Version v2 — Publie le 03/04/2026
Politique de confidentialite
Derniere mise a jour : 3 avril 2026
1. Identite et roles
Hygea Consult SRL Rue des Beaux Pres 136, 1370 Jodoigne, Belgique BCE : 0772.910.351 Email : thomas.giot@hygea-consult.be
1.1 Roles au sens du RGPD
La Plateforme Hygea Consult est fournie en mode SaaS (Software as a Service). Dans ce cadre, les roles en matiere de protection des donnees sont repartis comme suit :
| Role | Entite | Perimetre |
|---|---|---|
| Responsable de traitement | Le Client (l'entite ayant souscrit l'abonnement) | Donnees metier encodees dans la Plateforme (prestataires, volontaires, contacts, etc.) |
| Responsable de traitement | Hygea Consult | Donnees de gestion des comptes utilisateurs, securite, preuves d'acceptation legale |
| Sous-traitant (Art. 28 RGPD) | Hygea Consult | Traitement technique des donnees metier pour le compte du Client |
Chaque Client determine de maniere autonome les finalites et les moyens du traitement des donnees personnelles qu'il introduit dans la Plateforme. Hygea Consult traite ces donnees exclusivement sur instruction du Client et dans le cadre de la fourniture du service.
2. Donnees collectees et traitees
2.1 Donnees de gestion des comptes utilisateurs
Ces donnees sont collectees et traitees par Hygea Consult en tant que responsable de traitement, dans le cadre de la fourniture et de la securisation du service.
| Donnee | Stockage | Finalite | Base legale |
|---|---|---|---|
| Nom complet | Clair | Identification de l'utilisateur | Execution du contrat (Art. 6.1.b) |
| Adresse email | Clair | Authentification, notifications, communication | Execution du contrat (Art. 6.1.b) |
| Mot de passe | Hash bcrypt (12 rounds, jamais stocke en clair) | Authentification | Execution du contrat (Art. 6.1.b) |
| Secret TOTP (2FA) | Chiffre (cast Laravel encrypted) |
Authentification renforcee | Interet legitime — securite (Art. 6.1.f) |
| Codes de recuperation 2FA | Chiffre (cast Laravel encrypted:array) |
Recuperation d'acces en cas de perte du 2FA | Interet legitime — securite (Art. 6.1.f) |
| Statut du compte | Clair (pending, active, rejected) |
Gestion du cycle de vie du compte | Execution du contrat (Art. 6.1.b) |
| Fournisseur OAuth et identifiant | Clair (provider, provider_id) |
Connexion via compte Google | Execution du contrat (Art. 6.1.b) |
| Preferences de notification | Clair (tableau JSON) | Parametrage des alertes email | Consentement (Art. 6.1.a) |
| Roles et permissions | Clair | Controle d'acces (RBAC) | Execution du contrat (Art. 6.1.b) |
2.2 Donnees techniques et de securite
| Donnee | Stockage | Finalite | Base legale |
|---|---|---|---|
| Cookie de session | Chiffre (cote serveur, fichier) | Maintien de la session authentifiee (120 min) | Execution du contrat (Art. 6.1.b) |
| Jeton CSRF | Chiffre (cookie) | Protection contre les attaques cross-site | Interet legitime — securite (Art. 6.1.f) |
| Adresse IP | Clair (table user_legal_acceptances uniquement) |
Preuve d'acceptation des documents legaux | Obligation legale (Art. 6.1.c) |
| Journal d'activite | Clair (table activity_log) |
Tracabilite des operations sensibles | Interet legitime — securite (Art. 6.1.f) |
| Date et heure d'acceptation des CGU/politique | Clair | Preuve du consentement | Obligation legale (Art. 6.1.c) |
Precision sur les adresses IP : la Plateforme ne capture les adresses IP que lors de l'acceptation des documents legaux (CGU, politique de confidentialite). Les adresses IP ne sont pas enregistrees lors de la connexion, de la navigation ou de l'utilisation courante de la Plateforme.
