, heure, identité de l'expéditeur et du destinataire, statut de lecture). Le contenu des messages reste confidentiel et accessible uniquement aux parties du dossier concerné.

2.5bis Données de vidéoconférence (Jitsi Meet)

Les consultations vidéo se déroulent via Jitsi Meet, un logiciel open source de vidéoconférence. KLAVIA génère un lien de réunion unique pour chaque consultation. Jitsi Meet peut être utilisé via les serveurs publics de 8x8 Inc. ou via un serveur auto-hébergé. Durant la session vidéo, les flux audio et vidéo sont traités directement entre les participants (modèle pair-à-pair). KLAVIA ne stocke pas les enregistrements des appels vidéo. Seule l'existence de la réunion (horodatage, lien, participants) est conservée dans nos systèmes à des fins de preuve de réalisation de la consultation.

2.5ter Données de stockage de documents

Les documents téléchargés sur la Plateforme (pièces justificatives, contrats, lettres de mise en demeure, documents signés) sont stockés dans notre base de données hébergée dans l'Union européenne (Supabase). Nous collectons : le nom du fichier, le type MIME, la taille, la date de téléchargement et l'identifiant du dossier associé. L'accès aux documents est strictement limité aux parties du dossier concerné.

2.5ter bis Données du Classeur IA

Le service Classeur IA permet le téléchargement et l'analyse de documents par intelligence artificielle. Dans ce cadre, KLAVIA collecte et traite :

• Le contenu des documents téléchargés (PDF, Word, images) — ces documents sont envoyés à l'API Anthropic Claude pour analyse ;
• Les métadonnées du fichier (nom, type, taille, date de téléchargement) ;
• Les résultats de l'analyse IA (synthèse, classification, extraction de données clés) ;
• L'historique des analyses effectuées.

2.5quat Données de recouvrement de créances

Dans le cadre du module Recouvrement (opéré en partenariat avec Me Charles Épée, Cabinet Lexlau), la Plateforme traite les données spécifiques suivantes :

• Données du créancier (utilisateur) : nom, coordonnées, informations de facturation.
• Données du débiteur : identité, adresse, coordonnées, numéro de TVA le cas échéant.
• Données de la créance : montant, nature, date d'échéance, pièces justificatives (factures, contrats).
• Historique des relances : date, contenu, canal (courriel), statut de réception.
• Statut de recouvrement : en cours, réglé partiellement, clôturé, contentieux.
• Documents générés : lettres de mise en demeure, projets de citation (générés ou rédigés par l'Avocat partenaire).
• Liens de paiement débiteur : générés via Stripe, avec suivi du statut.

Base légale : exécution du contrat (Art. 6.1.b RGPD) pour les données de l'utilisateur créancier ; intérêt légitime (Art. 6.1.f RGPD) pour les données du débiteur, dans le cadre du droit belge au recouvrement de créances légitimes.

Durée de conservation : 5 ans après clôture du dossier, conformément aux obligations légales belges applicables aux dossiers de recouvrement. Les dossiers ayant fait l'objet d'une procédure judiciaire sont conservés 10 ans après décision définitive, conformément à la prescription de droit commun.

2.5quat bis Données de la Caisse professionnelle

Le module Caisse professionnelle, accessible exclusivement aux Avocats inscrits sur la Plateforme, collecte et traite les données suivantes :

• Opérations financières : date, montant, type (revenu/dépense), catégorie, description, référence de dossier facultative, statut comptable, statut réel/projection.
• Pièces justificatives (optionnel) : images ou PDF de factures/reçus téléchargés pour extraction OCR.
• Données extraites par IA : lorsqu'une description en langage naturel ou une image de document est soumise, le contenu est transmis à l'API Anthropic Claude pour extraction structurée des données financières.

Base légale : exécution du contrat (Art. 6.1.b RGPD) — le traitement est nécessaire à la fourniture du service de gestion financière. Pour l'extraction IA : consentement (Art. 6.1.a RGPD) obtenu lors de l'activation du module.

