Le responsable du traitement des données personnelles est Jean-Marc Strauven, indépendant, dont le siège est en Belgique (Kwinkeleer 25, 1760 Roosdaal).

Pour toute question relative à vos données : dpo@nis2you.tech

Lors de votre utilisation du Service, nous collectons :

• Données de compte : nom, adresse email, mot de passe haché, langue préférée, tenant d'appartenance.
• Données métier : risques, contrôles, plans d'action, incidents, revues, actifs et autres entités que vous saisissez. Ces données vous appartiennent.
• Données techniques : adresse IP, user-agent, dernière connexion, journal d'audit des modifications. Conservées pour la sécurité.

Nous ne collectons pas de données via des cookies tiers, ni de tracking publicitaire, ni d'analytics tiers.

• Fournir et exploiter le Service (article 6.1.b RGPD — exécution du contrat) ;
• Sécurité du Service et lutte contre les abus (article 6.1.f — intérêt légitime) ;
• Communication transactionnelle : invitations, notifications, alertes (6.1.b) ;
• Respect des obligations légales (6.1.c) ;
• Amélioration du Service à partir de données agrégées et anonymisées (6.1.f).

Vos données sont hébergées au sein de l'Union européenne. Aucun transfert vers un pays tiers n'est effectué dans le cadre normal du Service. En cas d'évolution, vous serez informé et pourrez exercer votre droit d'opposition.

• Compte actif : tant que votre tenant est actif.
• Après résiliation : 30 jours pour permettre l'export, puis suppression sécurisée.
• Journal d'audit : conservé tant que le tenant est actif (obligation légale de traçabilité NIS2).
• Logs techniques : 90 jours.

Conformément au RGPD, vous disposez des droits suivants : accès, rectification, effacement, limitation, portabilité, opposition. Pour exercer ces droits : dpo@nis2you.tech

En cas de désaccord, vous pouvez introduire une réclamation auprès de votre autorité de contrôle :

• 🇧🇪 APD / GBA — autoriteprotectiondonnees.be
• 🇫🇷 CNIL — cnil.fr
• 🇱🇺 CNPD — cnpd.public.lu
• 🇳🇱 AP — autoriteitpersoonsgegevens.nl

Pour fournir le Service, nous faisons appel à des sous-traitants techniques (hébergement cloud, envoi d'email transactionnel, paiement). Tous sont liés par un contrat de sous-traitance RGPD (article 28) et ne traitent vos données que selon nos instructions.

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées : chiffrement TLS, mots de passe hachés (bcrypt), authentification à deux facteurs disponible, journal d'audit complet, isolation multi-tenant stricte.