2.3 Journal d'activite (audit trail)
La Plateforme enregistre automatiquement un journal d'activite sur les modeles de donnees suivants, a des fins de tracabilite et de securite :
| Modele | Evenements journalises | Champs traces |
|---|---|---|
| Utilisateur | Creation, modification | Nom, email, statut (uniquement les champs modifies) |
| Prestataire (Moka) | Creation, modification, suppression | Nom, prenom, societe, identifiant externe, grade, section (les donnees sensibles — NISS, INAMI, IBAN, BCE, coordonnees — ne sont pas journalisees ; leurs modifications sont tracees separement dans un registre chiffre dedie) |
| Facture (Moka) | Creation, modification | Numero de facture, statut, dates, montants, analytique (les donnees personnelles vendeur/acheteur ne sont pas journalisees) |
| Activite (Moka) | Creation, modification | Code, type de remuneration |
| Volontaire (Grid) | Creation, modification | Nom, prenom, association |
| Affectation (Grid) | Creation, modification | Volontaire, poste, periode, statut |
| Certificat (Learn) | Creation, modification | Numero, date d'emission, date d'expiration |
Le journal stocke les valeurs avant et apres modification, l'identite de l'utilisateur ayant effectue l'action, et l'horodatage. Les journaux sont conserves pendant un (1) an glissant.
2.4 Donnees metier (responsable de traitement : le Client)
Les donnees suivantes sont encodees et gerees par le Client. Hygea Consult les traite en qualite de sous-traitant technique.
Module Moka — Planning et facturation :
| Donnee | Stockage | Remarque |
|---|---|---|
| Nom, prenom | Clair | |
| Adresse postale, telephone, email | Clair | |
| NISS (numero de registre national) | Chiffre (AES via APP_KEY) | |
| Numero INAMI | Chiffre (AES via APP_KEY) | |
| IBAN (compte bancaire) | Chiffre (AES via APP_KEY) | |
| Numero BCE | Chiffre (AES via APP_KEY) | |
| Societe, grade, section | Clair | |
| Historique des modifications sensibles (ancien/nouveau IBAN, BCE, societe) | Chiffre (Crypt::encryptString) | Via observer automatique |
| Donnees figees sur factures (vendeur, acheteur, montants) | Clair | Copiees au moment de l'emission, non liees dynamiquement |
| Fichiers PDF (factures, exports comptables) | Fichier local (disque serveur) | |
| Email du comptable, transfert automatique | Clair | Optionnel |
Module Connect — SMS :
| Donnee | Stockage | Remarque |
|---|---|---|
| Nom du contact | Clair | |
| Numero de telephone (format E.164) | Clair | Original et normalise |
| Groupe, sous-groupe | Clair | |
| Contenu du SMS | Clair | |
| Metadonnees SMS (segments, encodage, cout, SID Twilio, statut) | Clair | |
| Identifiant de l'expediteur | Clair (user_id) |
Module Grid — Volontaires :
| Donnee | Stockage | Remarque |
|---|---|---|
| Nom, prenom, email, telephone | Clair | |
| Notes | Clair | Saisie libre par l'administrateur |
| Affectations (poste, periode, statut) | Clair | |
| Association | Clair |
Module Learn — Formations :
| Donnee | Stockage | Remarque |
|---|---|---|
| Progression par chapitre (statut, date de completion) | Clair | |
| Tentatives de quiz (score, reussite, reponses) | Clair (reponses en JSON) | |
| Certificats (numero unique, date d'emission, expiration) | Clair | |
| Fichiers PDF de certificats | Fichier local (disque serveur) |
3. Finalites et bases legales
| Finalite | Base legale (RGPD) | Responsable |
|---|---|---|
