Politique de confidentialité

Version : 1.0 Date de dernière mise à jour : 21 avril 2026 Entrée en vigueur : 15 septembre 2026, ou toute date ultérieure annoncée au moins quinze (15) jours auparavant sur loyable.be et par courriel aux utilisateurs inscrits Scope : la présente politique couvre l'ensemble des traitements de données personnelles opérés par Loyable, tant dans le cadre de l'application mobile Loyable (objet principal des sections 1 à 14) que dans le cadre de la liste d'attente publiée sur loyable.be (section 15 dédiée).

1. Qui sommes-nous ?

Loyable est une application mobile qui récompense les locataires qui paient leur loyer à temps, en leur permettant d'utiliser des points Loyable chez des commerçants partenaires locaux.

Le responsable du traitement de vos données personnelles est :

Loyable Exploitant : Emin Ozbek, personne physique indépendante (entreprise individuelle belge) Siège d'activité : Rue Saint Leonard 126, 4000 Liège, Belgique BCE (Banque-Carrefour des Entreprises) : BE 1019.446.640 E-mail de contact général : contact@loyable.be E-mail de contact pour la protection des données : privacy@loyable.be

2. À qui s'adresse cette politique ?

Cette politique s'adresse aux locataires adultes (18 ans et plus) qui utilisent l'application Loyable en Belgique.

Si vous avez moins de 18 ans, vous ne pouvez pas utiliser Loyable.

Vérification de l'âge : à l'inscription, nous vous demandons de confirmer sur l'honneur que vous avez 18 ans ou plus (déclaration sur l'honneur). Nous nous réservons le droit, en cas de doute fondé, de vous demander une pièce d'identité conformément à l'article 8 du RGPD et à la loi belge du 30 juillet 2018. Toute fausse déclaration entraîne la suppression immédiate du compte.

3. Quelles données personnelles nous traitons

Nous traitons uniquement les données strictement nécessaires à la fourniture du service. Voici la liste exhaustive :

3.1 Données que vous nous fournissez directement

3.2 Données bancaires lues via Open Banking (connexion requise pour la détection du loyer)

La connexion Open Banking effectuée via notre prestataire Bridge (Prestataire de Services d'Information sur les Comptes — PSIC/AISP agréé au titre de la directive (UE) 2015/2366 ; voir §6.2 pour sa qualification juridique) est l'unique modalité technique par laquelle Loyable détecte votre paiement de loyer. Elle intervient une seule fois (modèle « one-shot ») lors de la vérification initiale de votre statut locataire, et peut le cas échéant être renouvelée ponctuellement en cas de changement de logement ou de bailleur. Aucun téléversement manuel de documents (relevés, justificatifs, captures d'écran) n'est admis en remplacement de cette vérification, compte tenu des exigences probatoires et du risque de falsification.

Privacy by design : après l'analyse, les transactions sont immédiatement effacées de la mémoire. Nous ne conservons ni vos achats, ni vos soldes, ni vos transactions bancaires. Seuls les éléments suivants sont inscrits dans votre compte Loyable :

• bankVerified : oui / non (compte vérifié ou non)
• bankVerifiedAt : date de la vérification
• bankVerificationProvider : "Bridge" (notre prestataire)
• bankConnectionId : référence technique pour audit

C'est tout. Ni le montant de votre loyer, ni le nom de votre propriétaire, ni aucune transaction ne sont stockés chez nous.

Traitement « one-shot » — minimisation maximale (Art. 5, §1, c RGPD). Loyable ouvre une session Open Banking via Bridge uniquement le temps strictement nécessaire à la lecture des transactions pertinentes (quelques secondes), puis se déconnecte immédiatement. Aucun lien permanent n'est maintenu entre Loyable et votre compte bancaire : il n'existe ni session persistante, ni accès récurrent, ni agrégation continue de vos opérations. Le token technique de session expire par ailleurs en environ une heure côté Bridge. Si une nouvelle vérification s'avère nécessaire à l'avenir (par exemple en cas de changement de logement ou de bailleur, ou à l'occasion d'une réclamation du Prix au titre du concours Loya'Free — voir §3.7), une nouvelle connexion ponctuelle vous sera demandée, soumise au même principe de déconnexion immédiate.

