Conformité RGPD
Dernière mise à jour : 13 mars 2026
Cette page complète notre Politique de confidentialité. Elle fournit les détails de mise en œuvre en matière de conformité (registre des traitements, sous-traitants, transferts, sécurité, cookies, demandes des personnes concernées).
1) Rôles et entités
Responsable du traitement : Andrii Trush (indépendant en Belgique)
Adresse du siège social : 9200 Dendermonde, Belgique
Numéro d'entreprise (KBO/BCE) : BE 1016.452.805
Courriel : contact@isapp.be
DPD : Non désigné.
Site web concerné : isapp.be (le "Site")
2) Registre des activités de traitement (ROPA)
| Finalité | Catégories de données | Personnes concernées | Base juridique | Intérêt légitime | Conservation | Destinataires/sous-traitants | Mesures de sécurité clés |
|---|---|---|---|---|---|---|---|
| Traitement du formulaire de contact | Nom, courriel, contenu du message ; téléphone/société facultatifs | Utilisateurs du site, prospects | Contrat (6(1)(b)) ou Intérêts légitimes (6(1)(f)) | Traitement efficace des demandes | Jusqu'à 12 mois après la dernière interaction (sauf obligation légale de conservation) | Prestataires de services (le cas échéant) | HTTPS/TLS ; filtrage anti-spam ; contrôles d'accès |
| Dossiers de projet et propositions | Identité/contact, société, portée du projet, exigences, calendrier, budget, fichiers | Prospects, utilisateurs du site | Contrat (6(1)(b)) mesures précontractuelles ; ou Intérêts légitimes (6(1)(f)) | Cadrage efficace et préparation des propositions | Jusqu'à 24 mois après la dernière interaction en l'absence de contrat ; plus long si une obligation légale s'applique après conclusion du contrat | Outils internes (CRM/gestion de tâches/documents, le cas échéant) | Contrôles d'accès ; éviter les catégories particulières ; stockage sécurisé des fichiers |
| Analyse (opt-in) | IP (tronquée/agrégée le cas échéant), données d'appareil et d'utilisation, pages consultées | Utilisateurs du site | Consentement (6(1)(a)) via Cookiebot | — | 2 à 14 mois (selon les paramètres d'analyse) | Google Analytics 4, Microsoft Clarity, Cloudflare Web Analytics / RUM, Ahrefs Web Analytics | Portail de consentement ; limites de conservation ; modes respectueux de la vie privée |
| Sécurité et surveillance des erreurs | IP, métadonnées de requête, traces d'erreurs/journaux | Utilisateurs du site | Intérêts légitimes (6(1)(f)) | Assurer la disponibilité, l'intégrité et la sécurité du Site | ~90 jours | CDN/WAF, surveillance des erreurs | Pare-feu réseau, WAF, limitation de débit, RBAC, journalisation |
| Marketing et remarketing (opt-in) | Identifiants de cookies, événements de page, attribution de campagne | Utilisateurs ayant consenti | Consentement (6(1)(a)) | — | Selon la politique du fournisseur | Google Ads, Meta Pixel | Portail de consentement, examens périodiques |
3) Sous-traitants
Nous disposons d'accords de traitement avec nos sous-traitants. Ils agissent selon nos instructions documentées et mettent en œuvre des mesures appropriées. La liste ci-dessous reflète notre infrastructure actuelle pour le Site.
| Fournisseur | Finalité | Localisations principales | Mécanisme de transfert | Accord de traitement | Notes |
|---|---|---|---|---|---|
| Usercentrics (Cookiebot) | Plateforme de gestion du consentement (CMP) | UE/Mondial | Conditions standard / CCT le cas échéant | Accord de traitement | Bloque les scripts non essentiels jusqu'au consentement |
| Google Tag Manager | Gestion et diffusion de tags (active les tags selon le consentement Cookiebot) | UE/US | DPF + CCT | Conditions de traitement Google Ads | Infrastructure uniquement ; aucun cookie propre en configuration sans analyse |
| Cloudflare (CDN/WAF) | CDN, sécurité (WAF, DDoS) | Mondial | DPF + CCT le cas échéant | Accord de traitement | Strictement nécessaire par défaut |
| Cloudflare Web Analytics / RUM | Analyse du site (opt-in) | UE/Mondial | DPF + CCT le cas échéant | Couvert par l'accord Cloudflare | S'exécute uniquement après consentement Statistiques |
| Ahrefs Web Analytics | Analyse respectueuse de la vie privée (opt-in) | UE/Mondial | Conditions standard | Service | Mode sans cookies ; sous Statistiques |
| Google Analytics 4 | Analyse du site (opt-in) | UE/US | DPF + CCT | Conditions de sous-traitance | S'exécute uniquement après consentement ; masquage IP |
| Microsoft Clarity | Analyse de session (opt-in) | UE/US | DPF + CCT | Microsoft RGPD et accord de traitement | Enregistrement de session/cartes thermiques uniquement après consentement |
| Sentry | Surveillance des erreurs | UE/US | DPF + CCT | Accord de traitement | Minimisation des journaux ; données personnelles limitées |
| Google Ads | Publicité et remarketing (opt-in) | UE/US | DPF + CCT | Conditions de sous-traitance publicitaire | Consentement requis |
| Meta Pixel | Publicité et remarketing (opt-in) | UE/US | DPF + CCT | Conditions Business Tools | Consentement requis |
4) Cookies et gestion du consentement
Nous utilisons Cookiebot (Usercentrics) comme CMP. Par défaut, tous les tags et scripts non essentiels sont bloqués. Les tags sont gérés via Google Tag Manager et ne s'activent que lorsque la catégorie de consentement Cookiebot correspondante est autorisée. Vous pouvez modifier ou retirer votre consentement à tout moment via Modifier les préférences de cookies.