2.5quin Notifications et métadonnées d'activité

La Plateforme conserve un historique des notifications envoyées aux utilisateurs (type d'événement, date, statut de lecture) à des fins de traçabilité et d'amélioration du service. Ces données sont conservées 12 mois.

2.5sex Données de plans de paiement et demandes d'engagement

Dans le cadre des nouvelles fonctionnalités de plans de paiement échelonné et de demandes d'engagement, la Plateforme collecte et traite les données suivantes :

• Plans de paiement : identité du client concerné (email, nom), montant total HT, nombre et montant de chaque tranche, dates d'échéance, statuts de paiement (en attente / payé / en retard / soldé), références de transactions Stripe.
• Demandes d'engagement : description de la prestation, montant des honoraires, mode de paiement choisi, documents requis demandés, conditions générales de l'avocat (PDF si joint), statut de la demande (en attente / vue / signée / payée / annulée / terminée), horodatage de signature électronique, adresse IP utilisée lors de la signature.
• Documents fournis par le client dans le cadre d'une demande d'engagement : pièces justificatives, documents identitaires, documents contractuels. Ces documents sont stockés dans notre base de données hébergée dans l'UE.

Base légale : exécution du contrat (Art. 6.1.b RGPD) et obligation légale de conservation des preuves de signature (Art. 6.1.c RGPD, Règlement eIDAS).
Durée de conservation : les données de plans de paiement et d'engagements sont conservées 10 ans à compter de la clôture de la prestation, conformément aux obligations comptables et fiscales belges.

2.5sep Données KYC et déclarations de bénéficiaires effectifs (UBO)

Dans le cadre de nos obligations légales de lutte contre le blanchiment de capitaux (LBC/FT), KLAVIA collecte et traite les données suivantes :

• KYC particulier : copie de pièce d'identité (carte d'identité ou passeport), justificatif de domicile de moins de 3 mois.
• KYC société : extrait BCE/KBO, statuts sociaux, formulaire UBO Register, numéro de TVA, statuts avec mention de la forme juridique.
• Bénéficiaires effectifs (UBO) : pour chaque UBO déclaré : nom, prénom, nationalité, date de naissance, adresse, pourcentage de détention, nature du contrôle (direct, indirect, direction).

Base légale : obligation légale (Art. 6.1.c RGPD) — Loi belge du 18 septembre 2017 relative à la prévention du blanchiment de capitaux et du financement du terrorisme.
Durée de conservation : 10 ans à compter de la fin de la relation commerciale, conformément à l'article 60 de la loi du 18 septembre 2017 (5 ans minimum légaux, portés à 10 ans pour raisons de sécurité juridique).

2.5oct Données de surveillance LBC/FT (scoring de risque)

KLAVIA met en œuvre un système de scoring automatique de risque LBC/FT sur toutes les transactions de la Plateforme. Ce système traite les données suivantes :

• Montant de la transaction ;
• Nature de l'opération (domaine juridique) ;
• Nationalité et pays de résidence des parties ;
• Statut KYC des parties ;
• Fréquence et récurrence des transactions ;
• Mode de paiement utilisé.

Les transactions présentant un score de risque élevé ou critique font l'objet d'une analyse manuelle par le responsable de la conformité. En cas de soupçon fondé, une déclaration de soupçon est adressée à la CTIF-CFI (Cellule de traitement des informations financières).

Base légale : obligation légale (Art. 6.1.c RGPD) — intérêt légitime (Art. 6.1.f RGPD) pour la prévention de la fraude.
Durée de conservation : 10 ans — les journaux de scoring et décisions de conformité sont conservés conformément aux exigences légales LBC/FT.

2.6 Données d'utilisation de l'IA — Anthropic Claude

2.7 Données techniques de navigation

Pour des raisons de sécurité et d'amélioration du service, nous collectons automatiquement :

• Adresse IP
• User agent (navigateur, système d'exploitation)
• Logs techniques d'accès aux serveurs
• Horodatage des connexions

Art. 2bis Données de catégories spéciales (Art. 9 et 10 RGPD)

Référence : Art. 9 et 10 RGPD — Loi belge du 30 juillet 2018, Art. 9 et 10 — Code de procédure pénale belge.

