La présente politique décrit comment vos données personnelles sont collectées, traitées et protégées dans le cadre du service de veille des marchés publics belges (ci-après le « Service »), fourni par Ediz Kesici (ci-après le « Responsable de traitement »).
Le Service est régi par le Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) et la loi belge du 30 juillet 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel.
1. Responsable du traitement
| Nom | Ediz Kesici (en son nom personnel) |
|---|---|
| Adresse | [à compléter — adresse postale] |
| offres.publics.belgique@gmail.com | |
| Numéro d'entreprise (BCE) | [à compléter lors de l'inscription BCE] |
| Statut | Indépendant complémentaire en cours d'inscription |
Pour toute question relative à vos données personnelles, contactez-nous à l'adresse email ci-dessus en indiquant « RGPD » dans l'objet.
2. Données collectées
Le Service traite un volume minimal de données, limité à ce qui est strictement nécessaire à la fourniture du Service.
2.1 Données fournies directement par vous
- Adresse email professionnelle — utilisée pour l'envoi du digest hebdomadaire
- Nom de l'entreprise — utilisé pour la personnalisation de l'email
- Description de vos activités — utilisée pour la classification des appels d'offres pertinents via le modèle d'IA (Groq)
- Précisions optionnelles (
prompt_context) — règles spécifiques d'inclusion/exclusion que vous souhaitez voir appliquées (ex : « ne pas inclure les offres de démolition ») - Jour d'envoi souhaité (lundi, vendredi, etc.)
2.2 Données générées automatiquement par le Service
- Identifiants des avis déjà envoyés (
seen_ids) — pour éviter de vous envoyer deux fois le même avis - Horodatage du dernier envoi (
last_run) — pour ne retenir que les avis publiés depuis le dernier envoi - Historique des bounces email — pour suspendre les envois en cas d'adresse invalide (3 échecs en 7 jours)
- Adresses IP et user-agents dans les logs serveur — conservés 14 jours pour la sécurité
2.3 Données NON collectées
Nous ne collectons PAS :
- ❌ Données de localisation GPS
- ❌ Données de navigation (pas de cookies, pas de tracking)
- ❌ Données démographiques (âge, sexe, etc.)
- ❌ Données financières (paiement par virement bancaire, les RIB ne sont pas conservés au-delà de la durée légale)
- ❌ Données de santé
- ❌ Données relatives à des condamnations pénales
3. Finalités du traitement et base légale
| Finalité | Base légale (RGPD) | Données utilisées |
|---|---|---|
| Envoi du digest hebdomadaire d'appels d'offres | Article 6.1.b — exécution d'un contrat | Email, nom, description, prompt_context |
| Classification sémantique des avis via IA | Article 6.1.b — exécution d'un contrat | Description, prompt_context, contenu des avis (publics) |
| Déduplication des envois | Article 6.1.f — intérêt légitime (qualité du Service) | seen_ids, last_run |
| Gestion des bounces et suspension automatique | Article 6.1.f — intérêt légitime (qualité du Service) | Historique de bounces |
| Facturation et gestion des paiements | Article 6.1.b — exécution d'un contrat | Email, nom, historique des factures |
| Réponse à vos demandes (support, RGPD) | Article 6.1.f — intérêt légitime | Email, contenu de vos demandes |
| Sécurité et prévention des abus | Article 6.1.f — intérêt légitime | Logs serveur (IP, user-agent) |
4. Destinataires des données
Vos données sont accessibles uniquement à :
4.1 Le Responsable de traitement
Ediz Kesici, exploitant du Service, a accès à l'ensemble des données listées en section 2.
4.2 Sous-traitants
Le Service fait appel aux sous-traitants suivants, chacun dans une finalité précise et limitée :
| Sous-traitant | Pays | Finalité | Données transmises | Base contractuelle |
|---|---|---|---|---|
| Groq Inc. | États-Unis | Classification IA des offres | Description de votre entreprise, prompt_context, contenu public des avis | Clauses Contractuelles Types (SCC) |
| Google Ireland Ltd. (Gmail) | Irlande | Envoi des emails | Votre adresse email (en tant que destinataire), contenu des emails | CGU Gmail |
| Google Ireland Ltd. (Google Sheets) | Irlande | Stockage des retours Oui/Non | Identifiant de l'avis, votre identifiant client, votre retour Oui/Non | CGU Google Workspace |
| GitHub Inc. (Microsoft) | États-Unis | Hébergement du code source et des fichiers d'état | Identifiants d'avis (publics), horodatages (anonymes) | CGU GitHub |
4.3 Autres
- Aucune donnée n'est vendue ou partagée à des tiers à des fins commerciales.
- Aucune donnée n'est utilisée à des fins de prospection commerciale tierce.
- Les autorités publiques (administration fiscale, judiciaire) peuvent accéder à certaines données sur base légale, à leur demande.
5. Transferts hors Union européenne
Deux sous-traitants sont établis hors Union européenne :
- Groq Inc. (États-Unis) : le transfert est encadré par des Clauses Contractuelles Types adoptées par la Commission européenne (Décision 2021/914). Le niveau de protection est jugé adéquat au regard du RGPD.
- GitHub Inc. (États-Unis) : idem, encadré par les SCC et certifié sous le Data Privacy Framework EU-US.
Aucun transfert n'a lieu vers des pays considérés comme non adéquats par la Commission européenne.
