RGPD — Certification de conformite

Data Protection Impact Assessment (DPIA) — Article 35 RGPD

Version : avril 2026 · Organisation : flaire_ SRL, Belgique

1Identite du responsable de traitement

Responsable : flaire_ SRL

Siege : Belgique

Contact DPO : dpo@flaire.agency

Site : healthydeals.be

Registre national des entreprises (BCE) : 0XXX.XXX.XXX

2Description des traitements

Traitement	Base legale	Donnees	Conservation	Finalite
Inscription consommateur	Consentement (Art. 6.1.a)	Nom, telephone, email, code postal	24 mois apres derniere activite	Creation du compte et participation aux actions
Categories de sante	Consentement explicite (Art. 9.2.a)	Preferences sante (vitamines, digestion, etc.)	Jusqu'au retrait du consentement	Personnalisation des offres
Tickets de caisse (OCR)	Interet legitime (Art. 6.1.f)	Photo du ticket, texte OCR, produits detectes	6 mois	Verification de l'achat pour cashback
Donnees bancaires (IBAN)	Execution du contrat (Art. 6.1.b)	IBAN (stocke chiffre)	Duree du compte	Versement du cashback
Geolocalisation	Consentement (Art. 6.1.a)	GPS approximatif	Session uniquement	Pharmacies a proximite
Analyse anti-fraude IA	Interet legitime (Art. 6.1.f)	Metadonnees EXIF, analyse visuelle GPT-4o	6 mois	Detection de tickets frauduleux (IA, photo d'ecran)
Donnees de navigation	Interet legitime (Art. 6.1.f)	Pages visitees, device	12 mois	Amelioration du service

3Sous-traitants

Sous-traitant	Service	Localisation	Certification
Supabase Inc.	Base de donnees, stockage	EU (Frankfurt)	SOC 2 Type II, ISO 27001
Google Cloud (Vision API)	OCR des tickets	EU	ISO 27001, SOC 2
OpenAI	Analyse intelligente des tickets	USA (DPA signe)	SOC 2 Type II
Vercel Inc.	Hebergement application	EU (edge)	SOC 2 Type II
Twilio	SMS OTP	EU	ISO 27001
Resend	Email transactionnel	USA (DPA signe)	SOC 2

4Mesures de securite techniques

✅Chiffrement en transit (TLS 1.3)

✅Chiffrement au repos (AES-256 via Supabase)

✅Row Level Security (RLS) sur toutes les tables

✅Authentification par OTP SMS (pas de mot de passe stocke)

✅Tokens de session HMAC-SHA256 signes avec expiration 30 jours

✅Rate limiting sur toutes les API publiques

✅IBAN jamais expose en clair dans les reponses API (masque)

✅Validation SSRF sur toutes les URLs fetch cote serveur

✅Pas de String(error) expose aux clients

✅Detection anti-fraude IA (EXIF + GPT-4o + C2PA)

✅Backups quotidiens chiffres

✅Logs d'audit

5Droits des personnes concernees

Droit	Implementation	Delai
Droit d'acces (Art. 15)	Export JSON depuis profil	Immediat (automatique)
Droit de rectification (Art. 16)	Modification directe dans l'app	Immediat
Droit a l'effacement (Art. 17)	Suppression de compte avec double confirmation	72h max
Droit a la portabilite (Art. 20)	Export JSON telechargeable	Immediat (automatique)
Droit d'opposition (Art. 21)	Desactivation email/push dans profil	Immediat
Droit au retrait du consentement	Modification categories sante + suppression compte	Immediat
Droit de reclamation	APD belge : autoriteprotectiondonnees.be	N/A

6Analyse des risques

Risque	Probabilite	Impact	Mesures d'attenuation	Risque residuel
Fuite de donnees personnelles	Faible	Eleve	RLS, chiffrement, backups	Faible
Acces non autorise	Faible	Eleve	OTP, HMAC sessions, rate limiting	Faible
Fraude aux tickets (IA)	Moyen	Moyen	Detection EXIF + GPT-4o + C2PA, review manuel	Faible
Transfert hors UE (OpenAI)	Moyen	Moyen	DPA signe, clauses contractuelles types	Acceptable
Profilage sante excessif	Faible	Eleve	Categories opt-in uniquement, pas de scoring sante	Faible
Perte de donnees	Tres faible	Eleve	Backups 6h, PITR Supabase	Tres faible

7Conclusion

Cette DPIA conclut que les traitements de donnees personnelles effectues par HealthyDeals sont proportionnes aux finalites poursuivies et que les mesures techniques et organisationnelles mises en place reduisent les risques identifies a un niveau acceptable.

Realise le 5 avril 2026

flaire_ SRL — DPO : [nom]

Document certifie

💊healthydeals