Catégories de cookies et correspondance des tags
| Catégorie | Finalité | Outils | Consentement requis ? | Condition d'activation (Cookiebot) |
|---|---|---|---|---|
| Nécessaire | Sécurité, répartition de charge, stockage du consentement, infrastructure de tags | Cloudflare (CDN/WAF), Google Tag Manager, Cookiebot core | Non (intérêt légitime) | Toujours actif (infrastructure uniquement ; aucun code d'analyse/marketing) |
| Préférences | Mémoriser les choix de langue/UX | Paramètres du site | Oui | preferences = true |
| Statistiques | Mesurer l'utilisation et les performances | Google Analytics 4, Microsoft Clarity, Cloudflare Web Analytics / RUM, Ahrefs Web Analytics | Oui | statistics = true (tags libérés via GTM) |
| Marketing | Remarketing, performances publicitaires | Google Ads, Meta Pixel | Oui | marketing = true (tags libérés via GTM) |
5) Robots d'exploration SEO (pas de cookies ; hors CMP)
Nous utilisons Ahrefs Webmaster Tools pour le SEO technique et l'analyse des liens. Son robot (AhrefsBot) explore les pages publiques pour évaluer la santé du site et les liens. Il ne dépose pas de cookies et ne suit pas les visiteurs ; il ne dépend pas de votre consentement aux cookies.
6) Transferts internationaux de données
Certains de nos sous-traitants sont situés en dehors de l'Espace économique européen (EEE), principalement aux États-Unis. Pour les sous-traitants américains certifiés dans le cadre du Data Privacy Framework UE-États-Unis (DPF), les transferts reposent sur la décision d'adéquation de la Commission européenne (Décision d'exécution (UE) 2023/1795). Lorsqu'un sous-traitant n'est pas certifié DPF ou est situé dans un autre pays hors EEE, nous nous appuyons sur les Clauses contractuelles types (CCT) de la Commission européenne et mettons en œuvre des mesures complémentaires si nécessaire. Nous réévaluons périodiquement les cadres de transfert et les certifications de nos fournisseurs. Le tableau des sous-traitants ci-dessus indique le mécanisme de transfert applicable à chaque fournisseur.
7) Mesures de sécurité (aperçu)
- Chiffrement en transit (TLS) et au repos lorsque disponible
- Contrôle d'accès basé sur les rôles, moindre privilège, authentification à deux facteurs pour l'accès administratif
- Mises à jour régulières et gestion des dépendances
- Sauvegardes et tests de restauration
- Protections réseau (WAF, limitation de débit, atténuation DDoS)
- Journalisation/surveillance et alertes en cas d'anomalies
- Gestion des secrets et séparation des environnements
8) Notification des violations de données
En cas de violation de données à caractère personnel, nous suivons un processus de réponse structuré conformément aux articles 33 et 34 du RGPD :
- Détection et confinement. Nous prenons des mesures immédiates pour contenir la violation et en évaluer l'étendue.
- Évaluation des risques. Nous évaluons la probabilité et la gravité du risque pour les droits et libertés des personnes concernées.
- Notification à l'autorité de contrôle. Si la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes, nous en informons l'Autorité de protection des données belge (APD) sans retard injustifié et, si possible, dans un délai de 72 heures après en avoir pris connaissance. En cas de retard au-delà de 72 heures, nous en précisons les raisons.
- Notification aux personnes concernées. Si la violation est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes, nous informons les personnes concernées sans retard injustifié, en décrivant la nature de la violation, les conséquences probables et les mesures prises ou proposées.
- Documentation. Nous documentons toutes les violations, y compris les faits, les effets et les mesures correctives prises, indépendamment de l'obligation de notification à l'APD.
9) Analyse d'impact relative à la protection des données (AIPD)
Nous avons évalué nos activités de traitement au regard des critères de l'article 35 du RGPD et de la liste des traitements nécessitant une AIPD établie par l'Autorité belge de protection des données. Compte tenu de la nature, de la portée, du contexte et des finalités de notre traitement — limité aux opérations commerciales courantes (traitement des demandes de contact, analyse avec consentement, journaux de sécurité) — nous concluons qu'une AIPD n'est pas requise à ce stade. Nous réévaluerons cette conclusion en cas de modification substantielle de nos activités de traitement.
10) Processus de demande des personnes concernées (DSR)
- Soumettre : Envoyez un courriel à contact@isapp.be depuis l'adresse que vous avez utilisée sur notre Site et décrivez votre demande.
- Vérifier : Nous pouvons demander des informations limitées pour confirmer votre identité.
- Évaluer : Nous localisons les données pertinentes et évaluons les éventuelles restrictions légales (p. ex. obligations légales, droits de tiers).
- Répondre : Nous répondons dans un délai de 30 jours (prolongeable pour les demandes complexes dans les cas prévus par la loi).
- Escalader : Si vous n'êtes pas satisfait(e), vous pouvez introduire une réclamation auprès de l'Autorité de protection des données belge (APD).
APD : Rue de la Presse 35, 1000 Bruxelles, contact@apd-gba.be, www.autoriteprotectiondonnees.be.