La présente Politique de Confidentialité (la "Politique")décrit comment nous (tel que défini ci-dessous) récoltons, partageons etutilisons, toute information qui, utilisée seule ou en combinaison avecd'autres informations, se rapporte à vous ("Données personnelles") lorsque vous ("vous" et "votre", "Utilisateur")créez un compte et vous accédez à l'assistant juridique intelligent ("Tooli")mis à votre disposition sur le site internet www.tooli.be. .

Veuillez prendre le temps de lireattentivement cette Politique. Si vous avez des questions ou commentaires,veuillez contacter notre délégué à la protection des données à l'adresse suivante : gdpr@buildwise.bee.

Aux fins de la présente Politique, Buildwise,qui a son siège social sis à Kleine Kloosterstraat 23, 1932 Zaventem, inscriteà la Banque-Carrefour des Entreprises de Belgique sous le numéro 0407.695.057, (« Buildwise »,« nous », « notre ») exploite Tooli en collaboration avecses organisations partenaires (Embuild, Bouwunie et Constructiv, ci-aprèsdénommées les « Partenaires »).

En fonction de la nature de la requête de l'Utilisateuret de ses droits d'accès, Tooli peut activer le module d'un Partenaire etacheminer automatiquement la requête vers le module le plus pertinent.Lorsqu'un module partenaire est utilisé, la requête de l'Utilisateur esttraitée par le module partenaire concerné au sein de l'environnement Tooli, etla réponse s'affiche de manière transparente comme provenant de ce module.

Buildwise et les Partenaires déterminentconjointement les finalités et les moyens du traitement des données à caractèrepersonnel effectué via Tooli et agissent donc en tant que responsablesconjoints du traitement au sens de l'article 26 du RGPD. Leurs rôles respectifssont définis dans un accord de responsabilité conjointe. Buildwise agit en tantque point de contact unique pour les personnes concernées (gdpr@buildwise.be),mais celles-ci peuvent exercer leurs droits au titre du RGPD auprès de n'importequel responsable conjoint du traitement.

Tout traitement est régi par la PromesseTooli. La Promesse Tooli est un ensemble d'engagements pris par Buildwiseet les Partenaires concernant la manière dont les données des utilisateurs sonttraitées au sein de Tooli, y compris la protection des données, la sécurité etl'utilisation éthique de l'IA. Elle prévoit notamment que les données desutilisateurs sont sécurisées, ne sont pas utilisées pour entraîner des modèlesd'IA et ne sont pas partagées avec des tiers.

En outre, l'Utilisateur agit en tant que responsable du traitement desdonnées pour le contenu qu'il saisit dans Tooli (prompts, documents, questionset toute autre saisie), et Buildwise agit en tant que sous-traitant au sens del'article 28 du RGPD pour ce contenu, conformément à l'accord de sous-traitanceconclu entre l'Utilisateur et Buildwise.La présente Politique expose lesengagements de Buildwise en matière de protection des données et les mesuresmises en œuvre pour garantir la sécurité et la confidentialité de vos données àcaractère personnel. Elle précise également les droits dont vous disposez à cetégard et les modalités pratiques pour les exercer auprès de nous.

The types of Personal Data that we collect, and the reasons why weprocess them include:

Si nous devions vous solliciter pour d’autres Données personnelles non mentionnées ci-dessus, nous vous indiquerons clairement, au moment de leur collecte, la nature des informations demandées ainsi que les raisons de cette demande.

Certaines Données personnelles peuvent également être obtenues de manière indirecte, par exemple lorsqu’un Utilisateur vous associe à son compte afin de vous permettre d’accéder à son espace.

Par ailleurs, nous pouvons recueillir automatiquement certaines informations techniques liées à votre appareil. Il peut notamment s’agir de votre adresse IP, du type d’appareil utilisé, d’identifiants uniques, du type de navigateur, d’une localisation approximative (pays ou ville) ainsi que d’autres données techniques. Nous pouvons également collecter des informations relatives à votre interaction avec Tooli, telles que les pages consultées ou les liens sélectionnés. Ces données nous aident à mieux comprendre le profil des Utilisateurs de Tooli, leur provenance et les contenus qui suscitent leur intérêt. Elles sont utilisées à des fins d’analyse interne et pour améliorer la pertinence et l’expérience globale de Tooli.

Une partie de ces informations peut être collectée au moyen de cookies ou de technologies similaires, conformément à notre Avis sur les Cookies disponible à l’adresse https://help.tooli.be/en/legal/cookie-policy.

De manière générale, les Données personnelles recueillies sont utilisées uniquement pour les finalités décrites dans la présente Politique ou celles portées à votre connaissance au moment de la collecte. Nous pouvons toutefois les traiter à d’autres fins, à condition qu’elles soient compatibles avec les finalités initialement communiquées et autorisées par la législation applicable en matière de protection des données.

