Protection des données

Politique de confidentialité

Cette page résume comment Lexlo traite les données personnelles pour le site vitrine, l'application, l'API et les fonctionnalités associées, dans un cadre compatible avec le RGPD.

Entrée en vigueur : 21/06/2026

Version 1.7

Cette politique explique comment Lexlo traite les données à caractère personnel lorsque vous utilisez le site vitrine lexlo.be (la « Landing Page »), ainsi que l'application app.lexlo.be et l'API api.lexlo.be (le « Service »).

Selon le contenu que vous traitez via le Service, les données peuvent inclure des catégories particulières de données au sens du RGPD. Lexlo traite aussi certaines données techniques liées à la sécurité, à l'anti-spam et au fonctionnement de la Landing Page.

1) Responsable du traitement (Lexlo)

Pour les traitements décrits où Lexlo agit en tant que responsable du traitement (ex. gestion des prospects, sécurité, facturation), le responsable du traitement est :

2) Rôles RGPD : responsable vs sous-traitant

Selon le contexte, Lexlo agit :

  1. En tant que sous-traitant (article 28 RGPD) pour les données que les clients professionnels (« Client ») chargent dans le Service. Dans ce cas, le Client est responsable du traitement et Lexlo agit sur instruction du Client.
  2. En tant que responsable du traitement pour ses propres besoins : gestion des comptes, sécurité, prévention de fraude et audit, facturation et gestion contractuelle, support client, gestion des prospects.

Un accord de traitement des données (DPA / Addendum RGPD) est disponible sur simple demande à contact@lexlo.be. Cet accord précise les obligations respectives lorsque Lexlo agit comme sous-traitant pour les données métier des Clients. À défaut de DPA signé, les présentes Conditions d'utilisation et la Politique de confidentialité tiennent lieu d'accord de sous-traitance conformément à l'article 28 du RGPD.

Pour les besoins de support, de maintenance, de sécurité ou de rétablissement du Service, Lexlo peut effectuer un accès temporaire et strictement limité à un Compte via sa console d'administration. Ces accès sont réservés au strict nécessaire, journalisés, et réalisés dans des sessions de courte durée, en principe limitées à quinze (15) minutes, sauf urgence de sécurité ou nécessité opérationnelle particulière.

3) Données traitées

Lexlo peut traiter, selon l'usage :

Formulaire de contact (Landing Page) : lorsque vous utilisez le formulaire de contact de lexlo.be, Lexlo traite notamment les données que vous saisissez (ex. nom, email professionnel, société, rôle, message). L'envoi du formulaire repose sur votre consentement explicite, tandis que les contrôles anti-spam et de sécurité reposent sur l'intérêt légitime de Lexlo à protéger ses systèmes et ses utilisateurs. Le traitement peut aussi inclure des éléments techniques anti-spam (token reCAPTCHA Enterprise, action, URL de la page) et des données techniques journalisées côté API (ex. horodatage, adresse IP, user-agent, request_id) à des fins de sécurité et de traçabilité.

Connexion de boîtes mail et calendriers tiers : lorsque le Client ou un Utilisateur connecte une boîte mail ou un agenda tiers au Service, Lexlo peut accéder, importer, stocker, synchroniser ou envoyer les données strictement nécessaires au fonctionnement de cette fonctionnalité (par ex. adresse email, expéditeur, destinataires, objet, contenu, pièces jointes, dossiers, titres d'événements, dates, descriptions, lieux, participants). Selon le fournisseur concerné, la connexion peut reposer sur des identifiants fournis pour ce compte ou sur une autorisation donnée directement auprès du service tiers.

4) Finalités et bases légales

4.1 Lorsque Lexlo est responsable du traitement

  1. Fournir le Service et exécuter le contrat (article 6(1)(b) RGPD).
  2. Sécuriser le Service (article 6(1)(f) RGPD - intérêt légitime).
  3. Respecter des obligations légales (article 6(1)(c) RGPD).
  4. Permettre la connexion, l'import et la synchronisation facultatifs de services tiers de messagerie et de calendrier (article 6(1)(b) RGPD).
  5. Gérer les prospects B2B et les demandes de contact (consentement pour l'envoi du formulaire ; intérêt légitime pour la sécurité, l'anti-spam et la prévention de fraude).

4.2 Lorsque Lexlo est sous-traitant

Lexlo traite les données uniquement sur instruction du Client, pour fournir et sécuriser le Service.

5) Destinataires et sous-traitants ultérieurs

Lexlo peut faire appel à des prestataires strictement nécessaires : hébergement / infrastructure, paiement, email/messagerie, anti-spam et, lorsque le Client active des intégrations, services tiers connectés.