| Gestion des comptes utilisateurs et authentification | Execution du contrat (Art. 6.1.b) | Hygea Consult |
| Authentification renforcee (2FA TOTP) | Interet legitime — securite (Art. 6.1.f) | Hygea Consult |
| Connexion via compte Google (OAuth) | Execution du contrat (Art. 6.1.b) | Hygea Consult |
| Securite du systeme (journaux d'activite, audit) | Interet legitime — securite (Art. 6.1.f) | Hygea Consult |
| Preuve d'acceptation des documents legaux (horodatage, IP) | Obligation legale (Art. 6.1.c) | Hygea Consult |
| Communications operationnelles (pannes, maintenance, securite) | Execution du contrat (Art. 6.1.b) | Hygea Consult |
| Communications commerciales (nouveaux produits Hygea Consult) | Consentement (Art. 6.1.a) | Hygea Consult |
| Gestion du planning et des prestations | Execution du contrat (Art. 6.1.b) | Client |
| Facturation et comptabilite | Obligation legale (Art. 6.1.c) | Client |
| Envoi de SMS aux contacts | Determine par le Client | Client |
| Gestion des volontaires pour evenements | Execution du contrat (Art. 6.1.b) | Client |
| Formation, evaluation et certification | Execution du contrat (Art. 6.1.b) | Client |
4. Durees de conservation
| Donnee | Duree de conservation | Fondement |
|---|---|---|
| Identite utilisateur (nom, email) | Duree de la relation + 5 ans | Prescription civile belge |
| Mot de passe (hash) | Duree du compte | Supprime a la cloture du compte |
| Secret 2FA et codes de recuperation | Duree du compte | Supprime a la cloture ou desactivation du 2FA |
| Identifiant OAuth Google | Duree du compte | Supprime a la cloture du compte |
| Preferences de notification | Duree du compte | Supprime a la cloture du compte |
| Adresse IP (acceptation legale) | Duree de la relation + 10 ans | Preuve du consentement (Art. 7.1 RGPD) |
| Coordonnees prestataire (adresse, telephone, email) | Duree de la relation + 5 ans | Prescription civile |
| NISS | Duree de la relation + 10 ans | Obligations fiscales et sociales belges |
| INAMI | Duree de la relation + 10 ans | Obligations fiscales et sociales belges |
| IBAN | Duree de la relation + 10 ans | Obligation comptable (Art. III.86 CDE) |
| BCE | Duree de la relation + 10 ans | Obligation comptable (Art. III.86 CDE) |
| Factures et donnees comptables (y compris PDF) | 10 ans a compter de l'emission | Code TVA belge (Art. 60) |
| Donnees figees sur facture (vendeur/acheteur) | 10 ans a compter de l'emission | Obligation comptable — non modifiables apres emission |
| Historique modifications sensibles | Supprime lors de l'anonymisation RGPD | Audit — lie au cycle de vie du prestataire |
| Journal d'activite (audit trail) | 1 an glissant | Proportionnalite (RGPD Art. 5.1.e) |
| Sessions (fichiers serveur) | 120 minutes (revoquees a la deconnexion) | Minimisation des donnees |
| Contacts SMS (noms, telephones) | Duree de la relation | Supprime avec l'instance client |
| Logs SMS (contenu, metadonnees) | Duree de la relation + 5 ans | Preuve d'envoi et facturation |
| Volontaires (noms, coordonnees) | Duree de la relation | Supprime avec l'instance client |
| Progression et resultats de formations | Duree de la relation + 5 ans | Prescription civile |
| Certificats (y compris PDF) | Duree de la relation + 10 ans | Valeur probatoire |
| Acceptation documents legaux (date, IP, document) | Duree de la relation + 10 ans | Preuve du consentement |
A l'expiration des durees de conservation, les donnees sont supprimees ou anonymisees de maniere irreversible.