3.3 Données générées par votre utilisation

3.4 Données que nous NE collectons PAS

• Vos numéros de carte bancaire
• Vos mots de passe bancaires
• L'historique détaillé de vos achats
• Vos données de santé, opinions politiques, religieuses, ou tout autre donnée dite "sensible" au sens du RGPD

3.5 Données concernant votre propriétaire (bailleur)

Pour détecter votre paiement de loyer, nous devons connaître l'IBAN de votre propriétaire (ou de la régie / agence immobilière qui gère votre bien). Cet IBAN nous est communiqué par vous, sous votre responsabilité, au moment de l'inscription.

Si vous êtes bailleur et que vous apprenez qu'un de vos locataires a renseigné votre IBAN dans Loyable sans vous en informer, vous pouvez exercer votre droit d'opposition en contactant privacy@loyable.be ou via le formulaire public /opposition-bailleur.

Précision — IBAN d'une personne morale. Lorsque l'IBAN communiqué correspond à celui d'une personne morale (société de gestion, régie immobilière, société patrimoniale détenant le bien), l'information ne constitue en principe pas une donnée à caractère personnel au sens de l'article 4, point 1° du RGPD et ne relève donc pas directement de sa protection. Toutefois, lorsque l'IBAN permet, directement ou indirectement, d'identifier une personne physique — notamment dans le cas d'une entreprise individuelle, d'une société unipersonnelle (SRL-S/SRL à associé unique) ou de toute structure dont le bénéficiaire économique ultime est aisément identifiable —, Loyable applique les mêmes garanties techniques et organisationnelles (pseudonymisation par hash SHA-256 salé, chiffrement AES-256, absence de partage avec des tiers, droit d'opposition et d'effacement) mutatis mutandis, par précaution et dans un souci de loyauté du traitement (article 5, §1, a) du RGPD).

3.6 Cas particulier des colocations

En colocation, l'éligibilité à la vérification et à la comptabilisation des points est déterminée par le paiement effectif du loyer au bailleur depuis un compte bancaire personnel (cf. Conditions Générales, art. 3.1). Deux cas sont possibles : (i) si chaque co-preneur paie sa propre quote-part directement au bailleur depuis son compte personnel, chacun est individuellement éligible pour sa quote-part ; (ii) si un seul co-preneur centralise le virement et se fait rembourser en interne, seul ce co-preneur payeur est éligible. Les co-preneurs éligibles n'entrent l'IBAN du propriétaire qu'avec l'accord préalable des autres co-preneurs qui partagent ce même bail : cette donnée les concerne indirectement en tant que co-signataires du contrat. Loyable considère la concertation entre colocataires comme votre responsabilité.

Enregistrement technique du mode de paiement déclaré (paymentMode). Pour appliquer ces règles d'éligibilité, Loyable enregistre, lors de la création du compte et à chaque mise à jour ultérieure, le mode de paiement déclaré par l'Utilisateur parmi quatre catégories — locataire seul, colocataire payant directement sa quote-part, colocataire centralisant le paiement, colocataire remboursant en interne un autre co-preneur — qui correspondent aux situations décrites aux CGU article 3.1. Le mapping technique précis et ses conséquences sur l'éligibilité figurent aux CGU article 3.5.

Traçabilité des transitions (paymentModeHistory). Chaque modification ultérieure du mode déclaré est enregistrée dans une table interne dédiée (paymentModeHistory) avec, pour chaque entrée : l'identifiant du Compte concerné, le mode antérieur, le mode nouveau, l'horodatage, l'identité de la personne ayant initié la modification (Utilisateur ou administrateur), une référence cryptographique au texte légal accepté à cette date (legalTextHash) et la version du consentement applicable. Cette traçabilité est nécessaire pour pouvoir démontrer, en cas de contestation ultérieure portant sur l'attribution ou la révocation de Points Loyable ou de tickets Loya'Free, la qualité de payeur effectif déclarée par l'Utilisateur à chaque période concernée. La base légale est l'exécution du contrat (Art. 6.1.b RGPD) ; la durée de conservation est précisée à la section 7.

