Aller au contenu

Sécurité · RGPD · UE

Vos données de paie ne sortent pas d'Europe. Jamais.

Cet outil est conçu pour le standard de sécurité attendu d'un secrétariat social agréé belge : hébergement UE, RGPD by design, isolation stricte par organisation, traçabilité complète des accès.

Hébergement UE

Datacenter Frankfurt, sous-traitant certifié ISO 27001. Aucun transfert hors Union Européenne. Pas de Cloud Act US.

Chiffrement bout en bout

TLS 1.3 en transit, AES-256 au repos, clés gérées en KMS séparé. Backup chiffré, rétention 30 jours glissants.

Isolation par organisation

Postgres + Row Level Security sur 100 % des tables clients. Une requête mal formée ne peut jamais retourner les données d'une autre organisation.

Auth sans mot de passe

Connexion par magic link email (Supabase Auth). Pas de mot de passe stocké, pas de risque de fuite par credential stuffing.

Pas d'entraînement IA

Vos données ne sont jamais utilisées pour entraîner un modèle. Aucun fournisseur LLM tiers ne reçoit vos audits.

Suppression à la demande

Export complet + suppression définitive en 1 clic depuis Réglages > Confidentialité. Données purgées sous 30 jours du backup.

Pratiques opérationnelles

Pentest annuel

Cabinet externe indépendant, rapport disponible sous NDA pour les clients Entreprise.

Scans continus

Dépendances scannées en continu (Snyk + Dependabot). Patchs critiques < 48 h.

DPA prêt à signer

Data Processing Agreement aligné RGPD art. 28, disponible sur demande à dpo@groups.be.

Cookies & analytics

Aucun cookie publicitaire. Aucun tracker tiers (Google Analytics, Meta Pixel, etc.).

Cookies strictement nécessaires uniquement : session d'authentification, préférence de langue, consentement bannière. Analytics produit en première partie, anonymisé, hébergé sur la même infrastructure UE.

Vous pouvez retirer votre consentement à tout moment via le lien « Cookies » du footer.

FAQ — sécurité

Sécurité, données & confidentialité

Mes données sont-elles partagées avec des tiers ?

Non. Hébergement UE (Frankfurt), RGPD, chiffrement TLS 1.3 en transit et AES-256 au repos. Aucune donnée n'est partagée avec un tiers sans votre consentement explicite. Aucun entraînement de modèle IA sur vos données.

Où sont hébergées les données ?

Frankfurt (Allemagne) chez un sous-traitant certifié ISO 27001. Aucun transfert hors UE. Le DPA (Data Processing Agreement) est disponible sur demande à dpo@groups.be.

Combien de temps mes données sont-elles conservées ?

Sessions d'audit : 36 mois après la dernière activité (alignement avec délai de prescription CPS). Rapports PDF : conservés tant que votre compte existe. Vous pouvez exporter et supprimer toutes vos données à tout moment depuis Réglages > Confidentialité.

Qui peut accéder aux audits de mon entreprise ?

Strictement les utilisateurs invités dans votre organisation (avec rôle admin ou user). Group S n'accède jamais à vos données sauf demande explicite de support (avec consentement par ticket).

L'application a-t-elle été auditée ?

Pentest annuel par cabinet externe, scans de dépendances continus, certificat ISO 27001 en cours de renouvellement. Voir /securite pour le détail.

L'audit Group S est-il conforme IA Act ?

Oui. L'outil ne prend aucune décision automatisée à votre place : il restitue des règles de droit auditées par des juristes. Pas de scoring de personnes, pas de profilage, pas de système IA à haut risque au sens du Règlement UE 2024/1689.

DPA, registre, ISO ?

Documents disponibles sur demande à dpo@groups.be ou via votre contact Group S habituel.

Demander les documents