Logo PulseTimePulseTime

Mentions légales et confidentialité

Accord de traitement des données (DPA)

Le présent accord, conclu en vertu de l'article 28 du Règlement (UE) 2016/679 (RGPD), encadre le traitement par PulseTime (sous-traitant) des données personnelles confiées par le Client (responsable de traitement). Il s'applique automatiquement dès la souscription à un forfait payant.

1. Parties

  • Responsable de traitement : le Client, tel qu'identifié dans son contrat d'abonnement (raison sociale, n° d'entreprise).
  • Sous-traitant : H&H Informatique SA, Rue Léon Morel 4, 5032 Isnes (Belgique), éditeur de l'application PulseTime.

2. Objet du traitement

Mise à disposition d'un service en ligne d'enregistrement du temps de travail conforme à la loi belge, incluant :

  • la gestion des comptes utilisateurs (administrateurs et collaborateurs) ;
  • la collecte des pointages (heure d'entrée / sortie, lieu, méthode) ;
  • la génération de rapports et exports (PDF, Excel, CSV, texte) ;
  • la conservation d'un journal d'audit conforme aux obligations légales.

3. Catégories de personnes concernées

  • Salariés et travailleurs assimilés du Client ;
  • Indépendants ou intérimaires utilisant le service à la demande du Client ;
  • Administrateurs internes ou externes (par exemple comptable) désignés par le Client.

4. Catégories de données traitées

  • Identité : prénom, nom, langue.
  • Contact : adresse e-mail et/ou numéro de téléphone.
  • Données d'activité : horodatages d'entrée et de sortie, méthode de pointage (smartphone, web, QR, borne), lieu rattaché.
  • Géolocalisation (option activable par le Client) : latitude / longitude au moment du pointage et adresse approximative obtenue par géocodage inverse.
  • Données techniques : adresse IP, agent utilisateur, timestamps de connexion.

Aucune donnée sensible au sens de l'article 9 RGPD n'est traitée.

5. Durée du traitement

Le traitement perdure tant que l'abonnement du Client est actif. À la cessation du contrat (résiliation, non-renouvellement), les données sont conservées pendant 30 jours(période de récupération possible), puis intégralement supprimées des systèmes du Sous-traitant et de ses sous-traitants ultérieurs, à l'exception des éléments que la loi belge impose de conserver plus longtemps (registre du temps de travail : 5 ans).

6. Obligations du Sous-traitant

Le Sous-traitant s'engage à :

  • traiter les données uniquement sur instructions écrites du Responsable (les présentes constituant lesdites instructions, complétées le cas échéant par les paramètres de l'application choisis par l'Administrateur principal) ;
  • mettre en œuvre les mesures techniques et organisationnelles appropriées (cf. section 8) ;
  • n'autoriser l'accès aux données qu'aux seules personnes ayant besoin d'en connaître, soumises à une obligation de confidentialité ;
  • assister le Responsable, dans la mesure du possible, pour répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, opposition) ;
  • notifier au Responsable, sans retard injustifié et au plus tard 48 heures après en avoir pris connaissance, toute violation de données ;
  • coopérer aux audits raisonnables réalisés par le Responsable ou un auditeur mandaté.

7. Sous-traitants ultérieurs autorisés

Le Client autorise expressément le recours aux sous-traitants ultérieurs suivants. Toute modification de cette liste est notifiée au Responsable au moins 30 jours avant son entrée en vigueur. Le Responsable dispose d'un droit d'objection motivée.

Sous-traitantLocalisationFinalité
Contabo GmbHAllemagne (UE)Hébergement des serveurs applicatifs et de la base de données
Stripe Payments Europe Ltd.Irlande (UE)Traitement des paiements (responsable autonome)
Resend Inc.États-UnisEnvoi des e-mails transactionnels (CCT)
Proximus / RingRingBelgique (UE)Envoi des SMS (invitations, codes PIN)
OpenStreetMap (Nominatim)Royaume-Uni / UEGéocodage inverse latitude/longitude → adresse

8. Mesures de sécurité

Le Sous-traitant met en œuvre, conformément à l'article 32 du RGPD, les mesures suivantes :

  • Chiffrement en transit (TLS 1.2 minimum, HSTS) et au repos pour les sauvegardes ;
  • Hashage des mots de passe avec bcrypt (coût ≥ 12) ;
  • Cookies de session en HttpOnly + Secure + SameSite ;
  • Cloisonnement multi-tenant au niveau base de données via company_id ;
  • Journal d'audit append-only traçant chaque action sensible ;
  • Sauvegardes chiffrées avec rotation 30 jours ;
  • Mises à jour régulières des dépendances et des images Docker ;
  • Principe de moindre privilège pour l'équipe technique ;
  • Plan de continuité documenté en cas d'incident.

9. Transferts hors UE

Le seul transfert structurel hors Union européenne concerne Resend (e-mails transactionnels), basé aux États-Unis. Ce transfert est encadré par les Clauses Contractuelles Types (CCT) de la Commission européenne (Module 2, sous-traitant à sous-traitant). Les e-mails contiennent uniquement les informations strictement nécessaires (prénom du destinataire, lien d'accès).

10. Notification de violation

En cas de violation de données affectant le Client, le Sous-traitant en informe le Responsable dans les 48 heures suivant sa découverte, par e-mail à l'adresse renseignée pour la facturation. La notification précise la nature de la violation, les catégories et le volume approximatif de données concernées, les conséquences probables et les mesures prises ou proposées.

11. Restitution et suppression

À la fin du contrat, le Client peut demander pendant 30 jours l'exportation de ses données (CSV ou JSON). Passé ce délai, le Sous-traitant procède à la suppression définitive des données et confirme la suppression sur demande écrite, sauf obligation légale de conservation.

12. Audit

Le Responsable peut, une fois par an, demander au Sous-traitant la documentation justifiant des mesures de sécurité. Un audit sur site, contradictoire et raisonnable dans son périmètre, peut être organisé après accord écrit préalable, aux frais du Responsable, dans un délai n'excédant pas une journée.

13. Responsabilité et indemnisation

Chaque partie est responsable de ses propres manquements aux obligations qui lui incombent en sa qualité (Responsable pour la légalité de la collecte et l'information des personnes concernées ; Sous-traitant pour la sécurité technique). Les dispositions de la section 10 des CGU relatives à la limitation de responsabilité s'appliquent intégralement.

14. Durée et droit applicable

Le présent accord prend effet à la souscription du forfait payant et reste en vigueur tant que le Sous-traitant traite des données pour le compte du Responsable. Il est régi par le droit belge, en cohérence avec les conditions générales d'utilisation.

15. Contact DPO

Pour toute question relative au présent accord ou pour signaler un incident : dpo@pulsetime.be.