Charte RGPD

Process traite les données personnelles que la commune cliente intègre dans la plateforme pour les finalités suivantes :

• Gestion des procédures administratives communales (logement, conseil communal, taxes, etc.)
• Génération de documents officiels (courriers, arrêtés, délibérations)
• Suivi des échéances légales
• Conservation des archives administratives

Les catégories de personnes concernées incluent les propriétaires, locataires, citoyens, employés communaux, élus, et tout tiers mentionné dans les dossiers administratifs.

Les catégories de données traitées incluent l'identité (nom, prénom), les coordonnées (adresse, téléphone, email), les données administratives (numéro de registre national lorsque applicable), et les contenus des dossiers (descriptions, pièces, dates).

Le traitement est effectué pendant toute la durée du contrat. À la fin du contrat, les données sont conservées 90 jours pour permettre une éventuelle réactivation, puis définitivement supprimées.

Le Client peut à tout moment demander un export complet de ses données dans des formats standards (JSON, CSV, PDF).

En sa qualité de sous-traitant, Process s'engage à :

• Ne traiter les données que sur instruction documentée du Client.
• Garantir la confidentialité par engagement contractuel de tout son personnel.
• Mettre en œuvre les mesures techniques et organisationnelles appropriées (art. 32 RGPD).
• Notifier le Client de toute violation de données dans les 48 heures de sa découverte.
• Assister le Client dans le respect de ses obligations (analyses d'impact, réponse aux demandes des personnes concernées, etc.).
• Supprimer ou restituer les données à la fin du contrat selon le choix du Client.
• Mettre à disposition les informations nécessaires pour démontrer le respect de ses obligations.
• Permettre les audits du Client ou de son mandataire, avec préavis de 30 jours.

Process recourt aux sous-traitants ultérieurs suivants, chacun lié par un contrat de sous-traitance conforme à l'article 28 RGPD :

Aucun sous-traitant n'est situé en dehors de l'UE. Toute modification de cette liste sera notifiée au Client avec un préavis de 30 jours, lui laissant la possibilité de s'y opposer.

L'intégralité des données est hébergée et traitée exclusivement sur le territoire belge, sur des infrastructures soumises au seul droit belge et européen. Aucune exposition au CLOUD Act américain ou à toute autre législation extraterritoriale.

Les sauvegardes secondaires sont également hébergées en Belgique. Aucun transfert vers un pays tiers n'est effectué dans le cadre de l'exécution normale du contrat.

Process met en œuvre les mesures suivantes pour garantir un niveau de sécurité adapté au risque :

Mesures techniques

• Chiffrement TLS 1.3 en transit pour toutes les communications
• Chiffrement AES-256 au repos pour les données sensibles
• Hashage des mots de passe avec bcrypt (12 rounds)
• Authentification multi-facteurs disponible (TOTP)
• Isolation des données par tenant (architecture multi-tenant stricte)
• Sauvegardes quotidiennes chiffrées, conservées 30 jours
• Restauration testée trimestriellement
• Pare-feu applicatif (WAF) + rate limiting
• Mise à jour continue des dépendances logicielles

Mesures organisationnelles

• Engagement de confidentialité contractuel de tout le personnel
• Politique d'accès aux données strictement basée sur le besoin opérationnel
• Journalisation centralisée des accès et actions sensibles (audit log)
• Plan de gestion d'incident documenté et testé
• DPO désigné, joignable à dpo@process.be
• Formation annuelle du personnel au RGPD et à la sécurité
• Audit de sécurité annuel par un tiers indépendant (à partir de 2027)

Conformément à la directive NIS2 transposée en droit belge, Process :

• S'est enregistré auprès du Centre pour la Cybersécurité Belgique (CCB).
• A désigné un responsable de la cybersécurité.
• A élaboré un plan de gestion des incidents conforme à l'art. 21 NIS2.
• S'engage à notifier tout incident significatif au CCB et au Client dans les délais légaux.

En cas de demande d'une personne concernée adressée directement à Process, celle-ci est transmise sans délai au responsable du traitement (la commune). Process assiste le Client dans le traitement de ces demandes via :

• L'export RGPD intégré (Article 15 — droit d'accès) accessible depuis chaque module
• L'anonymisation des dossiers (droit à l'effacement, sous réserve des obligations légales)
• L'export des données dans un format structuré (Article 20 — portabilité)

En cas de violation de données personnelles, Process notifie le Client par email au DPO de la commune dans les 48 heures de la prise de connaissance, conformément à l'article 33 du RGPD.

La notification contient :

• La nature de la violation et les catégories de données concernées
• Les conséquences probables
• Les mesures prises ou proposées pour remédier à la violation
• Le point de contact pour plus d'informations

À la fin du contrat, le Client dispose de 90 jours pour exporter ses données. Au terme de cette période, Process supprime définitivement et de manière irréversible :

• Toutes les données du Client sur les systèmes de production
• Les sauvegardes contenant ces données, dans un délai maximal de 35 jours supplémentaires (rotation des sauvegardes)
• Les caches, logs applicatifs et fichiers temporaires

Une attestation de destruction est fournie sur demande.

Le Client peut, à ses frais, mander un auditeur indépendant pour vérifier la conformité de Process à la présente charte. L'audit est annoncé par écrit au moins 30 jours à l'avance et ne peut excéder 3 jours ouvrables par an, sauf incident préalable nécessitant un audit ad hoc.