Politique de Confidentialité

1. Introduction

Workly BV (« Workly », « nous ») s'engage à protéger votre vie privée et vos données personnelles conformément au Règlement Général sur la Protection des Données (RGPD — Règlement (UE) 2016/679) et à la législation belge en matière de protection des données.

2. Responsable du traitement

Workly est responsable du traitement des données B2B des Clients. Pour les données des Clients Finaux, le Client est responsable du traitement et Workly agit en tant que sous-traitant (Art. 28 RGPD).

3. Données collectées

3.1 Données fournies directement

• Compte : nom, prénom, e-mail, mot de passe (haché), téléphone (optionnel).
• Entreprise : nom, TVA, adresse, logo, couleur de marque.
• Paiement : traité exclusivement par Stripe, Inc. Aucune donnée bancaire n'est stockée par Workly.
• Communications : messages via le formulaire de contact ou par e-mail.
• Données contractuelles d'inscription : lors de la création d'un compte, nous enregistrons l'adresse IP de l'utilisateur, l'horodatage de l'acceptation, l'adresse e-mail et la version des Conditions Générales acceptées. Ces données servent de preuve juridique de la formation du contrat.

3.2 Données des Clients Finaux (traitées pour le compte du Client)

• Nom, e-mail, téléphone (sous réserve de consentement opt-in). Commandes, réservations, bons cadeaux.

3.3 Données relatives au personnel (traitées pour le compte du Client)

• Identification : prénom, nom, e-mail, téléphone.
• Numéro NISS : Numéro d'Identification de la Sécurité Sociale, traité exclusivement pour la soumission de déclarations Dimona auprès de l'ONSS (voir Article 13 des Conditions Générales).
• Données d'emploi : type de contrat, fonction, barème salarial, horaires, données de shifts, disponibilité.
• Données Dimona : type de déclaration, statut, numéros de référence ONSS, horodatages de soumission.

Le Client agit en tant que responsable du traitement pour les données du personnel. Workly les traite exclusivement en tant que sous-traitant (Art. 28 RGPD).

3.4 Données techniques

• Adresse IP (pour l'authentification, la sécurité et les obligations légales lors de l'acceptation des conditions).
• Navigateur et appareil, cookies d'authentification.

3.5 Ce que nous ne collectons PAS

Pas de cookies de suivi, d'analyse, de publicité ni de pixels. Pas de partage avec les réseaux sociaux. Pas de profilage.

4. Bases légales

• Exécution du contrat (Art. 6(1)(b) RGPD) : fourniture des Services, gestion de votre compte et traitement des paiements.
• Obligation légale (Art. 6(1)(c) RGPD) : conservation fiscale 7 ans (Art. 60 CDE). Traitement des numéros NISS pour les déclarations Dimona auprès de l'ONSS (Loi du 24 janvier 2003 portant réforme du NISS, législation ONSS et Arrêté royal relatif aux déclarations Dimona).
• Consentement (Art. 6(1)(a) RGPD) : newsletters, formulaire de contact (révocable à tout moment).
• Intérêt légitime (Art. 6(1)(f) RGPD) : sécurité, prévention fraude. L'enregistrement de votre adresse IP, de l'horodatage et de la version lors de l'acceptation des Conditions Générales est fondé sur notre intérêt légitime à fournir une preuve juridique de la formation du contrat. Cette adresse IP est conservée uniquement à cette fin et n'est pas utilisée pour le suivi ou le profilage.

5. Durées de conservation

• Compte : durée du contrat + 30 jours.
• Données financières : 7 ans.
• Clients Finaux : 24 mois max après dernière interaction.
• Données du personnel (y compris les numéros NISS) : durée du Contrat + 30 jours. Journaux Dimona : 5 ans après soumission.
• Communications : 12 mois.
• Logs : 6 mois.
• Données d'acceptation des conditions (adresse IP, horodatage) : 10 ans après la fin du contrat (délai de prescription légal belge — Art. 2262bis ancien Code civil).

6. Partage avec des tiers

Exclusivement : Stripe (paiements), Supabase (base de données, UE), Vercel (hébergement), Resend (e-mail). Tous sous SCCs. Office National de Sécurité Sociale (ONSS/RSZ) (Belgique) — destinataire des déclarations Dimona soumises via la Plateforme pour le compte du Client. www.rsz.be.

Nous ne vendons jamais vos données.

7. Transferts internationaux

Standard Contractual Clauses (SCCs), EU-US Data Privacy Framework, chiffrement TLS 1.3 / AES-256.

8. Vos droits

Accès, rectification, effacement, limitation, portabilité, opposition, retrait du consentement (Art. 15-21 RGPD).

Via les Paramètres de confidentialité dans votre tableau de bord ou par e-mail à privacy@worklyhq.com. Réponse sous 30 jours.

9. Sécurité

TLS 1.3, AES-256, bcrypt, Row-Level Security, 2FA/TOTP, sessions sécurisées, audits réguliers.

10. Enfants

Âge minimum pour le consentement numérique en Belgique : 16 ans.

11. Cookies

Uniquement des cookies strictement nécessaires. Voir notre Politique de Cookies.

12. Décisions automatisées

Aucune décision automatisée au sens de l'Art. 22 RGPD.

13. Violation de données

Notification à la GBA/APD dans les 72 heures. Information des personnes concernées en cas de risque élevé.

14. Modifications

Préavis de 30 jours par e-mail pour les modifications importantes.

15. Réclamation

16. Contact