5. Mesures de securite techniques et organisationnelles
5.1 Chiffrement et hashage
| Mesure | Implementation technique |
|---|---|
| Chiffrement des donnees sensibles en base | Chiffrement applicatif Laravel (AES via APP_KEY) pour les champs NISS, INAMI, IBAN, BCE, secret 2FA, codes de recuperation, valeurs de modifications sensibles |
| Hashage des mots de passe | bcrypt avec 12 rounds — le mot de passe en clair n'est jamais stocke ni transmis |
| Chiffrement des sessions | Sessions chiffrees cote serveur (stockage fichier) |
| Chiffrement de tous les cookies | Middleware EncryptCookies actif sur tous les cookies sans exception |
| Communications en transit | HTTPS/TLS obligatoire en production |
5.2 Authentification et controle d'acces
| Mesure | Implementation technique |
|---|---|
| Authentification primaire | Identifiant (email) + mot de passe (bcrypt) |
| Authentification a deux facteurs | TOTP (Google Authenticator, Authy, etc.) avec codes de recuperation chiffres — activation recommandee |
| Connexion sociale | Google OAuth via Laravel Socialite — aucun mot de passe Google n'est stocke |
| Gestion des roles | RBAC (Role-Based Access Control) via Spatie Laravel Permission — permissions granulaires par module |
| Isolation des donnees | Base de donnees dediee par client — aucun partage de donnees entre instances |
| Workflow de validation | Comptes utilisateurs soumis a validation par un administrateur (statut pending → active) |
| Expiration des tokens | Tokens de reinitialisation de mot de passe : 60 minutes. Limitation : 1 demande par 60 secondes |
5.3 Protection applicative
| Mesure | Implementation technique |
|---|---|
| Protection CSRF | Middleware VerifyCsrfToken actif sur toutes les routes web, sans exception |
| Protection anti-bot | Cloudflare Turnstile (CAPTCHA) sur le formulaire d'inscription publique |
| Limitation de debit (rate limiting) | 60 requetes par minute par utilisateur authentifie ou par adresse IP sur les routes API |
| Cookies securises | HttpOnly (inaccessible au JavaScript), SameSite=Lax |
5.4 Audit et tracabilite
| Mesure | Implementation technique |
|---|---|
| Journal d'activite | Spatie Activity Log sur les modeles sensibles (voir section 2.3) — enregistrement automatique des modifications |
| Surveillance des donnees bancaires | Observer automatique (MokaPrestataireObserver) detectant toute modification d'IBAN, BCE ou societe — notification aux administrateurs |
| Preuve de consentement | Enregistrement de l'adresse IP, de la date et de l'heure lors de l'acceptation des documents legaux |
5.5 Infrastructure
| Mesure | Implementation technique |
|---|---|
| Hebergement | AWS Lightsail — infrastructure cloud securisee, regions EU privilegiees |
| Isolation des instances | Une base de donnees MySQL/MariaDB dediee par client |
| Deploiement | Pipeline CI/CD automatise (GitLab) — aucun acces manuel aux donnees en production |
| Cache | Redis (donnees de cache et de session temporaires, aucune donnee personnelle persistante) |
6. Cookies et stockage local
6.1 Cookies strictement necessaires
La Plateforme utilise exclusivement des cookies strictement necessaires au fonctionnement du service. Conformement a l'article 5(3) de la directive ePrivacy (2002/58/CE), ces cookies ne requierent pas de consentement prealable.
| Cookie | Finalite | Duree | Securite |
|---|---|---|---|
[app_name]_session |
Maintien de la session authentifiee | 120 minutes | Chiffre, HttpOnly, SameSite=Lax |
XSRF-TOKEN |
Protection contre les attaques CSRF | Duree de session | Chiffre, SameSite=Lax |
Le nom du cookie de session est derive du nom de l'application et varie selon l'instance.
Tous les cookies sont chiffres par le middleware EncryptCookies avant d'etre envoyes au navigateur. Aucun cookie n'est exclu du chiffrement.
6.2 Cookies de services tiers
| Service | Finalite | Declenchement | Localisation | Duree |
|---|---|---|---|---|
| Cloudflare Turnstile | Protection anti-bot (CAPTCHA) | Page d'inscription publique uniquement (/register) |
Global (mecanisme de conformite UE) | Session |
6.3 Stockage local (PWA)
La Plateforme est installable en tant qu'application web progressive (PWA). Le service worker utilise un cache local pour les ressources statiques (CSS, JavaScript, images, icones) avec une strategie "cache-first" pour les assets et "network-first" pour la navigation.
Aucune donnee personnelle n'est mise en cache par le service worker. Les appels API et les communications Livewire sont explicitement exclus du cache. Le cache est versionne et peut etre purge a chaque mise a jour.
6.4 Absence de cookies non essentiels
Aucun cookie publicitaire, analytique, de tracking ou de profilage n'est utilise. La Plateforme ne recourt a aucun outil de suivi comportemental (Google Analytics, Meta Pixel, etc.) ni a aucune technologie de ciblage publicitaire.