Délai d'effet d'un changement de mode. Conformément à l'article 3.5 des CGU et à l'article 4.3 du Règlement Loya'Free, toute modification du mode de paiement déclaré prend effet à compter du premier jour du mois civil suivant la mise à jour ; les Points et tickets attribués au titre du mois en cours sur la base du mode antérieurement déclaré ne sont ni rétroactivement annulés ni rétroactivement crédités. Ce délai prévient les changements opportunistes et préserve l'équité entre Utilisateurs.

3.7 Données spécifiques au concours Loya'Free

Si vous participez au concours mensuel Loya'Free (une Édition par mois civil ; voir le Règlement du concours Loya'Free), certaines données supplémentaires sont traitées, pour les seules finalités du Concours.

Durée spécifique de conservation. Les données ci-dessus (hors celles couvertes par une base légale plus longue — obligations comptables et fiscales, prescription contractuelle) sont conservées pendant dix (10) ans à compter de la date du tirage de l'Édition concernée, conformément au délai de prescription de droit commun prévu à l'article 2262bis, §1er du Code civil belge, puis effacées ou anonymisées (voir §7). Ce délai est strictement limité à la constitution du dossier probatoire visé à l'article 9.4 du Règlement Loya'Free.

KYC. Compte tenu du montant unitaire maximal du Prix (plafonné à 1 000 €) et du fait que Loyable n'est pas une entité assujettie aux obligations de vigilance de la loi du 18 septembre 2017 relative à la prévention du blanchiment de capitaux et du financement du terrorisme, aucune procédure KYC formelle n'est exigée du gagnant. La vérification du statut locataire est assurée par lecture Open Banking (AIS) des trois derniers mois civils, et la correspondance de l'identité civile et de l'IBAN est vérifiée par contrôle documentaire standard avant le versement.

4. Pour quelles finalités nous utilisons vos données

5. Décision automatisée : notre algorithme de vérification du loyer

Conformément à l'article 22 du RGPD, nous vous informons que la vérification de votre loyer repose sur un algorithme automatisé. Voici comment il fonctionne :

• L'algorithme analyse votre historique bancaire sur 3 à 6 mois
• Il recherche les virements correspondant à votre loyer déclaré
• Si au moins 3 mois sur 6 sont confirmés, votre compte est automatiquement vérifié (AUTO_APPROVED)
• Sinon, un membre de notre équipe examine manuellement votre dossier (MANUAL_REVIEW)

Vos droits vis-à-vis de cette décision automatisée :

• Vous pouvez demander une intervention humaine à tout moment en écrivant à privacy@loyable.be
• Vous pouvez contester la décision et demander un réexamen
• Vous pouvez exprimer votre point de vue par écrit

La décision automatisée ne concerne que la vérification du loyer. Toutes les autres décisions (exclusion de l'app, suspension, récompenses spéciales) sont prises par une personne physique.

Précision sur le mode de paiement déclaré (paymentMode). Le mode de paiement déclaré par l'Utilisateur (cf. CGU article 3.5 et section 3.6 de la présente politique) constitue un critère d'éligibilité explicite vérifié par l'algorithme : lorsqu'un Utilisateur déclare le mode colocataire remboursant en interne un autre co-preneur, l'algorithme ne déclenche pas la vérification automatisée du loyer et ne comptabilise pas de Points au titre des virements éventuels qui seraient détectés depuis son compte. Si vous estimez que ce critère a été mal appliqué à votre situation — par exemple parce que vous avez changé de mode de paiement effectif sans mettre à jour votre statut dans l'Application — vous pouvez à tout moment demander une réévaluation humaine en écrivant à privacy@loyable.be, conformément aux droits prévus à l'article 22 du RGPD. Loyable s'engage à examiner votre demande dans le délai prévu à la section 10.

6. Qui reçoit vos données ?

6.1 Au sein de Loyable

Seules les personnes habilitées ont accès à vos données, avec des permissions limitées à leur rôle. Aujourd'hui, l'équipe Loyable est restreinte à son exploitant (Emin Ozbek) et aux prestataires techniques sous contrat de confidentialité.

