Politique de confidentialité

1. Responsable du traitement

Le responsable du traitement des données personnelles collectées sur la plateforme VeraCheck est :

• Raison sociale : IT-Secure Luxembourg SARL
• Siège social : 87, route d'Esch, L-4450 Belvaux, Grand-Duché de Luxembourg
• RCS Luxembourg : B174255
• Email : contact@it-secure.lu

2. Données collectées

Dans le cadre de l'utilisation de la plateforme VeraCheck, nous collectons et traitons les catégories de données suivantes :

2.1 Données d'identification

• Nom et prénom
• Adresse email professionnelle
• Fonction au sein de l'organisation
• Numéro de téléphone professionnel (optionnel)
• Nom de l'organisation

2.2 Données d'audit et de conformité

• Réponses aux questionnaires d'audit
• Scores de maturité et de conformité
• Documents et preuves téléversés dans le cadre des audits
• Plans d'action et actions correctives
• Rapports d'audit générés
• Historique des échanges avec l'IA Inspector

2.3 Données organisationnelles

• Secteur d'activité de l'organisation
• Taille de l'organisation
• Référentiels réglementaires applicables
• Structure organisationnelle (départements, filiales)

2.4 Données techniques

• Adresse IP
• Type et version du navigateur
• Système d'exploitation
• Pages consultées, dates et heures de connexion
• Journaux de connexion et d'activité sur la plateforme

3. Finalités du traitement

Les données personnelles sont collectées et traitées pour les finalités suivantes :

• Fourniture du service : réalisation des audits de conformité, calcul des scores de maturité, génération de rapports, suivi des améliorations
• Gestion des comptes : création et administration des comptes utilisateurs et organisationnels
• Facturation : émission des factures et suivi des paiements
• Communication : envoi d'informations relatives au service, notifications, mises à jour de la plateforme
• Amélioration du service : analyse des usages pour améliorer la plateforme (données agrégées et anonymisées)
• Sécurité : prévention des accès non autorisés, détection des activités suspectes, protection de l'intégrité de la plateforme
• Obligations légales : respect des obligations comptables, fiscales et réglementaires

4. Bases légales du traitement

Les traitements de données personnelles effectués par VeraCheck reposent sur les bases légales suivantes :

• Exécution du contrat : le traitement est nécessaire à l'exécution du contrat de service (audits, rapports, suivi)
• Intérêt légitime : amélioration du service, sécurité de la plateforme, prévention de la fraude
• Obligation légale : respect des obligations comptables et fiscales
• Consentement : pour l'envoi de communications commerciales (le cas échéant)

5. Durée de conservation

Les données personnelles sont conservées pendant les durées suivantes :

• Données de compte : pendant toute la durée de la relation contractuelle, puis 3 ans après la fin de la relation à des fins de prospection commerciale
• Données d'audit : pendant toute la durée de la relation contractuelle, puis 30 jours après la suppression du compte (sauf demande d'export)
• Données de facturation : 10 ans conformément aux obligations comptables luxembourgeoises
• Journaux de connexion : 12 mois conformément aux exigences de sécurité
• Données de contact (formulaire) : 3 ans à compter du dernier contact

6. Destinataires des données

Les données personnelles peuvent être communiquées aux catégories de destinataires suivantes :

• Personnel habilité : les employés d'IT-Secure Luxembourg SARL, dans la limite de leurs attributions
• Sous-traitants techniques :
  • OVH SAS (France) — hébergement de l'infrastructure
  • Stripe (le cas échéant) — traitement des paiements par carte bancaire
• Autorités compétentes : sur demande légitime d'une autorité judiciaire ou administrative

Les sous-traitants sont liés par des clauses contractuelles garantissant la protection des données conformément au RGPD. Aucun transfert de données hors de l'Espace Économique Européen n'est effectué sans garanties appropriées.

7. Sécurité des données

IT-Secure Luxembourg SARL met en oeuvre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre tout accès non autorisé, toute modification, divulgation ou destruction. Ces mesures incluent notamment :

• Chiffrement TLS : toutes les communications entre le navigateur et la plateforme sont chiffrées via HTTPS (TLS 1.2 minimum)
• Mots de passe hachés : les mots de passe sont stockés sous forme hachée (bcrypt) et ne sont jamais stockés en clair
• Contrôle d'accès : accès basé sur les rôles (RBAC) avec principe du moindre privilège
• Isolation des données : les données de chaque organisation sont strictement cloisonnées
• Sauvegardes régulières : sauvegardes quotidiennes chiffrées des bases de données
• Surveillance : journalisation des accès et détection des activités suspectes
• Mises à jour : application régulière des correctifs de sécurité

8. Vos droits

Conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi luxembourgeoise du 1er août 2018 portant organisation de la Commission nationale pour la protection des données, vous disposez des droits suivants :

• Droit d'accès : obtenir la confirmation que vos données sont traitées et en recevoir une copie
• Droit de rectification : demander la correction de données inexactes ou incomplètes
• Droit à l'effacement : demander la suppression de vos données dans les conditions prévues par le RGPD
• Droit à la portabilité : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine
• Droit d'opposition : vous opposer au traitement de vos données pour des motifs légitimes
• Droit à la limitation : demander la limitation du traitement de vos données dans certaines circonstances
• Droit de retirer votre consentement : lorsque le traitement est basé sur le consentement, vous pouvez le retirer à tout moment

Pour exercer vos droits, adressez votre demande accompagnée d'un justificatif d'identité à :

• Email : contact@it-secure.lu
• Courrier : IT-Secure Luxembourg SARL, 87, route d'Esch, L-4450 Belvaux, Grand-Duché de Luxembourg

Nous nous engageons à répondre à votre demande dans un délai maximum d'un (1) mois à compter de sa réception. Ce délai peut être prolongé de deux (2) mois supplémentaires en cas de demande complexe, sous réserve de vous en informer.

9. Réclamation

Si vous estimez que le traitement de vos données personnelles constitue une violation du RGPD, vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente :

• Commission Nationale pour la Protection des Données (CNPD)
• 15, Boulevard du Jazz, L-4370 Belvaux, Grand-Duché de Luxembourg
• Téléphone : (+352) 26 10 60 1
• Site web : cnpd.public.lu

10. Modifications

IT-Secure Luxembourg SARL se réserve le droit de modifier la présente politique de confidentialité à tout moment. En cas de modification substantielle, les utilisateurs seront informés par notification sur la plateforme ou par email. La date de dernière mise à jour est indiquée ci-dessous.

11. Contact

Pour toute question relative à la présente politique de confidentialité ou au traitement de vos données personnelles, contactez-nous :

• Email : contact@it-secure.lu
• Adresse : IT-Secure Luxembourg SARL, 87, route d'Esch, L-4450 Belvaux, Grand-Duché de Luxembourg

Dernière mise à jour : mars 2025