7. Sous-traitants ulterieurs
Conformement a l'article 28 du RGPD, Hygea Consult fait appel aux sous-traitants ulterieurs suivants pour la fourniture du service :
| Sous-traitant | Finalite | Donnees concernees | Localisation | Garanties |
|---|---|---|---|---|
| Amazon Web Services (AWS) | Hebergement de l'infrastructure (Lightsail) | Toutes les donnees hebergees sur la Plateforme | Global (regions EU privilegiees) | Clauses contractuelles types, ISO 27001, SOC 2 |
| Cloudflare Inc. | Protection anti-bot (Turnstile) sur le formulaire d'inscription | Adresse IP, empreinte navigateur (cote client uniquement) | Global | Mecanisme de conformite UE, clauses contractuelles types |
| Twilio Inc. | Envoi de SMS (module Connect uniquement, si active) | Numero de telephone du destinataire, contenu du SMS | Etats-Unis | Clauses contractuelles types (Art. 46.2.c), SOC 2 |
| Google LLC | Authentification OAuth (si activee par l'utilisateur) | Nom, email, identifiant Google | Etats-Unis | Mecanisme de conformite UE, clauses contractuelles types |
| Service d'email transactionnel (configurable : Mailgun / AWS SES) | Envoi des notifications par email | Adresse email du destinataire, contenu de la notification | Variable selon le service configure | Clauses contractuelles types |
Le Prestataire s'engage a informer le Client de tout changement concernant les sous-traitants ulterieurs. Le Client dispose d'un droit d'opposition dans un delai de trente (30) jours suivant la notification.
8. Transferts internationaux
Les donnees personnelles sont traitees et hebergees en privilegiant les infrastructures situees au sein de l'Espace economique europeen. Toutefois, en raison de la nature distribuee des services cloud utilises, certaines donnees peuvent transiter ou etre stockees en dehors de l'EEE, notamment :
- Via AWS pour l'hebergement (regions EU privilegiees mais non garanties)
- Via Twilio pour l'envoi de SMS (module Connect, si active) — serveurs aux Etats-Unis
- Via Google pour l'authentification OAuth — serveurs aux Etats-Unis
- Via le service d'email transactionnel configure — localisation variable
Lorsque des transferts vers des pays tiers sont necessaires, ces transferts sont encadres par les mecanismes suivants :
Cadre d'adequation EU-US Data Privacy Framework (DPF) : les sous-traitants americains utilises par Hygea Consult (AWS, Twilio, Google, Cloudflare) sont certifies au titre du EU-US Data Privacy Framework, adopte par la Commission europeenne le 10 juillet 2023 (decision d'adequation au sens de l'article 45 du RGPD). Ce cadre peut evoluer ou etre invalide par la Cour de justice de l'Union europeenne.
Clauses contractuelles types (CCT) : en complement du DPF, et comme garantie de repli en cas d'invalidation de celui-ci, les contrats avec les sous-traitants ulterieurs integrent les clauses contractuelles types adoptees par la Commission europeenne (Art. 46.2.c du RGPD).
Mesures techniques supplementaires : chiffrement des donnees sensibles en base de donnees (AES), chiffrement des communications en transit (TLS), hashage irreversible des mots de passe (bcrypt).
9. Communications et notifications
9.1 Notifications applicatives
La Plateforme envoie des notifications par deux canaux :
- Base de donnees (notifications internes visibles dans la Plateforme)
- Email (en fonction des preferences de notification de l'utilisateur)
Les types de notifications et les donnees personnelles qu'elles contiennent :
| Notification | Donnees incluses | Canal |
|---|---|---|
| Nouvelle inscription / validation de compte | Nom de l'utilisateur | Database + Email |
| Facture creee / validee / corrigee | Numero de facture, nom du prestataire | Database + Email |
| Heures supplementaires (soumise / approuvee / rejetee) | Nom du prestataire | Database + Email |
| Alerte modification sensible (IBAN/BCE/societe) | Nom du prestataire, champ modifie, role du modificateur | Database + Email |
| Import planning termine | Nombre de participations importees | Database + Email |
| SMS envoye / echoue | Numero de telephone du destinataire (en cas d'echec) | Database + Email |
| Changement de role / anonymisation prestataire | Nom de l'utilisateur, nom du prestataire | Database + Email |
| Cours assigne / rappel deadline / certificat obtenu | Titre du cours, nom de l'utilisateur | Database + Email |
9.2 Preferences de notification
L'utilisateur peut parametrer ses preferences de notification email dans son profil. Les categories parametrables sont : inscriptions, facturation, heures supplementaires, prestataires, planning, SMS, administration. Par defaut, toutes les notifications email sont activees. La desactivation d'une categorie n'affecte pas les notifications internes (base de donnees) ni les communications operationnelles du Prestataire (voir 9.3).