We may forward your Personal Data to the following categories ofrecipients:

• Prestataires techniques et sous-traitants : développeurs, hébergeurs, fournisseurs d’outils d’analyse ou de support, agissant sous instructions strictes de Buildwise. Nous exigeons de ces sous-traitants qu'ils traitent les Données personnelles et agissent strictement selon nos instructions et qu'ils prennent les mesures appropriées pour garantir que les Données personnelles restent protégées.
• : à tout organisme d'application de la loi compétent, régulateur, agence gouvernementale, tribunal, ou autre tiers, lorsque nous estimons que la divulgation est nécessaire en vertu des lois ou règlements applicables, ou afin d'établir ou de défendre nos droits, ou afin de protéger vos intérêts vitaux ou ceux de toute autre personne.
• : auditeurs, conseillers, représentants légaux et agents similaires dans le cadre des services de conseil qu'ils nous fournissent et sous réserve d’engagements de confidentialité.
• Tiers autorisés : à toute autre personne dès lors que vous avez donné votre consentement préalable à la divulgation.

Conformément à cette Politique, nous traiterons les Données personnellescomme suit :

a) Loyauté : Les Données personnelles seront traitées de manière loyale et transparente. Nousnous engageons à informer clairement sur les modalités de traitement et à agiren conformité avec la législation en vigueur.
b) Licéité : Aucuntraitement ne sera réalisé sans base juridique valable ; toute utilisation desDonnées personnelles reposera sur un fondement légal.
c) Limitation des finalités : Les Données personnelles ne seront collectées et traitées que pour des finalités déterminées,explicites et légitimes. Elles ne feront l’objet d’aucun usage ultérieurincompatible avec ces finalités initiales.
d) Minimisation des données : Les données sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
e)  : Nous mettons en œuvre les mesures raisonnables pour garantir que les Données personnelles sont exactes, complètes et, si besoin, régulièrement mises à jour. Toutefois, vous demeurez tenu de nous signaler sans délai toute modification ou inexactitude afin de maintenir l’exactitude de vos informations.
f) : des mesures de sécurité appropriées sont mises en place.f) Intégrité et confidentialité Les Données personnelles sont traitées de manière à assurer leur sécurité, incluant la protection contre tout accès non autorisé, traitement illicite, perte, destruction ou dommage accidentel, au moyen de mesures techniques et organisationnelles appropriées.
g) (Accountability) : Buildwise assume la responsabilité du respect de ces principes et est en mesure de démontrer, à tout moment, la conformité des traitements mis en œuvre, notamment par la tenue d’une documentation adéquate, la mise en place de procédures internes et la réalisation, lorsque requis, d’analyses d’impact ou d’audits de conformité.

Nous utilisons des mesures techniques et organisationnelles appropriées pour protéger les Données personnelles que nous collectons et traitons à votre sujet. Les mesures que nous utilisons sont conçues pour offrir un niveau de sécurité adapté au risque de traitement de vos Données personnelles. Les mesures de sécurité que nous mettons en place comprennent notamment :

• Chiffrement des données en transit et au repos : Toutes les communications sont protégées par HTTPS/TLS (TLS 1.3, avec prise en charge de TLS 1.2 si nécessaire). Les données sont chiffrées au repos.
• Isolation stricte des environnements (tenant isolation) : Les données de chaque organisation (conversations, configurations, comptes utilisateurs, journaux d’audit, connexions MCP) sont séparées logiquement et protégées contre tout accès inter-tenant.
• Gestion sécurisée des identifiants et secrets : Les mots de passe sont hachés (bcrypt), les tokens d’accès (JWT) sont signés cryptographiquement, et les clés/API sensibles ne sont jamais enregistrées en clair. Des mécanismes de détection et de redaction automatique empêchent la journalisation de données sensibles.
• Authentification renforcée et sessions à durée limitée : Des jetons d’accès de courte durée et des jetons de rafraîchissement tournants sont utilisés pour limiter les risques. Nous supportons l’authentification locale, Buildwise SSO, Google Authentication et Azure AD / Entra ID.
• Contrôles d’accès et principe du moindre privilège : Chaque utilisateur, agent ou outil ne peut opérer que dans la limite des permissions qui lui sont explicitement attribuées. Aucun mécanisme interne ne permet un contournement des autorisations par l’IA.
• Auditabilité et journalisation structurée : Nous enregistrons les événements pertinents en matière de sécurité : tentatives d’authentification, modifications de permissions, activité suspecte, accès aux données, exécutions d’agents/outils et migrations. Toutes les données sensibles sont automatiquement masquées.
• Protection opérationnelle et prévention des abus : Des mécanismes de limitation de débit (rate limiting) protègent contre les usages automatisés abusifs ou les attaques.
• Traitement éphémère des données par les fournisseurs de modèles : Lorsqu’un modèle externe (Azure, AWS Bedrock, Google) est utilisé, les données sont traitées uniquement en mémoire et ne sont jamais conservées ou réutilisées pour l’entraînement.
• Test d’intrusion externe : Un test d’intrusion indépendant a été réalisé en novembre 2025, et l’ensemble des vulnérabilités critiques identifiées ont été corrigées.

