KoraLytics · RGPD
Conformité RGPD
Dernière mise à jour : 7 avril 2026
Ce document présente de manière exhaustive la conformité de KoraLytics au Règlement Général sur la Protection des Données (UE) 2016/679 et à la loi belge du 30 juillet 2018. Il s'adresse aux personnes concernées, aux institutions partenaires et à toute autorité de contrôle.
Table des matières
- 01.Responsable de traitement
- 02.Registre des activités de traitement
- 03.Bases légales détaillées
- 04.Modalités de collecte
- 05.Sous-traitants et transferts
- 06.Mesures de sécurité
- 07.Droits des personnes
- 08.Gestion des violations de données
- 09.Protection des mineurs
- 10.Analyse d'impact (DPIA)
- 11.Autorité de contrôle
1. Responsable de traitement
Entité : KoraLytics — service de KINETIC DEV SRL
NE : 1034.345.048 — TVA : BE 1034.345.048 — Peppol : 0208:1034345048
Siège : Bruxelles, Belgique
Contact DPO / responsable vie privée : support@koralytics.be
KoraLytics agit en qualité de responsable de traitement au sens de l'article 4(7) du RGPD pour l'ensemble des traitements décrits dans le présent document. Elle détermine seule les finalités et les moyens des traitements, sauf pour les opérations confiées à des sous-traitants agissant en son nom et pour son compte.
2. Registre des activités de traitement
Conformément à l'article 30 du RGPD, KoraLytics tient un registre interne de ses activités de traitement. Les principaux traitements sont résumés ci-dessous :
Collecte de profils diaspora
Finalité
Cartographie statistique et analytique de la diaspora africaine qualifiée à des fins d'intelligence collective
Données traitées
Données socio-démographiques (âge, genre, pays d'origine et de résidence, secteur, formation, revenus, engagement) ; données optionnelles (CV, photo de profil)
Base légale
Consentement explicite et éclairé (art. 6.1.a) — double opt-in avec enregistrement horodaté
Durée de conservation
30 jours sous forme identifiable, puis anonymisation irréversible et conservation indéfinie sous forme agrégée
Destinataires
Équipe interne ; sous-traitants techniques (Neon DB, Vercel) sous contrat DPA
Transferts hors UE
Données hébergées en UE (Frankfurt). Accès Vercel depuis USA encadré par CCT
Gestion des brouillons (drafts)
Finalité
Permettre la reprise du formulaire en cours de saisie
Données traitées
Données de formulaire partielles, nom de famille, code de reprise, adresse e-mail optionnelle
Base légale
Intérêt légitime (art. 6.1.f) — fonctionnalité nécessaire à l'expérience utilisateur
Durée de conservation
30 jours, puis suppression automatique
Destinataires
Équipe interne ; Neon DB
Transferts hors UE
UE uniquement
Envoi d'e-mails transactionnels
Finalité
Envoi du code de reprise de formulaire et du lien de gestion du profil
Données traitées
Adresse e-mail, nom de famille, token d'accès sécurisé
Base légale
Exécution d'une mesure précontractuelle / consentement (art. 6.1.b et 6.1.a)
Durée de conservation
Logs Resend conservés 30 jours
Destinataires
Resend Inc. (sous-traitant e-mail, DPA signé)
Transferts hors UE
Transfert USA encadré par CCT
Formulaire de contact institutionnel
Finalité
Traitement des demandes émanant d'institutions, ambassades ou organismes de recherche
Données traitées
Nom, organisation, rôle, adresse e-mail professionnelle, message
Base légale
Consentement (art. 6.1.a) — case de validation explicite
Durée de conservation
12 mois à compter de la dernière interaction
Destinataires
Équipe commerciale KoraLytics ; Resend Inc.
Transferts hors UE
Transfert USA encadré par CCT
Statistiques d'audience anonymisées
Finalité
Mesure de la fréquentation et amélioration continue du service
Données traitées
Adresse IP tronquée, pages visitées, durée de session, type d'appareil et navigateur
Base légale
Consentement (art. 6.1.a) — collecté via le bandeau de consentement aux cookies
Durée de conservation
13 mois maximum
Destinataires
Outil d'analytics interne ; aucun partage tiers
Transferts hors UE
Données traitées en UE
3. Bases légales détaillées
Consentement — art. 6.1.a
Principal fondement juridique de la collecte de profils. Le consentement est recueilli de manière granulaire (case à cocher distincte pour chaque finalité), librement donné, spécifique, éclairé et univoque. Il est enregistré avec horodatage et version du formulaire. Il peut être retiré à tout moment sans conséquence sur les traitements antérieurs.
