POLITIQUE DE COOKIES

Date de dernière mise à jour : 4 janvier 2026
Version : 2.0 (Complétude légale, clarifications sécurité)
Droit applicable : Luxembourg, Belgique, RGPD & LSSI-CE

🎯 Résumé Rapide

En 30 secondes :

• ✅ Cookies strictement nécessaires = authentification + sécurité

• ❌ Zéro cookies publicitaires

• ❌ Zéro traceurs commerciaux

• ❌ Zéro analytics (Google Analytics, Hotjar, etc.)

• 📋 Gestion des cookies = paramètres navigateur

• 🔐 Entièrement chiffré (HTTPS)

1. Qu'est-ce qu'un Cookie ?

Un cookie est un petit fichier texte déposé sur votre disque dur (via votre navigateur) lorsque vous visitez un site web.

Fonctionnement :

1. Site envoie un cookie au navigateur

2. Navigateur le stocke localement

3. À chaque nouvelle visite, navigateur renvoie le cookie au site

4. Site reconnaît l'utilisateur / restaure des données

Taille : Typiquement < 4 KB par cookie

Technologie moderne : Certains sites utilisent localStorage ou sessionStorage (équivalent moderne des cookies, même principes)

2. Cookies Utilisés par BIMsmarter

2.1 - Cookies Strictement Nécessaires ✅

Statut : Obligatoires pour le service
Consentement requis : NON (fourniture du service)
CNPD/RGPD : Exempt de consentement préalable

Les Cookies :

Nom Provider Durée Finalité Obligatoire

session Google Firebase Session (1h) Authentification utilisateur OUI

__Host-session Google Firebase Session Token de session sécurisé OUI

firebase_token Google Firebase Variable (7j-30j) Jeton d'authentification JWT OUI

csrf_token BIMsmarter App Session Protection contre CSRF attack OUI

locale BIMsmarter App 1 an Préférence langue/région NON

theme BIMsmarter App 1 an Préférence thème (clair/sombre) NON

Finalités Détaillées :

Authentification & Session (Firebase)

• Vous identifier de manière sécurisée

• Maintenir votre session active (évite reconnexion à chaque page)

• Chiffrer les échanges (TLS 1.3 + validation JWT)

• Expirer automatiquement si inactivité

Protection de Sécurité (CSRF)

• Prévenir les attaques Cross-Site Request Forgery

• Valider que les requêtes viennent vraiment de vous

• Token aléatoire unique par session

Préférences Utilisateur

• Langue (FR/EN/DE/etc.)

• Thème d'affichage (clair/sombre)

• Paramètres d'interface

• Accessibilité (sans ces cookies, réinitialisation à chaque visite)

2.2 - Cookies Analytiques ❌ AUCUN

Status : NON utilisés par BIMsmarter
Providers évités : Google Analytics, Hotjar, Mixpanel, Amplitude, etc.

Raison : Respect de la vie privée + minimisation des données

Conséquence : Nous ne savons pas :

• Combien de pages vous consultez

• Combien de temps vous restez

• D'où vous venez

• Quels appareil/navigateur vous utilisez (globalement)

(Cette inconnaissance peut sembler mauvaise pour l'analytics, mais c'est un choix délibéré : transparence > données commerciales)

2.3 - Cookies Publicitaires ❌ AUCUN

Status : NON utilisés
Providers évités : Google Ads, Facebook Pixel, LinkedIn Ads, etc.

Conséquence :

• ❌ Pas de retargeting (les pubs ne vous suivent pas ailleurs)

• ❌ Pas de profil commercial vendu à des tiers

• ❌ Pas de tracking cross-site (vous partagez avec Facebook, Google, etc.)

3. Local Storage & Session Storage

Qu'est-ce que c'est ?
Équivalent moderne du cookie (même but, technologie JavaScript).

Utilisation par BIMsmarter :

• Stockage local des configurations (même finalité que cookies préférences)

• Cache de données (améliore vitesse)

• Données temporaires (nettoyées à la fermeture)

Règles identiques au cookie :

• Chiffrement HTTPS en transit

• Accessible seulement par le site d'origine (isolation navigateur)

• Peut être vidé manuellement (Paramètres > Données de site)

4. Gestion des Cookies par L'Utilisateur

4.1 - Bloquer/Supprimer les Cookies

Navigateur Chrome :

1. Paramètres → Confidentialité et sécurité → Cookies et autres données de site

2. Sélectionner "Bloquer les cookies tiers" (optionnel)

3. Gérer les exceptions pour bimsmarter.eu

Navigateur Firefox :

1. Paramètres → Vie privée et sécurité → Cookies et données de sites

2. Sélectionner niveau protection (standard/strict)

Navigateur Safari (Mac/iOS) :