6.2 Nos prestataires techniques (sous-traitants au sens RGPD)

Nous recourons aux sous-traitants suivants, organisés par catégorie fonctionnelle. Chaque sous-traitant est lié à Loyable par un Accord de Traitement des Données (DPA) conforme à l'article 28.3 RGPD, n'utilise vos données que sur nos instructions documentées, et applique des mesures techniques et organisationnelles conformes à l'article 32 RGPD (chiffrement en transit TLS 1.2+, chiffrement au repos AES-256, contrôle d'accès RBAC, journalisation des accès, notification de violation sous 72 heures).

Infrastructure et plateforme (hébergement des données)

Services bancaires et financiers

Messagerie et notifications

Déploiement et observabilité

Analytique produit et anti-fraude

La liste consolidée des sous-traitants, à jour, est disponible dans notre registre interne des sous-traitants (article 30 RGPD) et consultable sur simple demande à privacy@loyable.be.

Fournisseurs d'authentification fédérée (responsables autonomes). Lorsque vous choisissez de vous connecter via Sign in with Apple (Apple Distribution International Ltd, Irlande) ou Sign in with Google (Google Ireland Ltd, Irlande), vous ouvrez une session directe chez Apple ou Google, qui nous retourne uniquement votre adresse e-mail et un identifiant technique. Apple et Google agissent ici en qualité de responsables du traitement autonomes au sens des Lignes directrices 07/2020 du Comité européen de la protection des données — et non en qualité de sous-traitants de Loyable. Leur traitement est régi par leurs propres politiques de confidentialité : Apple et Google.

Qualification juridique de Bridge (Perspecteev SAS). Bridge agit en qualité de sous-traitant au sens de l'article 28 du RGPD : Loyable détermine seule la finalité du traitement (détection du paiement du loyer pour attribution des points de fidélité) et les moyens essentiels du traitement (paramètres de détection, durée de stockage des résultats, règles métier). Bridge exécute ce traitement sur instruction contractuelle de Loyable, formalisée par un Accord de Traitement des Données (DPA) conforme à l'article 28.3 RGPD. Bridge ne réutilise pas vos données bancaires à ses propres fins commerciales. Parallèlement, Bridge est AISP (Account Information Service Provider) autonome agréé par l'ACPR au titre de la directive DSP2 (UE 2015/2366) et du règlement délégué EBA RTS : il est soumis à ses propres obligations réglementaires (sécurité, authentification forte du client — SCA, expiration à 180 jours des consentements AIS persistants) dont il répond directement devant son régulateur. Loyable n'utilise pas le format de consentement persistant de 180 jours : elle privilégie un modèle « one-shot » par session (voir §3.2). Pour en savoir plus sur les traitements opérés par Bridge pour son propre compte, vous pouvez consulter la politique de confidentialité de Bridge : https://bridgeapi.io/fr/politique-de-confidentialite.

6.3 Transferts hors de l'UE

La majorité de vos données personnelles identifiables est hébergée dans l'Espace Économique Européen (Supabase Francfort, Render Francfort, Bridge France, Stripe Irlande, APNs Irlande, FCM Irlande ; voir §6.2). Certains de nos sous-traitants techniques sont toutefois établis aux États-Unis et reçoivent des données personnelles limitées dans le cadre de leurs services :

Ces transferts sont encadrés par deux couches juridiques cumulatives :

1. La décision d'adéquation UE–États-Unis (Data Privacy Framework, décision d'exécution (UE) 2023/1795 de la Commission européenne du 10 juillet 2023) lorsque le sous-traitant concerné est certifié DPF ;
2. Les Clauses Contractuelles Types (Standard Contractual Clauses, décision d'exécution (UE) 2021/914 du 4 juin 2021), intégrées à nos DPA à titre subsidiaire ou cumulatif, accompagnées d'une analyse d'impact des transferts (Transfer Impact Assessment) conformément à l'arrêt CJUE Schrems II (C-311/18).

En cas d'invalidation future du DPF ou de modification du cadre juridique, les Clauses Contractuelles Types continueront à s'appliquer et nous vous informerons par une mise à jour de la présente politique.