Vos Données personnelles peuvent être transférées et traitées dans des pays autres que celui où vous résidez. Ces pays peuvent avoir des lois de protection des données qui diffèrent des lois de votre propre pays et dans certains cas, être moins protectrices.

Plus précisément, nos serveurs sont situés au sein de l'Espace Economique Européen (EEE).

Toutefois, il est possible que certains de nos prestataires ou fournisseurs de services (par exemple, des solutions informatiques ou d’hébergement) soient établis en dehors de l’Espace économique européen (EEE) ou traitent des données depuis un pays tiers. Dans ce cas, nous veillons à ce que ces transferts soient encadrés conformément au chapitre V du RGPD et qu’un niveau de protection adéquat soit garanti.

À cette fin, nous utilisons l’un ou plusieurs des mécanismes suivants : une décision d’adéquation de la Commission européenne ; les clauses contractuelles types adoptées par la Commission européenne, assorties, le cas échéant, de mesures complémentaires ; toute autre garantie appropriée prévue par le RGPD.

Nous ne transférons aucune donnée en dehors de l’EEE sans avoir mis en place ces garanties et sans nous assurer que les personnes concernées disposent de droits opposables et de voies de recours effectives.

Nous conservons les Données personnelles que nous recueillons auprès de vous lorsque nous avons un besoin commercial légitime (par exemple afin de vous fournir un service que vous avez demandé ou pour nous conformer aux exigences légales applicables).

Ainsi, nous conservons les Données personnelles selon les durées suivantes :

• Pour la création et gestion de votre compte utilisateur : jusqu'à 2 ans à compter de la dernière activité ;
• Pour l'analyse statistique d'usage et de croissance: jusqu'à 2 ans à compter de la dernière activité.

Lorsque nous n'avons plus de besoin commercial légitime pour traiter vos Données personnelles, nous les rendons anonymes, ou nous les supprimons ou si cette dernière action n'est pas possible (par exemple, vos Données personnelles ont été stockées dans des archives de sauvegarde), nous les conservons en toute sécurité et les isolons de tout autre traitement jusqu'à ce que la suppression soit possible.

Vous disposez des droits à la protection des données suivants, que vous pouvez exercer en nous contactant à l'adresse

1. Droit d’accès, de rectification, de mise à jour et d’effacement : vous pouvez demander à accéder à vos Données, à les corriger si elles sont inexactes, à les mettre à jour ou à en demander la suppression.
2. Droit d’opposition, de limitation et de portabilité : dans certaines circonstances, vous pouvez vous opposer au traitement de vos Données, demander la limitation de leur utilisation ou solliciter la portabilité de vos Données vers vous ou vers un tiers.
3. Droit de retrait du consentement : lorsque le traitement est fondé sur votre consentement, vous pouvez le retirer à tout moment. Ce retrait n’affectera pas la licéité des traitements effectués avant celui-ci, ni les traitements fondés sur d’autres bases légales (telles que le contrat ou l’obligation légale).
4. Droit d’introduire une réclamation : si vous avez des préoccupations concernant la manière dont nous traitons vos Données, nous vous invitons à nous contacter en premier lieu. Si vous estimez que votre demande n’a pas été suffisamment prise en compte, vous avez le droit d’introduire une réclamation auprès de l’autorité de contrôle compétente, telle que l’Autorité de protection des données
   • Rue de la Presse 35, 1000 Bruxelles
   • Tél. : +32 (0)2 274 48 00
   • Courriel : contact@apd-gba.be
   • Site : www.autoriteprotectiondonnees.be

Les personnes concernées peuvent exercer leurs droits au titre du RGPDauprès de n'importe quel responsable conjoint du traitement : gdpr@Buildwise.be - privacy@embuild.be - privacy@constructiv.be

Nous répondons à toutes les demandes que nous recevons de personnessouhaitant exercer les droits relatifs à la protection de leurs Donnéespersonnelles conformément aux lois applicables en matière de protection desdonnées.

Nous pouvons réviser la présente Politique de temps à autre afin de tenir compte de l'évolution des exigences légales, techniques ou organisationnelles. En cas de modification substantielle, nous prendrons les mesures appropriées pour vous en informer, en fonction de la nature et de l’impact des changements.

La date de la dernière mise à jour figure en en-tête de cette Politique et vous permet d’en vérifier la version la plus récente.

Si vous avez des questions concernant letraitement de vos Données personnelles ou si vous souhaitez exercer vos droits,veuillez nous contacter par e-mail à l'adresse gdpr@Buildwise.be.