Intérêt légitime — art. 6.1.f
Utilisé pour la gestion des brouillons et la sécurisation du service. Un test de mise en balance a été conduit : l'intérêt de KoraLytics à assurer la continuité de navigation est proportionné, les données traitées sont minimales et l'impact sur la vie privée est limité. Les personnes conservent un droit d'opposition effectif.
Obligation légale — art. 6.1.c
KoraLytics peut être tenu de communiquer des données personnelles aux autorités compétentes sur réquisition judiciaire ou administrative, dans les limites strictement prévues par la loi.
4. Modalités de collecte et minimisation des données
KoraLytics applique le principe de minimisation des données (art. 5.1.c RGPD) :
- Seules les données strictement nécessaires aux finalités déclarées sont collectées.
- Les champs sensibles (CV, photo) sont facultatifs et clairement identifiés comme tels.
- Les fichiers téléversés (CV, photo) sont encodés en base64, stockés dans la base de données et jamais exposés publiquement.
- L'adresse IP est collectée uniquement pour la détection de fraude et tronquée à des fins analytiques.
- Aucune donnée biométrique, génétique, de santé ou d'orientation sexuelle n'est collectée.
- Le formulaire est conçu selon le principe du Privacy by Design : chaque étape informe l'utilisateur de la nature et de l'usage des données demandées.
5. Sous-traitants et transferts internationaux
Conformément à l'article 28 du RGPD, tout sous-traitant ayant accès à des données personnelles est lié par un Data Processing Agreement (DPA) conforme aux exigences du RGPD.
| Sous-traitant | Rôle | Localisation | Garanties |
|---|---|---|---|
| Vercel Inc. | Hébergement web & déploiement | USA (avec edge EU) | CCT Commission européenne, DPA disponible |
| Neon Inc. | Base de données PostgreSQL serverless | UE — Frankfurt (AWS eu-central-1) | Hébergement UE, DPA disponible |
| Resend Inc. | E-mails transactionnels | USA | CCT Commission européenne, DPA disponible |
| GitHub Inc. | Gestion du code source (dépôt privé) | USA | CCT Commission européenne |
Aucune donnée personnelle identifiable n'est partagée avec des institutions clientes ou des partenaires. Les analyses et rapports produits pour des tiers sont exclusivement fondés sur des données agrégées et anonymisées.
6. Mesures de sécurité techniques et organisationnelles
Conformément à l'article 32 du RGPD, KoraLytics a mis en place les mesures suivantes :
Chiffrement
- ▸TLS 1.3 pour tous les transferts en transit
- ▸Chiffrement au repos de la base de données (AES-256)
- ▸Tokens d'accès générés par UUID v4 cryptographiquement sûr
Contrôle d'accès
- ▸Accès à la base de données restreint par IP et credentials
- ▸Interface d'administration protégée par Basic Auth (staging uniquement)
- ▸Séparation stricte staging / production
Intégrité des données
- ▸Sauvegardes automatiques quotidiennes (Neon point-in-time recovery)
- ▸Journalisation des opérations sensibles (accès admin, suppressions)
- ▸Soft delete pour les profils — aucune suppression physique immédiate
Organisation
- ▸Accès aux données limité au strict nécessaire (principe du moindre privilège)
- ▸Formation des équipes aux bonnes pratiques RGPD
- ▸Procédure de réponse aux incidents documentée
7. Droits des personnes concernées — procédures d'exercice
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants. Toute demande doit être adressée à support@koralytics.be — nous répondrons dans un délai maximum de 30 jours (prorogeable à 3 mois pour les demandes complexes, avec notification dans les 30 jours).
Accès (art. 15)
Obtenir la confirmation que des données vous concernant sont traitées, et si oui, en obtenir une copie dans un format lisible ainsi que les informations relatives au traitement.
