Règles de confidentialité

La présente politique décrit comment la plateforme Onboarding Portal (le « Service ») traite vos données à caractère personnel, conformément au Règlement (UE) 2016/679 (« RGPD ») et à la loi luxembourgeoise applicable.

1. Responsable du traitement

Le responsable du traitement est l'exploitant du Service, dont l'identité figure dans les Mentions légales (Global IT Software). Lorsque les données sont traitées pour le compte d'une Organisation cliente dans le cadre d'un dossier d'onboarding, celle-ci agit en qualité de responsable du traitement et l'Exploitant en qualité de sous-traitant. Pour toute question, contactez ms@irisconsulting.lu.

Délégué à la protection des données (DPO) : [À COMPLÉTER : coordonnées du DPO, ou « non désigné »].

2. Données que nous traitons

• Compte : adresse e-mail, nom (facultatif), langue préférée.
• Authentification : mot de passe stocké sous forme hachée (jamais en clair).
• Données techniques : adresse IP, journaux d'audit, horodatages de connexion et d'action, jetons de session.
• Preuve de consentement : date d'acceptation des CGU et des présentes règles, ainsi que la version des documents acceptés.
• Données d'onboarding : réponses aux formulaires, documents et fichiers téléversés (PDF, images), signatures électroniques.
• Vérifications : données issues des contrôles de conformité (KYC / criblage), lorsque le périmètre souscrit le prévoit.

3. Finalités et bases légales

• Fournir et gérer le Service et votre compte — exécution du contrat (art. 6.1.b RGPD).
• Vérifications de conformité (KYC / LBC-FT) — obligation légale et/ou intérêt légitime de l'Organisation cliente (art. 6.1.c et f).
• Sécurité, prévention de la fraude et journal d'audit — intérêt légitime à protéger le Service et ses utilisateurs (art. 6.1.f).
• Conservation de la preuve de consentement — respect d'une obligation légale et intérêt légitime (art. 6.1.c et f).
• Communications facultatives, le cas échéant — consentement (art. 6.1.a), retirable à tout moment.

4. Destinataires et sous-traitants

Vos données sont accessibles aux personnes habilitées de l'Exploitant et de l'Organisation cliente concernée, selon leurs rôles. Nous faisons appel à des sous-traitants agissant sur instructions et soumis à des engagements de confidentialité :

• Hébergeur du Service (Union européenne) : [À COMPLÉTER].
• Service de traduction des contenus de formulaires : [À CONFIRMER : interne ou prestataire externe, localisation].
• Prestataire de vérification / criblage (KYC) : [À CONFIRMER : identité et localisation].
• Service de validation d'adresses (Geoportail Luxembourg) : [À CONFIRMER : données transmises].

5. Transferts hors de l'Union européenne

Le Service est hébergé dans l'Union européenne. En principe, aucune donnée n'est transférée en dehors de l'UE/EEE. Si un sous-traitant devait traiter des données hors de l'EEE, ce transfert serait encadré par des garanties appropriées au sens du RGPD (notamment les clauses contractuelles types). [À CONFIRMER selon les sous-traitants retenus]

6. Durées de conservation

Les données sont conservées pour la durée strictement nécessaire aux finalités ci-dessus :

• Compte et données d'onboarding : [À COMPLÉTER : ex. durée de la relation + délai légal].
• Données de vérification (KYC) : [À COMPLÉTER : durée imposée par la réglementation LBC-FT].
• Journaux d'audit et de sécurité : [À COMPLÉTER : ex. 12 mois].

7. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées : hébergement dans l'UE, contrôle d'accès fondé sur les rôles (RBAC), validation à quatre yeux pour les opérations sensibles, journal d'audit, chiffrement des échanges, mots de passe hachés et jetons de session à expiration automatique.

8. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

• droit d'accès à vos données ;
• droit de rectification ;
• droit à l'effacement (« droit à l'oubli ») ;
• droit à la limitation du traitement ;
• droit d'opposition ;
• droit à la portabilité de vos données ;
• droit de retirer votre consentement à tout moment, sans effet rétroactif.

Pour exercer ces droits, écrivez à ms@irisconsulting.lu. Nous répondons dans un délai d'un mois. Lorsque les données sont traitées pour le compte d'une Organisation cliente, votre demande peut être transmise à celle-ci.

9. Réclamation auprès de l'autorité de contrôle

Vous pouvez introduire une réclamation auprès de la Commission nationale pour la protection des données (CNPD), 15, boulevard du Jazz, L-4370 Belvaux, Luxembourg — cnpd.public.lu, ou auprès de l'autorité de contrôle de votre lieu de résidence.

10. Cookies et stockage local

Le Service n'utilise pas de cookies publicitaires ni de traceurs tiers. Il recourt uniquement à des dispositifs strictement nécessaires à son fonctionnement, exemptés de consentement :

• un stockage local (localStorage) conservant vos jetons d'accès et de rafraîchissement afin de maintenir votre session ;
• un cookie technique asset_session (HttpOnly) permettant de servir les ressources protégées selon votre rôle.

11. Modification de la politique

La présente politique peut être mise à jour pour tenir compte d'évolutions légales ou techniques. La version applicable est celle en vigueur lors de votre utilisation du Service ; toute modification substantielle vous est signalée par un moyen approprié.