Politique de confidentialité

1. Responsable de traitement

Le responsable du traitement des données collectées via le site et l'application Prosio est : Salama Forever SRL (marque commerciale « Prosio »), siège social rue du Bon Pasteur 54/1, 1140 Evere (Bruxelles), Belgique, immatriculée à la BCE sous le numéro BE 0711.688.802.

Lorsque Prosio agit en qualité de sous-traitant pour le compte d'un client (concession, groupe automobile), c'est ce client qui est responsable du traitement des données prospects qu'il importe et exploite dans l'application. Les obligations respectives sont alors régies par l'accord de traitement (DPA) conclu avec le client.

2. Délégué à la protection des données

Point de contact unique pour toute demande relative aux données personnelles : dpo@prosio.be.

Toute demande est traitée dans un délai d'un mois conformément à l'article 12 du RGPD, prolongeable de deux mois en cas de demande complexe (avec notification motivée à la personne concernée).

3. Champ d'application

La présente politique s'applique :

— au site vitrine prosio.be (pages publiques et formulaires de contact) ; — à l'application Prosio accessible sur authentification ; — aux échanges avec les équipes Prosio (commerciale, support, sécurité, DPO).

Elle ne couvre pas les sites tiers vers lesquels Prosio peut renvoyer par lien hypertexte.

4. Catégories de données collectées

Données d'identification professionnelle : nom, prénom, civilité, fonction, employeur, adresse email professionnelle, numéro de téléphone professionnel.

Données de compte et d'authentification : identifiant, mot de passe (haché Argon2id, jamais stocké en clair), jeton OAuth Microsoft Graph (chiffré AES-256-GCM avant stockage), préférence de langue, fuseau horaire.

Données de connexion et techniques : adresse IP, type et version du navigateur, système d'exploitation, horodatage des connexions, identifiant de session, logs d'authentification.

Données métier saisies par l'utilisateur : prospects (entreprises et contacts professionnels B2B), comptes, opportunités commerciales, brouillons et envois d'emails, notes manuscrites, rendez-vous, fichiers importés.

Aucune donnée sensible au sens de l'article 9 du RGPD (santé, opinions, biométrie, etc.) n'est sollicitée ni traitée par Prosio.

5. Sources des données

Directement auprès de l'utilisateur : lors de la création d'un compte, du remplissage de formulaires, de l'import de fichiers (CSV / XLSX), de la connexion d'une boîte email via OAuth Microsoft.

Indirectement : auprès du client employeur lorsqu'il provisionne ses utilisateurs (SSO Azure AD).

Génération automatique : logs techniques, horodatages, identifiants de session générés par l'infrastructure d'hébergement.

6. Finalités du traitement

Fourniture du service Prosio : authentification, priorisation des prospects, génération assistée de messages commerciaux, envoi d'emails via la boîte du client, suivi des actions et rendez-vous, reporting.

Gestion contractuelle : facturation, support, gestion de compte.

Prospection commerciale B2B sur des contacts professionnels de concessions et groupes automobiles partenaires.

Sécurité du service : prévention des accès non autorisés, détection des abus, journalisation à des fins d'audit et de conformité.

Amélioration du service : analyses agrégées et anonymisées de l'usage, aucun profilage individuel.

Obligations légales : conservation des pièces comptables, réponse aux réquisitions judiciaires belges et européennes.

7. Bases légales (article 6 RGPD)

Exécution du contrat (article 6.1.b) : fourniture du service à l'utilisateur authentifié et à son employeur client.

Intérêt légitime (article 6.1.f) : prospection commerciale B2B sur des destinataires professionnels, sécurité du service, prévention de la fraude, amélioration anonymisée du produit. Le test de mise en balance des intérêts est documenté en interne et disponible sur demande.

Consentement (article 6.1.a) : connexion d'une boîte email externe via OAuth Microsoft (Mail.Send, User.Read, offline_access), abonnement éventuel à la newsletter, dépôt de cookies non essentiels (aucun à ce jour).

Obligation légale (article 6.1.c) : conservation des factures et pièces comptables pendant 10 ans, conservation des logs de sécurité conformément aux obligations applicables.

8. Durées de conservation

Données de compte actif : pendant toute la durée de la relation contractuelle, augmentée de 3 ans à compter du dernier contact significatif pour les besoins de défense en justice.

Données prospects gérées en qualité de sous-traitant pour le compte d'un client : pendant la durée du contrat client. À la fin du contrat, les données sont restituées au client ou détruites dans un délai de 30 jours, sauf obligation légale contraire (cf. DPA).

Logs techniques et de sécurité : 12 mois en accès rapide, archivage chiffré jusqu'à 24 mois maximum.

Logs d'envoi Microsoft Graph : 90 jours minimum (conformité Microsoft).

Pièces comptables et factures : 10 ans (article 14 du Code de droit économique belge).

Données de prospect commercial sur le site (formulaire de contact) : 3 ans après le dernier contact.

9. Destinataires

Au sein de Salama Forever SRL : équipes produit, support, sécurité, comptabilité, dans la limite du besoin d'en connaître.

Auprès du client employeur : les administrateurs et utilisateurs autorisés par le client accèdent aux données de leur tenant uniquement, dans le respect du cloisonnement Row Level Security.

Auprès des sous-traitants : voir la rubrique 10.

Auprès des autorités publiques : sur réquisition judiciaire belge ou européenne fondée sur une base légale.

Prosio ne vend ni ne loue de données à caractère personnel à des tiers.