2bis.1 Nature des données sensibles traitées

En raison de la nature des services juridiques proposés, KLAVIA est susceptible de traiter, pour le compte des avocats partenaires et de leurs clients, les catégories spéciales de données suivantes :

2bis.2 Mesures de protection renforcées applicables

Les données de catégories spéciales font l'objet de mesures de protection renforcées, au-delà des mesures générales de sécurité :

• Accès strictement limité aux parties du dossier concerné (avocat référent et client concerné) ;
• Chiffrement AES-256 au repos et TLS 1.3 en transit ;
• Journaux d'audit : traçabilité de tous les accès à ces données ;
• Interdiction d'entraînement IA : ces données ne sont jamais utilisées pour entraîner ou affiner des modèles d'IA sans anonymisation complète préalable et consentement explicite ;
• Analyse d'impact (AIPD/DPIA) : une analyse d'impact sur la protection des données a été conduite conformément à l'Art. 35 RGPD pour les traitements à risque élevé impliquant des données judiciaires ;
• Secret professionnel : l'avocat partenaire est soumis au secret professionnel absolu conformément aux Art. 458 CP belge et Art. 477 du Code judiciaire belge, qui s'applique à toutes les informations obtenues dans le cadre de la relation avocat-client.

2bis.3 Limitation des finalités

Les données de catégories spéciales collectées dans le cadre d'un dossier ne peuvent être utilisées que pour les finalités liées à ce dossier. Tout autre usage (profiling, marketing, analyse sectorielle) est strictement interdit, même sous forme anonymisée, sans accord préalable du DPO.

Art. 3 Tableau complet des traitements — Finalités, bases légales, durées et destinataires

Conformément à l'Art. 13 et 14 RGPD, KLAVIA informe les personnes concernées de l'ensemble des traitements réalisés.

Art. 4 Destinataires des données

4.1 Sous-traitants techniques

4.2 Transferts hors Union européenne

4.3 Avocats partenaires

Les avocats inscrits sur la Plateforme ont accès, dans le strict cadre de leur mission, aux données des clients qui leur ont réservé une consultation : identité, sujet de consultation, messages échangés dans le cadre du dossier. Cet accès est limité au rôle « avocat » et ne s'étend pas aux données d'autres clients. Les avocats sont soumis au secret professionnel conformément au Code judiciaire belge.

4.3ter Avocat partenaire Recouvrement

Me Charles Épée, Cabinet Lexlau (inscrit au Barreau de Belgique, courriel : cepee@lexlau.col) a accès, dans le cadre du module Recouvrement, aux données nécessaires à l'exécution des actes de recouvrement : identité du créancier, informations sur la créance, identité du débiteur. L'Avocat partenaire agit en tant que responsable de traitement indépendant pour les actes juridiques qu'il accomplit et est soumis au secret professionnel (Art. 458 CP belge). KLAVIA et l'Avocat partenaire sont co-responsables de traitement au sens de l'Art. 26 RGPD pour les données traitées conjointement dans le cadre du module Recouvrement.

4.3bis Professionnels partenaires (Marketplace Pro)

Les Professionnels inscrits sur la Marketplace Pro ont accès uniquement aux données de leur propre profil et aux informations de contact des Clients qui les contactent volontairement via la Marketplace. Cet accès est limité au rôle « pro » et est strictement cloisonné des données des autres Utilisateurs. Les Professionnels s'engagent à traiter ces données conformément au RGPD et à ne les utiliser qu'à des fins liées à la prestation de services via la Plateforme.

4.4 Autorités compétentes (LBC/FT)

Dans le cadre strict de ses obligations légales de lutte contre le blanchiment de capitaux et le financement du terrorisme, KLAVIA est susceptible de communiquer des données à caractère personnel aux entités suivantes :

• CTIF-CFI (Cellule de traitement des informations financières) — autorité belge compétente pour la lutte contre le blanchiment ;
• Autorités judiciaires (parquet, juges d'instruction) en cas de réquisition judiciaire ;
• Autorités de surveillance financière (FSMA, BNB) dans leurs domaines de compétence respectifs.

