Logo PulseTimePulseTime

Mentions légales et confidentialité

Politique de confidentialité

PulseTime est une application de pointage destinée aux PME belges et à leurs collaborateurs. Cette politique explique quelles données personnelles nous traitons, pourquoi, combien de temps, et comment vous pouvez exercer vos droits, conformément au Règlement (UE) 2016/679 (RGPD) et à la loi belge du 30 juillet 2018.

1. Responsable de traitement

H&H Informatique SA, Rue Léon Morel 4, 5032 Isnes (Belgique), N° d'entreprise BCE 0431.238.937, est responsable du traitement pour le site pulsetime.be et l'application PulseTime en ce qui concerne :

  • les visiteurs du site public ;
  • les administrateurs principaux qui souscrivent à un abonnement ;
  • les administrateurs et collaborateurs invités par leur employeur (relation B2B2C).

Pour les pointages et données RH de vos collaborateurs, votre société (l'administrateur principal) est responsable de traitement et PulseTime agit comme sous-traitant au sens de l'article 28 du RGPD. Les conditions de cette sous-traitance sont décrites dans un accord de traitement des données (DPA), communiqué aux clients professionnels sur demande à dpo@pulsetime.be.

Délégué à la protection des données (DPO) : dpo@pulsetime.be.

2. Données collectées et finalités

2.1 Compte administrateur principal

Lors de la création d'un compte :

  • Identité : prénom, nom, adresse e-mail, langue préférée.
  • Authentification : mot de passe (haché avec bcrypt, jamais stocké en clair) ; jeton d'accès personnel (« magic link »).
  • Société : raison sociale, numéro de TVA, adresse, e-mail de facturation, IBAN.

Finalité : exécution du contrat (création de compte, accès au service, facturation). Base légale : exécution d'un contrat (art. 6.1.b RGPD).

2.2 Collaborateurs invités

  • Identité : prénom, nom, adresse e-mail et/ou numéro de téléphone (au moins un des deux), langue.
  • Pointages : heures de début / fin de prestation, méthode utilisée (smartphone/web, QR code, borne tablette), lieu rattaché.
  • Position GPS (uniquement si l'administrateur active l'option et que le collaborateur l'autorise dans son navigateur) : latitude / longitude au moment du pointage, et adresse approximative obtenue par géocodage inverse.
  • Adresse IP et user-agent à chaque connexion (journal de sécurité).

Finalité : registre du temps de travail (obligation légale belge, loi du 26 juin 2002 sur le travail et obligation à venir en 2027), gestion des prestations, génération des rapports pour le secrétariat social. Base légale : obligation légale (art. 6.1.c RGPD) et intérêt légitime (art. 6.1.f) pour la sécurité et la lutte contre la fraude.

2.3 Journal d'audit

Toutes les actions sensibles (création / modification / suppression d'un pointage, validation d'une correction, envoi d'invitation, changement de plan…) sont consignées dans un journal append-only, avec auteur, date, horodatage et IP. Ce journal sert à la traçabilité et à la conformité RGPD (article 5.1.f, intégrité et confidentialité).

3. Catégories de données non collectées

Nous ne traitons aucune donnée sensible au sens de l'article 9 du RGPD (origine raciale, opinions politiques, données de santé, orientation sexuelle…). Nous ne profilons pas les utilisateurs à des fins publicitaires.

4. Sous-traitants

Nous faisons appel aux sous-traitants suivants pour faire fonctionner le service. Tous présentent des garanties de conformité RGPD :

  • Contabo GmbH (Allemagne, UE) : hébergement des serveurs applicatifs et de la base de données.
  • Stripe Payments Europe Ltd. (Irlande, UE) : traitement des paiements par carte et abonnements. Stripe est responsable autonome pour les données de paiement (PCI-DSS).
  • Resend Inc. (Delaware, USA) : envoi des e-mails transactionnels (invitations, confirmations, codes d'accès). Transfert encadré par les Clauses Contractuelles Types de la Commission européenne.
  • Proximus / RingRing (Belgique, UE) : envoi des SMS d'invitation et codes PIN.
  • OpenStreetMap (Nominatim) : service de géocodage inverse pour traduire latitude/longitude en adresse postale, sans cookie ni profilage.
  • Microsoft Ireland Operations Limited (Clarity) : analyse comportementale et ergonomie (cartes de chaleur, enregistrements de session anonymisés). Masquage strict activé sur les pages affichant des données personnelles : aucun texte n'est capturé. Serveurs hébergés au sein de l'Union européenne. Activé uniquement après consentement explicite via le bandeau cookies.

5. Hébergement et localisation des données

L'ensemble des données applicatives et des sauvegardes sont hébergées sur des serveurs Contabo situés en Allemagne (Union européenne). Les e-mails transactionnels transitent par Resend qui peut impliquer un transfert vers les États-Unis ; ce transfert est encadré par les Clauses Contractuelles Types (CCT) de la Commission européenne.

6. Durée de conservation

  • Pointages : 5 ans après l'année de prestation, conformément à la durée de conservation des registres de prestation imposée par la législation belge.
  • Journal d'audit : 5 ans (corolaire au précédent).
  • Données de compte (administrateur, collaborateur) : jusqu'à 30 jours après désactivation / résiliation, puis suppression ou anonymisation.
  • Sauvegardes chiffrées : rotation à 30 jours, sauf obligation légale plus longue.
  • Logs de sécurité (IP, user-agent) : 12 mois.

7. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

  • Accès à vos données et copie ;
  • Rectification en cas d'inexactitude ;
  • Suppression dans les cas prévus par la loi (le « droit à l'oubli ») ;
  • Limitation du traitement ;
  • Portabilité de vos données dans un format lisible par machine ;
  • Opposition à un traitement fondé sur l'intérêt légitime ;
  • Retrait du consentement à tout moment lorsqu'il sert de base légale.

L'onglet Compte → RGPD de l'application permet à l'administrateur principal de demander la suppression complète de la société. Les collaborateurs peuvent quitter une société depuis leur profil ; pour toute autre demande, ils s'adressent à l'administrateur principal de leur employeur (responsable de traitement).

Pour exercer un droit ou poser une question, contactez dpo@pulsetime.be. Nous répondons dans un délai d'un mois.

8. Réclamation

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de l'Autorité de protection des données (APD) de Belgique : www.autoriteprotectiondonnees.be.

9. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles raisonnables pour protéger vos données : chiffrement TLS de bout en bout, hashage bcrypt des mots de passe, journaux d'accès, sauvegardes chiffrées, rotation des secrets, principe de moindre privilège pour nos équipes. Aucun système n'est infaillible. En cas de violation présentant un risque, nous notifions l'APD et les personnes concernées dans les délais prévus par le RGPD (72 heures).