À titre indicatif, Lexlo peut recourir notamment à :

Modification de la liste des sous-traitants : Lexlo peut faire appel à des sous-traitants supplémentaires ou remplacer ceux existants. Tout changement substantiel dans la liste des sous-traitants sera notifié au Client par email ou via une notification dans le Service au moins quinze (15) jours avant sa mise en œuvre. Le Client pourra s'opposer à ce changement pour un motif légitime dans les dix (10) jours suivant la notification.

Lorsque le Client choisit de connecter une boîte mail ou un agenda tiers, le fournisseur concerné peut aussi traiter ou mettre à disposition les informations nécessaires à l'authentification, à l'import, à la synchronisation, à la consultation ou à l'envoi demandés par le Client ou ses Utilisateurs.

Lorsque le Client utilise les fonctionnalités IA du Service, certaines Données Client, instructions utilisateur, extraits de documents ou métadonnées strictement nécessaires à la requête peuvent être transmis à OpenAI afin de générer une réponse ou un résumé. Lexlo met en œuvre des mesures de minimisation et de sécurité adaptées, mais le Client reste responsable de déterminer si l'usage de ces fonctionnalités est approprié au regard de ses obligations légales, déontologiques et contractuelles.

6) Transferts hors EEE

Les données métier du Service (contenu des dossiers, emails, calendriers, documents) sont hébergées exclusivement dans l'Union européenne. Lexlo s'engage à ne pas transférer ces données hors de l'EEE sans garanties appropriées et sans information préalable du Client, sauf si le Client utilise volontairement une fonctionnalité connectée à un service tiers (ex. Google, Apple) qui implique un transfert vers ce tiers.

Lexlo privilégie des traitements dans l'Espace Économique Européen. À la date de la présente version, l'infrastructure serveur est exploitée via OVHcloud, la base de données via Supabase et le stockage objet des fichiers du Service ainsi que certaines archives email via Cloudflare R2 avec restriction de juridiction UE. Certains autres prestataires peuvent toutefois traiter des données hors EEE.

En cas de transfert hors EEE, Lexlo met en place des garanties appropriées (ex. clauses contractuelles types de la Commission européenne).

Cela peut notamment concerner certains prestataires techniques intervenant pour l'anti-spam, la messagerie, le paiement ou les fonctionnalités IA, y compris OpenAI lorsque les outils IA sont utilisés dans le Service, ainsi que certains services tiers connectés par le Client, notamment Google ou Apple.

7) Durées de conservation

Les durées exactes peuvent être précisées dans le contrat et/ou le DPA. À défaut, Lexlo applique des durées proportionnées :

8) Cookies, stockage local et traceurs

8.1 Cookies essentiels (Service)

Le Service et l'interface d'administration utilisent des cookies strictement nécessaires à l'authentification et à la sécurité (notamment les cookies d'accès, de rafraîchissement et la session admin de courte durée).

8.2 Anti-spam (Landing Page)

La Landing Page charge reCAPTCHA Enterprise de Google, qui peut déposer ou accéder à des identifiants techniques (cookies/stockage) et traiter des informations de navigation pour distinguer humains et robots.

8.3 Connexion à un compte Google

Lorsque vous choisissez de connecter un compte Google au Service (par ex. Gmail / Google Workspace ou Google Calendar), des composants fournis par Google peuvent être chargés et Google peut traiter des informations techniques nécessaires à l'authentification et à l'autorisation de cet accès.

9) Sécurité

Lexlo met en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données.

Les accès d'administration temporaires mentionnés dans cette politique sont soumis à des contrôles d'authentification renforcés, à une journalisation et à un encadrement interne visant à limiter leur usage au besoin technique identifié.

Restriction d'accès pour motif de sécurité : Lexlo se réserve le droit, dans le cadre de la protection de ses intérêts légitimes et de ceux de ses clients, de restreindre, bloquer ou suspendre temporairement l'accès aux données d'un Compte si des indices sérieux laissent présumer une compromission des identifiants, une tentative d'intrusion, une activité frauduleuse ou une attaque informatique affectant le Service. Cette mesure est prise à titre conservatoire et notifiée au Client dans les meilleurs délais. Lexlo agit alors en tant que responsable du traitement pour la gestion de cet incident de sécurité, conformément à l'article 6(1)(f) du RGPD.

10) Vos droits

10.1 Si Lexlo est responsable du traitement

Vous disposez des droits RGPD : accès, rectification, effacement, limitation, opposition, portabilité (selon conditions), et retrait du consentement lorsque applicable.

Vous pouvez exercer vos droits en contactant : contact@lexlo.be.

10.2 Si Lexlo est sous-traitant

Pour les données métier du Service, Lexlo agit sur instruction du Client. Les demandes des personnes concernées doivent en principe être adressées au Client (responsable du traitement).

11) Contact

Email : contact@lexlo.be