Politique de confidentialité

La présente politique décrit le traitement des données personnelles par Process SRL, dont le siège social est avenue Albert Einstein 6, 4000 Liège, Belgique.

Process intervient à deux titres :

• Responsable du traitement pour les données collectées via son site web public (formulaire de démo, candidatures, etc.).
• Sous-traitant pour les données traitées par les communes clientes via la plateforme (cf. Charte RGPD).

Nous traitons les catégories de données suivantes :

2.1. Visiteurs du site (process.be)

• Données de formulaire de démo : nom, email, téléphone, commune, modules d'intérêt. Finalité : recontacter le prospect pour planifier une démonstration. Base légale : intérêt légitime (art. 6(1)(f) RGPD). Conservation : 24 mois ou jusqu'à demande de suppression.
• Cookies de session : strictement nécessaires au fonctionnement du site. Aucun cookie analytique ou publicitaire (cf. Cookies).

2.2. Comptes agents et administrateurs

• Identifiants : email, mot de passe haché (bcrypt, 12 rounds), 2FA optionnelle.
• Identité professionnelle : prénom, nom, fonction, département.
• Logs de connexion : adresse IP, horodatage. Conservation : 12 mois (obligation légale de traçabilité des accès aux données publiques).

Finalité : authentification, attribution des actions dans les journaux d'audit, conformité administrative. Base légale : exécution du contrat (art. 6(1)(b)) et obligations légales (art. 6(1)(c)).

2.3. Données métier traitées dans la plateforme

La plateforme stocke les données des dossiers administratifs gérés par les communes : identité des propriétaires, locataires, adresses, etc. Ces données sont sous la responsabilité de la commune cliente — Process agit en sous-traitant.

Vos données sont accessibles uniquement à :

• Les agents de votre commune habilités par votre administrateur communal.
• Les employés autorisés de Process, dans la stricte mesure nécessaire à l'assistance technique, sous obligation de confidentialité contractuelle.
• Nos sous-traitants techniques (hébergeur, prestataire email, etc.), chacun lié par un contrat de sous-traitance conforme à l'art. 28 RGPD. Liste détaillée dans la Charte RGPD.

Aucune donnée n'est jamais cédée, louée ou exploitée à des fins commerciales ou publicitaires.

L'intégralité des données est hébergée en Belgique sur des infrastructures soumises au droit belge et européen (NRB, Proximus NXT ou Combell selon le tier souscrit). Aucun transfert vers des pays tiers, en particulier aucune exposition au CLOUD Act américain.

• Données de démo prospect : 24 mois après le dernier contact.
• Comptes agents actifs : pendant toute la durée du contrat.
• Comptes agents désactivés : 90 jours puis suppression définitive (sauf si la législation impose une conservation plus longue).
• Logs d'audit : 5 ans (conformité aux obligations administratives belges).
• Données métier (dossiers, délibérations) : durée légale de conservation applicable à chaque type de document (variable selon le Code wallon — généralement 10 à 30 ans).
• Sauvegardes : 30 jours glissants, puis écrasement.

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

• Accès aux données vous concernant.
• Rectification des données inexactes ou incomplètes.
• Effacement (« droit à l'oubli ») sous réserve des obligations légales de conservation.
• Limitation du traitement.
• Portabilité vers un autre prestataire (export JSON disponible directement dans la plateforme).
• Opposition au traitement fondé sur l'intérêt légitime.
• Retrait du consentement à tout moment, sans remise en cause de la licéité des traitements antérieurs.

Pour exercer ces droits : dpo@process.be. Délai de réponse : 30 jours maximum.

Vous pouvez à tout moment introduire une plainte auprès de l'Autorité de protection des données belge : autoriteprotectiondonnees.be.

Nous mettons en œuvre les mesures techniques et organisationnelles appropriées pour protéger vos données :

• Chiffrement TLS 1.3 en transit, AES-256 au repos
• Authentification multi-facteurs (2FA TOTP) disponible
• Hashage des mots de passe avec bcrypt (12 rounds)
• Journalisation des accès et des actions sensibles (audit log)
• Sauvegardes chiffrées quotidiennes
• Tests de pénétration annuels
• Plan de gestion d'incident conforme NIS2

En cas de violation de données, nous notifions l'APD dans les 72 heures conformément à l'article 33 du RGPD, et informons les personnes concernées si la violation est susceptible d'engendrer un risque élevé pour leurs droits.

Process a désigné un Délégué à la protection des données dont les coordonnées sont les suivantes :

• Email : dpo@process.be
• Adresse postale : Process SRL — DPO, avenue Albert Einstein 6, 4000 Liège

La présente politique peut être amendée. Toute modification substantielle sera notifiée par email aux administrateurs des communes clientes au moins 30 jours avant son entrée en vigueur.