Ces communications sont effectuées uniquement lorsque la loi l'impose et sont limitées aux données strictement nécessaires. Elles ne constituent pas des transferts commerciaux de données.

KLAVIA ne vend ni ne loue jamais vos données à des tiers à des fins commerciales.

Art. 5 Durées de conservation

Au-delà de ces durées, les données sont supprimées de manière sécurisée ou anonymisées de façon irréversible.

Art. 6 Droits des personnes concernées

Conformément au RGPD (chapitres III et IV), vous disposez des droits suivants concernant vos données personnelles :

• Droit d'accès (Art. 15 RGPD) : obtenir une copie des données vous concernant que nous traitons.
• Droit de rectification (Art. 16 RGPD) : faire corriger toute donnée inexacte ou incomplète.
• Droit à l'effacement / « droit à l'oubli » (Art. 17 RGPD) : demander la suppression de vos données, sous réserve des obligations légales de conservation.
• Droit à la limitation du traitement (Art. 18 RGPD) : obtenir la restriction du traitement dans certains cas prévus par la loi.
• Droit à la portabilité (Art. 20 RGPD) : recevoir vos données dans un format structuré et lisible par machine.
• Droit d'opposition (Art. 21 RGPD) : vous opposer au traitement fondé sur l'intérêt légitime ou à des fins de prospection commerciale.
• Droit de retrait du consentement (Art. 7 RGPD) : retirer votre consentement à tout moment, sans que cela n'affecte la licéité du traitement antérieur.
• Droit de réclamation auprès de l'APD : introduire une plainte auprès de l'Autorité de Protection des Données belge.

Pour exercer vos droits, contactez notre DPO à l'adresse admin@klavis.app. Nous répondrons à votre demande dans un délai d'un mois (prorogeable de deux mois supplémentaires en cas de demande complexe).

Art. 7 Sécurité des données — Conformité NIS2

Référence : Art. 32 RGPD — Directive NIS2 (UE) 2022/2555 transposée en droit belge — Art. 33-34 RGPD (notification des violations).

KLAVIA met en œuvre les mesures techniques et organisationnelles suivantes pour protéger vos données, conformes aux exigences de l'article 32 du RGPD et, dans la mesure applicable, aux exigences de la Directive NIS2 :

• Chiffrement en transit : toutes les communications sont chiffrées via HTTPS/TLS 1.3 minimum ;
• Authentification JWT sécurisée : accès sécurisé par jetons JSON Web Token signés, avec expiration automatique ;
• Contrôle d'accès basé sur les rôles (RBAC) : les données ne sont accessibles qu'aux profils autorisés (client, avocat, professionnel, admin), strictement cloisonnés ;
• Hébergement UE : base de données et API hébergées sur des serveurs situés dans l'Union européenne (OVH France, Supabase Frankfurt) ;
• Chiffrement au repos (AES-256) : les données stockées dans Supabase PostgreSQL bénéficient du chiffrement au repos ;
• Mots de passe hachés : les mots de passe ne sont jamais stockés en clair (algorithme bcrypt) ;
• Accès restreint en production : seul le personnel habilité de KLAVIA accède aux données en production ;
• Journaux d'audit : traçabilité de tous les accès aux données sensibles ;
• Sauvegardes régulières : sauvegardes automatisées des données avec test de restauration périodique ;
• Plan de réponse aux incidents : KLAVIA dispose d'une procédure de gestion des incidents de sécurité conforme aux exigences NIS2.

7.1 Notification des violations de données

En cas de violation de données à caractère personnel présentant un risque pour vos droits et libertés, KLAVIA :

• Notifiera l'Autorité de Protection des Données (APD) dans les 72 heures suivant la découverte de la violation, conformément à l'article 33 du RGPD ;
• Vous informera sans délai injustifié si la violation est susceptible d'engendrer un risque élevé pour vos droits et libertés (Art. 34 RGPD), par courriel ou notification sur la Plateforme ;
• Prendra immédiatement les mesures correctives nécessaires pour limiter l'impact de la violation.