6. Durée de conservation
| Catégorie de données | Durée de conservation | Motif |
|---|---|---|
| Données client actives (email, nom, description, prompt_context) | Tant que le client est actif + 30 jours après demande de désinscription | Exécution du contrat + droit d'accès |
seen_ids (avis déjà envoyés) | 2 ans après le dernier envoi | Éviter les doublons — au-delà, les avis sont obsolètes |
last_run (horodatage) | Tant que le client est actif | Technique |
| Historique des bounces | 7 jours glissants | Suspension automatique |
| Logs serveur (IP, user-agent) | 14 jours | Sécurité |
| Factures et justificatifs de paiement | 7 ans (loi comptable belge) | Obligation légale |
| Emails de demande d'inscription et de désinscription | 3 ans | Preuve de consentement (RGPD) |
À l'expiration de ces délais, les données sont soit supprimées définitivement, soit anonymisées (irréversiblement).
7. Sécurité
7.1 Mesures techniques
- Chiffrement en transit : tous les échanges se font en HTTPS/TLS (SMTP STARTTLS pour les emails, HTTPS pour les API)
- Chiffrement au repos : les fichiers d'état sont stockés sur des infrastructures chiffrées (GitHub, Google)
- Authentification forte : 2FA obligatoire sur le compte Gmail, le compte GitHub et le compte Groq
- Mots de passe d'application : aucun mot de passe de compte n'est utilisé pour le SMTP ; un mot de passe d'application dédié est utilisé
- Secrets isolés : aucune clé API n'est stockée dans le code source ; tous les secrets sont en variables d'environnement
- Accès limité : seul le Responsable de traitement a accès aux données
7.2 Mesures organisationnelles
- Engagement de confidentialité : le Responsable de traitement s'engage à ne pas divulguer les données à quiconque
- Formation RGPD : le Responsable de traitement s'est formé aux bonnes pratiques RGPD
- Procédure d'incident : voir section 9 ci-dessous
- Audit annuel : revue annuelle des accès et des procédures
7.3 Limites
- Le Service est exploité sans Délégué à la Protection des Données (DPO), ce qui est conforme à l'article 37 du RGPD compte tenu de la nature non sensible des données et du volume limité de clients.
- Le Service n'a pas fait l'objet d'une Analyse d'Impact relative à la Protection des Données (AIPD), ce qui est conforme à l'article 35 du RGPD (les traitements ne présentent pas de risque élevé pour les droits et libertés des personnes).
8. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
| Droit | Description | Comment l'exercer |
|---|---|---|
| Accès (art. 15) | Obtenir une copie de vos données personnelles | Email avec « Droit d'accès » |
| Rectification (art. 16) | Corriger des données inexactes | Email avec « Rectification » |
| Effacement (art. 17) | Demander la suppression de vos données (« droit à l'oubli ») | Email avec « Droit à l'oubli » |
| Limitation (art. 18) | Demander la suspension temporaire du traitement | Email avec « Limitation » |
| Portabilité (art. 20) | Recevoir vos données dans un format structuré | Email avec « Portabilité » |
| Opposition (art. 21) | S'opposer au traitement pour motif légitime | Email avec « Opposition » |
| Retrait du consentement (art. 7) | Retirer votre consentement à tout moment | Répondez « STOP » à n'importe quel email reçu, ou email avec « Retrait consentement » |
8.1 Modalités d'exercice
- Délai de réponse : 30 jours maximum à compter de la réception de votre demande (article 12.3 du RGPD). En pratique, nous visons un délai de 7 jours.
- Justification d'identité : pour toute demande, nous pouvons vous demander une preuve d'identité (adresse email d'origine suffisante dans la plupart des cas).
- Gratuité : l'exercice de vos droits est gratuit. Des frais raisonnables peuvent être facturés uniquement pour des demandes manifestement infondées ou excessives (article 12.5).
8.2 Réclamation auprès de l'autorité de contrôle
Si vous estimez que le traitement de vos données porte atteinte à vos droits, vous avez le droit d'introduire une réclamation auprès de l'Autorité de Protection des Données belge :
- Site web : autoriteprotectiondonnees.be
- Adresse : Rue de la Presse 35, 1000 Bruxelles
- Email : contact@apd-gba.be
- Tél : +32 2 274 48 00
9. Notification de violation de données
En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour vos droits et libertés, le Responsable de traitement s'engage à :
- Notifier l'Autorité de Protection des Données dans un délai de 72 heures après en avoir pris connaissance (article 33 du RGPD)
- Vous informer sans retard excessif si la violation est susceptible d'engendrer un risque élevé pour vos droits et libertés (article 34 du RGPD)
- Documenter la violation dans un registre interne des violations
10. Cookies et traceurs
Le Service n'utilise aucun cookie ni traceur de navigation. Le site web de présentation est statique et sans analytics.
Les emails envoyés ne contiennent aucun pixel de tracking ni balise d'ouverture.
11. Modifications de cette politique
La présente politique peut être modifiée à tout moment pour refléter :
- L'évolution du Service
- L'évolution de la législation
- Les recommandations de l'Autorité de Protection des Données
En cas de modification substantielle, vous en serez informé par email au moins 30 jours avant l'entrée en vigueur. La date de dernière mise à jour est indiquée en haut de ce document.
12. Contact
Pour toute question relative à cette politique ou à vos données personnelles :
- Email : offres.publics.belgique@gmail.com
- Objet : RGPD
- Délai de réponse : 7 jours ouvrés