6.4 Autorités publiques

Nous pouvons être tenus de transmettre certaines données à des autorités compétentes (administration fiscale, forces de l'ordre sur réquisition judiciaire, Autorité de Protection des Données). Nous vous en informerons dans la mesure où la loi nous le permet.

7. Combien de temps nous conservons vos données

8. Comment nous sécurisons vos données

Conformément à l'article 32 du RGPD, Loyable met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque :

• Chiffrement en transit : toutes les communications utilisent TLS 1.2 ou supérieur
• Chiffrement au repos : AES-256 sur la base de données et le stockage
• Contrôle d'accès par rôle (RBAC) : chaque personne accède uniquement aux données nécessaires à sa mission
• Row-Level Security (RLS) : chaque utilisateur ne peut accéder qu'à ses propres données
• Authentification forte : exigence de mots de passe robustes. Des mécanismes d'authentification renforcée pourront être introduits au fil des évolutions du Service, en fonction de l'évaluation continue des risques.
• Journal d'audit : toutes les actions sensibles sont tracées, avec horodatage sécurisé et empreintes cryptographiques SHA-256 pour les traitements probatoires (notamment concours Loya'Free — voir §3.7)
• Sauvegardes chiffrées et testées régulièrement
• Mises à jour de sécurité appliquées en continu
• Notification de violation : en cas de violation de données à caractère personnel susceptible d'engendrer un risque pour vos droits et libertés, Loyable notifie l'Autorité de Protection des Données dans un délai de 72 heures (Art. 33 RGPD) et vous en informe dans les meilleurs délais si le risque est élevé (Art. 34 RGPD)

Registre des activités de traitement. Conformément à l'article 30 du RGPD, Loyable tient un registre interne des activités de traitement documentant, pour chaque traitement : la finalité, les catégories de personnes concernées, les catégories de données, les destinataires, les transferts hors UE, les durées de conservation et les mesures de sécurité. Ce registre, qui couvre notamment le concours Loya'Free, est tenu à la disposition de l'Autorité de Protection des Données sur simple demande.

9. Vos droits

Vous disposez de l'ensemble des droits prévus par le RGPD et la loi belge du 30 juillet 2018 :

10. Comment exercer vos droits

Par e-mail : privacy@loyable.be

Canal principal d'exercice : l'ensemble de ces droits est d'ores et déjà exerçable par courriel à privacy@loyable.be, sans formalisme particulier. Loyable se réserve la possibilité d'introduire, au fil des évolutions du Service, un espace en self-service dans l'Application pour faciliter ces démarches ; cette évolution ne modifiera ni l'étendue de vos droits, ni le canal email qui reste en tout état de cause disponible.

Délai de réponse : un mois maximum à compter de la réception de votre demande (extensible de deux mois supplémentaires en cas de complexité, avec information préalable de votre part).

Vérification d'identité : nous pouvons vous demander de prouver votre identité avant de traiter certaines demandes sensibles (accès, effacement), afin de protéger votre compte.

Gratuité : l'exercice de vos droits est gratuit. Nous ne facturons un montant raisonnable qu'en cas de demandes manifestement infondées ou excessives (ce qui est rare).

11. Autorité de contrôle et réclamation

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de l'Autorité de Protection des Données (APD) de Belgique :

Autorité de Protection des Données Rue de la Presse 35, 1000 Bruxelles Téléphone : +32 (0)2 274 48 00 E-mail : contact@apd-gba.be Site web : www.autoriteprotectiondonnees.be

Nous vous encourageons toutefois à nous contacter en premier lieu à privacy@loyable.be — nous mettrons tout en œuvre pour répondre à vos préoccupations rapidement et amiablement.

12. Cookies et traceurs dans l'application

L'application mobile Loyable utilise uniquement les technologies suivantes :

• Stockage local sécurisé pour mémoriser votre session (jeton d'authentification)
• Identifiants techniques pour les notifications push (Expo Push Notifications, routés ensuite vers Apple APNs ou Google FCM selon votre système d'exploitation) — utilisés uniquement si vous autorisez les notifications
• Mesure d'audience anonymisée et sans cookie sur la liste d'attente et le portail marchand (Vercel Web Analytics / Speed Insights) — aucune identification directe

Nous n'utilisons aucun cookie publicitaire, aucun traceur tiers à but commercial.

