Le responsable du traitement des données personnelles est Jean-Marc Strauven, indépendant, dont le siège est en Belgique (Kwinkeleer 25, 1760 Roosdaal).

Pour toute question relative à vos données : dpo@nis2you.com

Lors de votre utilisation du Service, nous collectons :

• Données de compte : nom, adresse email, mot de passe haché, langue préférée, tenant d'appartenance.
• Données métier : risques, contrôles, plans d'action, incidents, revues, actifs et autres entités que vous saisissez. Ces données vous appartiennent.
• Données techniques : adresse IP, user-agent, dernière connexion, journal d'audit des modifications. Conservées pour la sécurité.
• Mesure d'audience pseudonyme : voir la section dédiée ci-dessous.

Nous ne collectons pas de données via des cookies tiers, ni de tracking publicitaire, ni d'analytics tiers (pas de Google Analytics, pas de Meta Pixel, pas de scripts externes).

• Fournir et exploiter le Service (article 6.1.b RGPD — exécution du contrat) ;
• Sécurité du Service et lutte contre les abus (article 6.1.f — intérêt légitime) ;
• Communication transactionnelle : invitations, notifications, alertes (6.1.b) ;
• Respect des obligations légales (6.1.c) ;
• Amélioration du Service à partir de données agrégées et anonymisées (6.1.f).

Vos données sont hébergées au sein de l'Union européenne. Aucun transfert vers un pays tiers n'est effectué dans le cadre normal du Service. En cas d'évolution, vous serez informé et pourrez exercer votre droit d'opposition.

• Compte actif : tant que votre tenant est actif.
• Après résiliation : 30 jours pour permettre l'export, puis suppression sécurisée.
• Journal d'audit : conservé tant que le tenant est actif (obligation légale de traçabilité NIS2).
• Logs techniques : 90 jours.

Conformément au RGPD, vous disposez des droits suivants : accès, rectification, effacement, limitation, portabilité, opposition. Pour exercer ces droits : dpo@nis2you.com

En cas de désaccord, vous pouvez introduire une réclamation auprès de votre autorité de contrôle :

• 🇧🇪 APD / GBA — autoriteprotectiondonnees.be
• 🇫🇷 CNIL — cnil.fr
• 🇱🇺 CNPD — cnpd.public.lu
• 🇳🇱 AP — autoriteitpersoonsgegevens.nl

Pour fournir le Service, nous faisons appel à des sous-traitants techniques (hébergement cloud, envoi d'email transactionnel, paiement). Tous sont liés par un contrat de sous-traitance RGPD (article 28) et ne traitent vos données que selon nos instructions.

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées : chiffrement TLS, mots de passe hachés (bcrypt), authentification à deux facteurs disponible, journal d'audit complet, isolation multi-tenant stricte.

Pour comprendre l'usage global du Service (combien de visiteurs distincts par jour sur la page d'accueil et sur le tableau de bord), nous comptons les visites sans recourir à un service tiers et sans poser de cookie.

Le mécanisme :

• À chaque visite, nous calculons une empreinte SHA-256 à partir de votre adresse IP, de votre user-agent et d'un sel cryptographique qui change chaque jour.
• Seule cette empreinte est stockée — l'IP et le user-agent ne sont jamais persistés dans cette table.
• La rotation quotidienne du sel rend impossible de relier vos visites entre deux jours différents.
• Aucun identifiant utilisateur, aucun identifiant de session, aucun cookie n'est associé à cette mesure.

Base légale : intérêt légitime (article 6.1.f RGPD) — mesurer l'audience agrégée du Service pour l'exploiter et l'améliorer.

Durée de conservation : les empreintes sont conservées 90 jours puis supprimées.

Vos droits : compte tenu de la pseudonymisation forte (rotation quotidienne du sel), nous ne pouvons pas techniquement vous identifier dans ces données. Si vous souhaitez exercer un droit d'opposition pour vos visites futures, contactez dpo@nis2you.com.