1. Réglages → Confidentialité → Gérer les données des sites

2. Sélectionner bimsmarter.eu et supprimer

Internet Explorer / Edge :

1. Paramètres → Confidentialité → Gérer les données de navigation

2. Cocher "Cookies" et cliquer "Supprimer"

4.2 - Impact de Bloquer les Cookies

⚠️ Si vous bloquez les cookies de BIMsmarter :

Cas 1 : Cookies strictement nécessaires bloqués

• ❌ Authentification impossible

• ❌ L'app ne fonctionne pas

• ❌ Erreur "Vous n'êtes pas connecté"

Cas 2 : Cookies préférences bloqués

• ✅ L'app fonctionne toujours

• ⚠️ Vos préférences langue/thème ne sont pas sauvegardées

• ⚠️ Réinitialisation à chaque visite

Solution : Accepter les cookies, OU contacter contact@bimsmarter.eu pour désactiver le strict nécessaire (solution technique alternative)

4.3 - Opt-Out & Consentement

Statut : Cookies strictement nécessaires = pas de consentement requis

Raison juridique : Article 82 de la Directive LSSI-CE (réglementations équivalentes) exempte les cookies techniques necessaires.

Citation officielle (CNIL) :

"Les cookies techniques qui permettent à l'internaute d'accéder au service demandé n'ont pas besoin du consentement préalable"

Conséquence :

• ✅ Pas de banneau "cookies" obligatoire pour l'authentification

• ⚠️ Mais bonne pratique = informatif (cette page)

5. Sécurité des Cookies

5.1 - Chiffrement & Transmission

Tous les cookies de BIMsmarter sont :

✅ Transmis en HTTPS (TLS 1.3)

• Chiffrement bout-à-bout

• Certificat SSL valide

• Impossible d'intercepter en clair

✅ Marqués HttpOnly (pour cookies d'authentification)

• JavaScript n'y a pas accès (prévient vol XSS)

• Seulement transmis au serveur

✅ Marqués Secure

• Transmission seulement en HTTPS

• Bloqué en HTTP (nunca utilisé)

✅ SameSite=Strict

• Pas envoyé lors de requêtes cross-site (prévient CSRF)

5.2 - Validité & Expiration

Type Durée Auto-extension

Session (authentification) 1 heure OUI (chaque action)

Token JWT 7-30 jours OUI (renouvellement)

Préférences 1 an NON

Comportement :

• Session expire après 1h d'inactivité

• Vous redevez vous reconnecter (normal)

• Données sauvegardées (pas perdues)

5.3 - Protection CSRF & XSS

CSRF (Cross-Site Request Forgery) :

• Attaque : un site malveillant essaie de faire une action en votre nom

• Protection BIMsmarter : Token CSRF unique par session

• Résultat : Demande rejetée si token invalide

XSS (Cross-Site Scripting) :

• Attaque : injection de code JavaScript malveillant

• Protection BIMsmarter : Validation inputs, Content Security Policy (CSP)

• Résultat : Script malveillant bloqué par navigateur

6. Données Non Stockées en Cookie

❌ Nous ne stockons JAMAIS en cookie :

• Mot de passe (hashé en base, jamais en cookie)

• Données personnelles brutes (email non chiffré)

• Données sensibles (tokens d'accès au CDE, clés API)

• Informations de carte bancaire

Données sensibles = Token JWT encrypté + validation côté serveur

7. Tiers & Partage de Cookies

7.1 - Cookies Tiers

BIMsmarter n'utilise PAS de cookies tiers (de prestataires externes, sauf Firebase & Hostinger)

Cookies tiers bloqués :

• ❌ Google Analytics

• ❌ Facebook Pixel

• ❌ LinkedIn Insights

• ❌ Hotjar

• ❌ Plugins sociaux (partage)

Conséquence : Vous n'êtes pas suivi entre bimsmarter.eu et d'autres sites.

7.2 - Prestataires & Partage

Google Firebase (authentification)

• Reçoit : Token de session chiffré, logs d'authentification

• NE reçoit PAS : Vos configurations métier, vos documents

• Isolation : Données isolées de votre compte Google personnel

Hostinger (hébergement)

• Reçoit : Logs serveur technique (IP, durée)

• NE reçoit PAS : Données utilisateur (chiffrées au repos)

• Accord DPA signé

Groq (IA, si utilisé)

• Reçoit : Votre requête + contexte demandé

• NE reçoit PAS : Authentification, données configurées

• Accord ToS signé

8. Conformité RGPD & Régulations

8.1 - RGPD 2016/679

Cookies = données personnelles ?