Les incidents de sécurité peuvent être signalés à admin@klavis.app.

Art. 8 Cookies et traceurs — Politique de consentement

Référence : Directive ePrivacy (2002/58/CE) telle que modifiée par la Directive 2009/136/CE — Art. 129 de la loi belge du 13 juin 2005 relative aux communications électroniques — RGPD Art. 6.1.a (consentement).

8.1 Types de stockage utilisés

La Plateforme KLAVIA utilise les technologies de stockage suivantes côté navigateur :

8.2 Cookies strictement absents

KLAVIA confirme n'utiliser aucun des traceurs suivants :

• Cookies publicitaires ou de reciblage (retargeting) ;
• Outils d'analyse tiers (Google Analytics, Matomo, Hotjar, etc.) ;
• Pixels de suivi réseaux sociaux (Facebook Pixel, LinkedIn Insight, etc.) ;
• Cookies de profilage comportemental.

8.3 Gestion du consentement

Les traceurs strictement nécessaires à l'exécution du service (authentification, paiement) ne requièrent pas de consentement préalable conformément à l'article 129 de la loi belge du 13 juin 2005 et à la Directive ePrivacy.

Aucun traceur non essentiel n'étant utilisé par KLAVIA, aucun bandeau de consentement aux cookies n'est nécessaire. Toutefois, KLAVIA s'engage à implémenter un mécanisme de consentement granulaire si des traceurs analytiques ou marketing devaient être introduits à l'avenir.

8.4 Comment gérer vos préférences

Vous pouvez contrôler les cookies et le stockage local via les paramètres de votre navigateur. Veuillez noter que la suppression du jeton JWT (localStorage) entraîne une déconnexion immédiate de votre session. Pour effacer le stockage localStorage de klavia.ai, rendez-vous dans les paramètres de votre navigateur (Paramètres > Confidentialité > Effacer les données de navigation > Stockage local).

Art. 9 Données des mineurs

La Plateforme KLAVIA est destinée à un public adulte. Nous ne collectons pas sciemment de données concernant des personnes âgées de moins de 16 ans. Si vous estimez qu'un mineur a créé un compte sur notre Plateforme, contactez-nous immédiatement à l'adresse admin@klavis.app afin que nous procédions à la suppression des données concernées.

Art. 10 Modifications de la Charte

KLAVIA se réserve le droit de modifier la présente Charte à tout moment, notamment pour se conformer à une évolution législative ou réglementaire, ou suite à l'intégration de nouveaux services.

En cas de modification substantielle, les utilisateurs enregistrés seront informés par email au moins 30 jours avant l'entrée en vigueur de la nouvelle version. La date de mise à jour est affichée en haut de ce document. La poursuite de l'utilisation de la Plateforme après notification vaut acceptation des modifications.

Art. 11 Contact DPO et réclamations

Si vous estimez que le traitement de vos données personnelles ne respecte pas la réglementation applicable, vous avez le droit de saisir l'APD. Nous vous encourageons toutefois à nous contacter en premier lieu afin de résoudre votre demande dans les meilleurs délais.

Présente Charte en vigueur depuis le 6 avril 2026 — Version 3.2 (remplace la version 3.1 du 4 avril 2026)

Art. 9 Données traitées dans le cadre de la Marketplace Avocats

L'utilisation du module Marketplace & Annonces implique le traitement des catégories supplémentaires de données suivantes :

Les fichiers de dossier et notes audio sont stockés dans des buckets Supabase à accès restreint (Row Level Security). Seules les deux parties de la transaction y ont accès. Aucun employé KLAVIA n'y accède sauf sur réquisition judiciaire. Ces fichiers peuvent contenir des données couvertes par le secret professionnel de l'avocat : leur traitement par KLAVIA est limité au strict stockage technique, sans analyse ni exploitation.

Base légale : Art. 6(1)(b) RGPD (exécution d'un contrat) — Art. 6(1)(c) RGPD (obligation légale de conservation) — Art. 6(1)(f) RGPD (intérêt légitime de KLAVIA à prouver les transactions).