13. Modifications de cette politique

Nous pouvons être amenés à modifier cette politique pour refléter des évolutions légales, techniques, ou fonctionnelles. En cas de modification substantielle, nous vous en informerons :

• Par un message dans l'application
• Par e-mail à l'adresse associée à votre compte
• Au moins 30 jours avant l'entrée en vigueur des modifications

La version la plus récente est toujours accessible dans l'application et sur loyable.be/confidentialite.

14. Questions ?

Pour toute question relative à cette politique ou au traitement de vos données personnelles :

• E-mail dédié : privacy@loyable.be
• Courrier postal : Loyable, Rue Saint Leonard 126, 4000 Liège, Belgique

Nous nous engageons à vous répondre dans les plus brefs délais.

15. Liste d'attente (loyable.be)

Avant le lancement public de l'Application mobile, Loyable opère une liste d'attente accessible sur le site loyable.be, permettant aux personnes intéressées de manifester leur intérêt et, le cas échéant, de bénéficier d'un statut prioritaire à l'ouverture du Service. La présente section décrit, conformément aux principes de transparence (Art. 12 RGPD) et de loyauté (Art. 5, §1, a RGPD), les traitements opérés dans ce cadre, qui sont distincts des traitements opérés via l'Application mais relèvent du même responsable de traitement (cf. section 1).

15.1 Données collectées via la liste d'attente

15.2 Finalités du traitement

Les données ci-dessus sont utilisées exclusivement pour :

• gérer l'inscription à la liste d'attente Loyable ;
• informer les inscrits du lancement de l'Application et de l'avancement du projet, ainsi que de leur position relative dans la file le cas échéant ;
• gérer le système de parrainage (suivi des invitations et des conversions) ;
• prioriser le déploiement géographique en fonction de la demande exprimée.

15.3 Base légale

Le traitement repose sur le consentement exprès de l'Utilisateur (Art. 6.1.a RGPD), exprimé lors de l'inscription volontaire à la liste d'attente. Ce consentement est révocable à tout moment, sans rétroactivité sur les traitements antérieurs, par simple demande à privacy@loyable.be ou par l'utilisation du lien de désinscription présent dans chaque e-mail de Loyable.

15.4 Durée de conservation

Les données de la liste d'attente sont conservées jusqu'au lancement de l'Application auquel l'Utilisateur est éligible, ou jusqu'à sa demande de suppression. Après le lancement, les données des inscrits non convertis en Compte Loyable sont supprimées dans un délai de douze (12) mois, sauf demande contraire expresse de l'Utilisateur.

15.5 Sous-traitants spécifiques à la liste d'attente

Dans le cadre de la liste d'attente, les données sont hébergées et traitées exclusivement par les sous-traitants suivants, qui sont également listés à la section 6.2 :

• Supabase Inc. — hébergement de la base de données (région UE, Francfort) ;
• Vercel Inc. — hébergement du site web et mesure d'audience anonymisée ;
• Resend, Inc. — envoi des e-mails transactionnels et de confirmation.

Aucun autre sous-traitant ne reçoit les données de la liste d'attente.

15.6 Cookies et traceurs sur le site loyable.be

Le site loyable.be n'utilise aucun cookie publicitaire ni traceur tiers à but commercial. Les seuls cookies utilisés sont strictement nécessaires au fonctionnement du site, à la sécurité, et à la mesure d'audience anonymisée et sans cookie (Vercel Web Analytics / Speed Insights).

15.7 Droits des inscrits à la liste d'attente

Les inscrits à la liste d'attente disposent de l'ensemble des droits prévus aux sections 9 et 10 de la présente politique. Le canal d'exercice est identique : privacy@loyable.be.

---

Cette politique a été rédigée conformément au Règlement (UE) 2016/679 (RGPD), à la loi belge du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, et aux lignes directrices du Comité européen de la protection des données (CEPD / EDPB).

Document rédigé en français. Une version néerlandophone sera publiée lors de l'extension de Loyable à la Flandre.