• OUI (identifiants techniques = données personnelles indirectes)

Droits appliqués :

• ✅ Droit d'accès : Paramètres navigateur montrent vos cookies

• ✅ Droit de suppression : Videz les cookies facilement

• ✅ Droit de portabilité : Cookies exportables

• ✅ Droit d'opposition : Bloquez les cookies dans les réglages

Voir aussi : Politique RGPD complète

8.2 - LSSI-CE & Directives Européennes

Directive ePrivacy (2002/58/CE, amende 2009/136/CE) :

• Cookies techniques exempts de consentement ✅

• Cookies non-techniques : consentement requis ⚠️

Mise en œuvre BIMsmarter :

• Cookies strictement nécessaires = exempts ✅

• Aucun cookie optionnel sans consentement ✅

• Cette page documente la pratique ✅

9. Questions Fréquentes

Q : Êtes-vous en conformité RGPD pour les cookies ?

R : OUI, 100%

Preuve :

• ✅ Seuls cookies strictement nécessaires utilisés

• ✅ Pas de cookie tiers (Google Analytics, Facebook, etc.)

• ✅ Chiffrement et sécurité (HTTPS, HttpOnly, SameSite)

• ✅ Documentation transparente (cette page)

• ✅ Droit d'accès/suppression possible (paramètres navigateur)

Q : Mes données sont-elles vendues ?

R : NON, jamais.

Preuve :

• ❌ Pas de Google Analytics (pas de profil commercial)

• ❌ Pas de Facebook Pixel (pas de profil publicitaire)

• ❌ Pas de traceurs tiers

• ✅ Accord contractuel avec Firebase/Hostinger (zéro revente)

Q : Puis-je refuser tous les cookies ?

R : Presque. Exceptions :

• Cookies techniques = obligatoires (l'app ne fonctionne pas sans)

  • Solution : Bloquez-les, l'app sera indisponible (normal)

  • Alternative : Contactez-nous pour mode non-web (API)

• Cookies préférences = optionnels

  • Solution : Bloquez-les, préférences réinitialisées à chaque visite

Banneau de consentement ?

• ❌ Pas nécessaire pour les cookies techniques

• ✅ Mais cette page = documentation équivalente

Q : Pourquoi pas Google Analytics ou Hotjar ?

R : Choix délibéré pour respecter votre vie privée.

Raisons :

• Google Analytics envoie vos données à Google (extra-UE)

• Permet ciblage publicitaire (même sans acheter d'ads)

• Perte de anonymat (profil commercial construit)

Alternative : Nous utilisons des statistiques agrégées anonymes (pas de suivi individuel)

Q : Comment puis-je savoir quels cookies j'ai ?

R : Paramètres navigateur.

Chrome :

1. F12 → Onglet Application → Cookies → bimsmarter.eu

2. Vous voyez tout : nom, valeur, expiration, domaine

Firefox :

1. F12 → Onglet Stockage → Cookies

2. Idem

Q : Groq a-t-il accès à mes cookies ?

R : NON.

Raison :

• Groq ne reçoit que vos requêtes IA (prompt)

• Pas d'accès aux cookies d'authentification

• Isolation complète (domaine différent)

Voir aussi : Section Groq en politique RGPD

Q : Que signifie "SameSite=Strict" ?

R : Protection contre les attaques CSRF.

Exemple d'attaque :

1. Vous êtes connecté à BIMsmarter

2. Vous visitez un site malveillant

3. Le site malveillant essaie de faire : POST /delete-project en votre nom

4. Sans SameSite : l'attaque réussit

5. Avec SameSite=Strict : l'attaque échoue (cookie pas envoyé)

10. Modifications de Cette Politique

BIMsmarter se réserve le droit de modifier cette politique pour :

• Conformité légale (nouvelles régulations)

• Évolution technologique (nouveaux types de cookies)

• Amélioration sécurité

Notification : Modifications substantielles vous sont notifiées par email (30 jours préavis).

Dernière révision : 4 janvier 2026

11. Contact & Support

Questions sur cette politique ?

📧 Email : contact@bimsmarter.eu
📋 Objet suggéré : [Cookies] Votre question
🕐 Délai de réponse : 48h

Demandes RGPD :

• Droit d'accès aux données liées aux cookies

• Suppression des cookies

• Clarifications sur la sécurité

Voir aussi : Politique RGPD complète

📚 Ressources Officielles

CNIL (France) :

• Guide des cookies : https://www.cnil.fr/fr/cookies-et-autres-traceurs

CNPD (Luxembourg) :

• Recommandations cookies : https://cnpd.public.lu/

EDPB (European Data Protection Board) :

• Guidelines sur ePrivacy : https://edpb.ec.europa.eu/

📌 Résumé en 1 Image

BIMsmarter Cookies

= 🔒 Sécurité HTTPS

= 🚫 Zéro pub/traceurs

= 📋 Transparence totale

= ✅ RGPD 100%

= 🎚️ Vous contrôlez tout