9.3 Communications directes du Prestataire
Hygea Consult se reserve le droit de communiquer directement avec les utilisateurs pour :
- Communications operationnelles (pannes, maintenance, securite, mises a jour) : base legale = execution du contrat — pas d'opposition possible
- Communications commerciales (nouveaux produits et services Hygea Consult) : base legale = consentement — retrait possible a tout moment via les parametres du profil
10. Droits des personnes concernees
Conformement au RGPD, toute personne dont les donnees sont traitees dispose des droits suivants :
| Droit | Article RGPD | Description |
|---|---|---|
| Acces | Art. 15 | Obtenir confirmation que des donnees sont traitees et en recevoir une copie |
| Rectification | Art. 16 | Faire corriger les donnees inexactes ou incompletes |
| Effacement | Art. 17 | Demander la suppression des donnees (sous reserve des obligations legales de conservation) |
| Limitation | Art. 18 | Obtenir la limitation du traitement dans certaines circonstances |
| Portabilite | Art. 20 | Recevoir les donnees dans un format structure et lisible par machine |
| Opposition | Art. 21 | S'opposer au traitement fonde sur l'interet legitime |
| Retrait du consentement | Art. 7.3 | Retirer le consentement a tout moment, sans effet retroactif |
10.1 Exercice des droits — donnees de compte
Les outils suivants sont directement accessibles dans la Plateforme :
- Export de donnees (portabilite) : bouton "Exporter mes donnees" dans le profil utilisateur. Produit un fichier JSON contenant : identite, coordonnees, roles, donnees de prestataire (avec champs sensibles masques :
***XXXX), progression de formation, certificats, historique d'acceptation des documents legaux - Rectification : modification directe des informations dans le profil utilisateur
- Gestion du 2FA : activation, desactivation et regeneration des codes de recuperation dans le profil
- Preferences de notification : parametrables dans le profil
Pour les demandes qui ne peuvent etre traitees en libre-service (effacement, limitation, opposition), adresser un email a contact@hygeaconsult.be.
10.2 Exercice des droits — donnees metier
Les demandes relatives aux donnees metier (prestataires, volontaires, contacts SMS, etc.) doivent etre adressees au responsable de traitement, c'est-a-dire le Client (l'administrateur de l'instance). Hygea Consult, en sa qualite de sous-traitant, redirigera toute demande recue vers le responsable de traitement concerne et l'assistera dans le traitement de la demande conformement a l'article 28.3.e du RGPD.
10.3 Delai de reponse
Les demandes sont traitees dans un delai d'un (1) mois a compter de leur reception. Ce delai peut etre prolonge de deux mois supplementaires en cas de complexite ou de volume eleve de demandes, moyennant information prealable de la personne concernee (Art. 12.3 RGPD).
10.4 Droit a l'effacement — procedure d'anonymisation
Pour les prestataires du module Moka, l'exercice du droit a l'effacement est realise via une procedure d'anonymisation irreversible. Cette procedure, executee par un administrateur habilite :
| Action | Detail |
|---|---|
| Remplacement de l'identite | Nom et prenom remplaces par [ANONYMISE] |
| Suppression des coordonnees | Societe, NISS, INAMI, adresse, telephone, email, IBAN, BCE mis a null |
| Anonymisation du compte utilisateur | Nom remplace par [ANONYMISE], email remplace par anonymized_{id}_{timestamp}@anonymized.invalid |
| Revocation des acces | Tous les tokens d'API (Sanctum) revoques |
| Suppression de l'historique | Modifications sensibles et journaux d'activite lies au prestataire supprimes |
| Conservation des factures | Les donnees figees sur les factures emises sont conservees conformement a l'obligation legale de 10 ans (Code TVA belge) |
L'anonymisation est irreversible. Les donnees ne peuvent pas etre restaurees apres execution.