10. Sous-traitants

Supabase Inc. (États-Unis, infrastructure AWS Europe — Frankfurt, eu-central-1) : hébergement de la base de données, authentification, stockage des fichiers importés.

Vercel Inc. (États-Unis, infrastructure européenne) : hébergement du front-end Next.js.

Microsoft Ireland Operations Ltd. (Irlande) : service Microsoft Graph et Outlook pour l'envoi d'emails commerciaux via la boîte du client, sur autorisation OAuth explicite (scopes Mail.Send, User.Read, offline_access en mode délégué uniquement).

Microsoft Azure AD (Irlande) : authentification SSO pour les concessions clientes.

Mailprotect / mailprotect.be (Belgique) : envoi d'emails transactionnels de service (notifications, réinitialisation de mot de passe).

Anthropic PBC (États-Unis, traitement via API en région européenne lorsque disponible) : génération assistée de messages commerciaux. Les contenus envoyés à l'API ne sont pas utilisés pour entraîner les modèles (politique « zero retention » Anthropic API). Aucune donnée nominative n'est transmise sans accord du client.

n8n (auto-hébergé sur infrastructure européenne sous responsabilité de Prosio) : orchestration des workflows.

La liste complète et à jour des sous-traitants est annexée au DPA et notifiée 30 jours avant toute modification, avec faculté d'opposition motivée du client.

11. Transferts internationaux

Prosio privilégie systématiquement le traitement des données dans l'Espace économique européen. Lorsqu'un sous-traitant repose sur une société-mère hors UE (Supabase, Vercel, Microsoft, Anthropic), les traitements opérationnels demeurent sur infrastructure européenne.

Lorsqu'un transfert vers un pays tiers est inévitable, il repose obligatoirement sur :

— une décision d'adéquation de la Commission européenne (article 45 RGPD) ; — à défaut, les clauses contractuelles types adoptées par la Commission le 4 juin 2021 (article 46 RGPD) ; — ou toute autre garantie appropriée prévue par le chapitre V du RGPD.

La documentation de ces garanties est fournie au client sur demande motivée.

12. Mesures de sécurité

Le détail des mesures techniques et organisationnelles est exposé dans la page « Sécurité ». En synthèse : chiffrement AES-256 au repos, TLS 1.3 en transit, isolation par tenant via Row Level Security, jetons OAuth chiffrés AES-256-GCM, hashing Argon2id des mots de passe, authentification multi-facteur obligatoire pour le personnel, principe du moindre privilège, journalisation centralisée, audits annuels, tests d'intrusion externes.

13. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

— accès à vos données et obtention d'une copie ; — rectification des données inexactes ; — effacement (« droit à l'oubli ») lorsque les conditions sont réunies ; — limitation du traitement en cas de contestation de l'exactitude des données ; — portabilité des données fournies dans un format structuré et lisible par machine ; — opposition au traitement fondé sur l'intérêt légitime ou la prospection ; — retrait du consentement à tout moment lorsque le traitement est fondé sur ce dernier ; — ne pas faire l'objet d'une décision exclusivement automatisée produisant des effets juridiques.

14. Exercice de vos droits

Toute demande peut être adressée à dpo@prosio.be ou par courrier postal à Salama Forever SRL, rue du Bon Pasteur 54/1, 1140 Evere (Bruxelles).

Prosio peut être amené à demander une preuve d'identité raisonnable pour traiter la demande, conformément à l'article 12.6 du RGPD.

La réponse est apportée dans un délai d'un mois à compter de la réception. Ce délai peut être prolongé de deux mois en cas de demande complexe ou de demandes multiples, avec notification motivée à la personne concernée.

L'exercice de ces droits est gratuit, sauf demandes manifestement infondées ou excessives qui pourront donner lieu à des frais raisonnables ou à un refus motivé.

15. Réclamation auprès d'une autorité de contrôle

Vous avez le droit d'introduire une réclamation auprès de l'Autorité de protection des données belge :

Autorité de protection des données (APD) Rue de la Presse 35, 1000 Bruxelles Tél. : +32 (0)2 274 48 00 contact@apd-gba.be autoriteprotectiondonnees.be

Vous pouvez également saisir l'autorité de contrôle de votre lieu de résidence ou de travail habituel.

16. Décisions automatisées et profilage

Prosio met à disposition des fonctionnalités d'assistance à la décision (priorisation des prospects, suggestion d'actions, rédaction assistée de messages). Ces fonctionnalités ne constituent pas une décision exclusivement automatisée produisant des effets juridiques au sens de l'article 22 du RGPD : un utilisateur humain conserve toujours la décision finale d'envoi, de qualification et de relance.

Aucun profilage à finalité publicitaire, scoring de solvabilité ou évaluation de comportements personnels n'est mis en œuvre.

17. Protection des mineurs

Prosio est un service B2B exclusivement destiné aux professionnels majeurs agissant dans l'exercice de leur activité commerciale. Le service n'est pas dirigé vers les mineurs et ne collecte sciemment aucune donnée concernant un mineur. Tout signalement de collecte involontaire entraînera la suppression immédiate des données concernées.

18. Modifications de la politique

La présente politique peut être modifiée pour refléter des évolutions légales, réglementaires, techniques ou organisationnelles. Toute modification substantielle est notifiée aux utilisateurs par email et/ou par bandeau dans l'application au moins 30 jours avant entrée en vigueur. La version applicable est celle indiquée par la date de dernière mise à jour figurant en tête de la présente page.