HUMAN GRIDTHE BIO FINTECH - HUMAN MINTAuteur David Mosbeux-BOIP/IP
Join
Translation note

Legal texts (GDPR, ToS, cookies, legal notice) are published in French as they fall under Belgian law. EN/NL versions are provided for information only and have no legal value. The French version prevails.

Trust Center · v2026.04

Trust & Compliance

HUMAN GRID traite des données de santé. Notre engagement : transparence totale sur l'infrastructure, les sous-traitants, les certifications visées et les processus de sécurité.

Hébergement
UE uniquement
Frankfurt + Paris
Chiffrement
AES-256 + TLS 1.3
At-rest & in-transit
RGPD
By-design
Art. 9 santé
Certifications
ISO 27001
Visée 2027

1. Architecture & hébergement

  • Hébergement exclusivement UE (Lovable Cloud / Supabase EU — datacenters certifiés ISO 27001 & SOC 2 Type II).
  • Aucun transfert de données hors UE/EEE pour les données personnelles.
  • Base de données PostgreSQL avec Row-Level Security (RLS) activée sur 100 % des tables sensibles.
  • Séparation stricte des environnements : production, staging, développement.
  • Backups chiffrés quotidiens avec rétention 30 jours et géo-réplication intra-UE.

2. Chiffrement & accès

  • TLS 1.3 obligatoire sur toutes les communications (HSTS preload activé).
  • Chiffrement at-rest AES-256 sur la base de données et les sauvegardes.
  • Mots de passe hachés avec bcrypt + vérification HIBP (Have I Been Pwned).
  • Accès administrateur protégé par MFA obligatoire et journalisation immuable.
  • Rotation automatique des clés de service tous les 90 jours.

3. Données de santé (art. 9 RGPD)

  • Consentement explicite et tracé avant toute connexion à Google Fit ou Apple Health (art. 9.2.a).
  • Journal immuable des consentements (table consent_log) — preuve horodatée en cas d'audit.
  • Données brutes de santé jamais transmises à des tiers ni aux entreprises clientes.
  • Les entreprises CSRD reçoivent uniquement des preuves cryptographiques agrégées (Proof-of-Step ZK).
  • Retrait du consentement en 1 clic depuis Mon compte.

4. Sous-traitants (art. 28 RGPD)

Sous-traitantFinalitéLocalisationDPA
Lovable Cloud / Supabase EUHébergement & base de donnéesUE (Frankfurt)✅ Signé
Cloudflare EUCDN & WAFUE✅ Signé
Google Fitness APISource pas (opt-in user)UE / US (SCC)Standard Google
Apple HealthKitSource pas (opt-in user, phase 2)Local deviceN/A (on-device)

5. Notification de violation (art. 33 RGPD)

  • Notification à l'APD belge (Autorité de protection des données) sous 72 heures en cas de violation à risque.
  • Notification individuelle aux personnes concernées si risque élevé (art. 34).
  • Plan de réponse à incident testé annuellement.
  • Contact responsable sécurité : security@humanmint.be

6. Droits des personnes

Conformément au RGPD, vous pouvez exercer à tout moment depuis Mon compte :

  • Droit d'accès et de portabilité (export JSON complet en 1 clic).
  • Droit à l'effacement (« droit à l'oubli ») — suppression complète sous 30 jours.
  • Droit de rectification depuis votre profil.
  • Droit de retrait du consentement à tout moment.
  • Droit d'opposition et de limitation du traitement.

6 bis. Modes d'activité supportés (méthodologie multi-modes)

HUMAN GRID valorise plusieurs modes de mobilité active, chacun avec une méthodologie distincte et auditable :

ModeFacteur CO₂ évitéPondérationSource
Marche~0,21 g / pas× 1,0ADEME Base Carbone v23.4
Vélo musculaire~150 g / km× 1,0ADEME — substitution voiture moyenne UE (193 g/km WLTP)
VAE (vélo électrique)~75 g / km× 0,5Pondération anti-greenwashing : élec consommée + effort réel moindre

Anti-fraude vélo : toute session vélo n'est validée qu'après corrélation cadence + fréquence cardiaque + GPS (un capteur seul est manipulable). Sessions invalides = exclues du calcul B2B.

Alignement CSRD / ESRS E1 : facteurs documentés ci-dessus = directement réutilisables pour le reporting de Scope 3 catégorie 7 (déplacements domicile-travail) des entreprises clientes.

Cadre belge : conforme à la CCT 164 (indemnité vélo obligatoire 0,35 €/km depuis le 1ᵉʳ mai 2023). HUMAN GRID s'inscrit en complément, pas en substitution, de cette indemnité.

7. Roadmap conformité

  • 2026 Q2 : Audit RGPD externe par cabinet spécialisé (Belgique).
  • 2026 Q4 : Pré-certification ISO 27001 (Stage 1).
  • 2027 : Certification ISO 27001 complète + SOC 2 Type I.
  • 2027 Q4 : SOC 2 Type II + HDS (Hébergeur de Données de Santé) FR.
  • 2028 : Pré-conformité HIPAA pour expansion US.

Pour toute question conformité, audit ou due diligence :

compliance@humanmint.be