11. Gestion des violations de donnees
11.1 Detection
Hygea Consult dispose des mecanismes suivants pour detecter les incidents de securite :
- Journal d'activite automatique sur les modeles sensibles (via Spatie Activity Log)
- Observer automatique sur les modifications de donnees bancaires et fiscales
- Alertes de notification aux administrateurs en cas de modification sensible
11.2 Notification au Client
En cas de violation de donnees personnelles, Hygea Consult notifie le Client (responsable de traitement) dans les soixante-douze (72) heures suivant la prise de connaissance de l'incident, conformement a l'article 33 du RGPD. La notification comprend :
- La nature de la violation (categories et nombre approximatif de personnes et d'enregistrements concernes)
- Les consequences probables de la violation
- Les mesures prises ou proposees pour y remedier
- Le point de contact pour obtenir des informations complementaires
11.3 Obligations du Client
La notification a l'Autorite de protection des donnees (APD) et, le cas echeant, aux personnes concernees, incombe au responsable de traitement (le Client), conformement aux articles 33 et 34 du RGPD. Hygea Consult fournit toute l'assistance technique necessaire au Client pour remplir ces obligations.
11.4 Evaluation de la gravite
Conformement aux lignes directrices du Comite europeen de la protection des donnees (EDPB), la notification a l'APD n'est obligatoire que si la violation est susceptible d'engendrer un risque pour les droits et libertes des personnes physiques. L'evaluation prend en compte la nature des donnees exposees, le volume de personnes concernees, la reversibilite de l'exposition et les mesures de protection en place (chiffrement, etc.).
12. Delegue a la protection des donnees (DPO)
Conformement a l'article 37 du RGPD, la designation d'un DPO est obligatoire dans trois cas :
- Traitement effectue par une autorite ou un organisme public
- Activites de base exigeant un suivi regulier et systematique a grande echelle
- Traitement a grande echelle de categories particulieres de donnees (Art. 9) ou de donnees penales (Art. 10)
Hygea Consult, en sa qualite de PME sous-traitante technique, ne repond pas aux criteres de designation obligatoire d'un DPO. Le gerant de la societe assure personnellement le suivi de la conformite RGPD et constitue le point de contact pour toute question relative a la protection des donnees : contact@hygeaconsult.be.
Il appartient a chaque Client, en sa qualite de responsable de traitement, d'evaluer sa propre obligation de designer un DPO et de se conformer a l'ensemble de ses obligations reglementaires.
13. Accord de traitement des donnees (DPA)
Les modalites detaillees du traitement des donnees personnelles par Hygea Consult pour le compte du Client sont regies par un Accord de Traitement des Donnees (Data Processing Agreement), disponible sur demande.
Le Client, en sa qualite de responsable de traitement, est tenu de s'assurer de la conformite de ses propres traitements au RGPD. Il lui incombe le cas echeant de solliciter la conclusion d'un DPA et de veiller a l'ensemble de ses obligations reglementaires (registre des traitements, analyse d'impact, notification APD, etc.).
14. Autorite de controle
Toute personne concernee a le droit d'introduire une reclamation aupres de l'autorite de controle competente si elle estime que le traitement de ses donnees personnelles constitue une violation du RGPD.
Autorite de protection des donnees (APD) Rue de la Presse 35, 1000 Bruxelles Site web : https://www.autoriteprotectiondonnees.be Email : contact@apd-gba.be Telephone : +32 (0)2 274 48 00
15. Modifications de la presente politique
La presente politique peut etre modifiee pour refleter les evolutions legales, reglementaires ou techniques. En cas de modification substantielle :
- Les utilisateurs sont informes via une notification au sein de la Plateforme
- Ils sont invites a prendre connaissance et accepter la nouvelle version lors de leur prochaine connexion
- L'acceptation est enregistree avec la date, l'heure et l'adresse IP de l'utilisateur
Les versions anterieures restent consultables sur demande aupres de contact@hygeaconsult.be.
Hygea Consult © 2026