Rectification (art. 16)
Corriger des données inexactes ou incomplètes vous concernant. Vous pouvez modifier directement votre profil via votre lien de gestion personnel.
Effacement (art. 17)
Demander la suppression de vos données lorsque celles-ci ne sont plus nécessaires, que vous retirez votre consentement, ou que vous vous opposez au traitement. Pour les profils, la suppression est effectuée dans les 72h de la demande (soft delete puis purge définitive sous 30 jours).
Limitation (art. 18)
Demander que vos données soient conservées mais ne fassent plus l'objet d'un traitement actif, notamment le temps de vérifier l'exactitude des données ou l'examen d'une opposition.
Portabilité (art. 20)
Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON), et les transmettre à un autre responsable de traitement. Ce droit s'applique aux données traitées sur la base du consentement ou d'un contrat.
Opposition (art. 21)
Vous opposer à tout moment à un traitement fondé sur l'intérêt légitime ou à des fins de profilage. KoraLytics cessera le traitement sauf s'il existe des motifs légitimes impérieux.
Retrait du consentement
Retirer votre consentement à tout moment sans que cela n'affecte la licéité des traitements effectués avant le retrait. Le retrait peut être exercé directement depuis votre profil ou par e-mail.
Décision automatisée (art. 22)
KoraLytics ne procède à aucune prise de décision automatisée ni à aucun profilage produisant des effets juridiques ou affectant significativement les personnes concernées.
8. Gestion des violations de données personnelles
En cas de violation de données personnelles susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, KoraLytics s'engage à :
- Détecter et contenir l'incident dans les meilleurs délais grâce aux journaux d'accès et aux alertes de sécurité.
- Notifier l'Autorité de Protection des Données (APD) belge dans un délai de 72 heures après la prise de connaissance de la violation, conformément à l'article 33 du RGPD.
- Informer les personnes concernées sans délai injustifié si la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés (art. 34 RGPD), avec une description claire de la nature de la violation, des données impliquées et des mesures de remédiation prises.
- Documenter l'incident dans le registre interne des violations, indépendamment de l'obligation de notification.
9. Protection des mineurs
Le service KoraLytics est exclusivement destiné aux personnes âgées de 16 ans ou plus. En soumettant un profil, vous déclarez avoir atteint cet âge. KoraLytics ne collecte pas sciemment de données personnelles relatives à des mineurs de moins de 16 ans. Si vous avez connaissance d'une telle collecte, veuillez nous contacter immédiatement à support@koralytics.be afin que nous procédions à la suppression des données concernées.
10. Analyse d'impact relative à la protection des données (DPIA)
Conformément à l'article 35 du RGPD, KoraLytics a conduit une Analyse d'Impact relative à la Protection des Données (DPIA) pour la collecte de profils diaspora, au motif que ce traitement implique des données socio-démographiques à grande échelle susceptibles de révéler indirectement l'origine ethnique ou nationale des participants.
Description systématique
Collecte volontaire de ~70 champs socio-professionnels via formulaire sécurisé, stockage en base de données chiffrée, anonymisation avant analyse.
Évaluation de la nécessité et proportionnalité
Les données collectées sont strictement nécessaires à la finalité cartographique. La granularité des champs est justifiée par la richesse analytique requise pour produire une intelligence diaspora exploitable par les institutions.
Risques identifiés
Réidentification potentielle sur des combinaisons de données rares, accès non autorisé à la base de données, fuite de données lors des transferts.
Mesures d'atténuation
Anonymisation irréversible dès 30 jours, chiffrement end-to-end, accès restreint, absence de publication de données individuelles, k-anonymat appliqué dans les analyses.
Conclusion
Le traitement peut se poursuivre ; les risques résiduels sont acceptables compte tenu des mesures techniques et organisationnelles mises en place. La DPIA sera mise à jour annuellement ou en cas de changement substantiel du traitement.
11. Autorité de contrôle compétente
En tant qu'entité établie en Belgique, KoraLytics est soumise au contrôle de l'Autorité de Protection des Données (APD) belge, autorité chef de file au sens du mécanisme de guichet unique du RGPD.
Autorité de Protection des Données
Rue de la Presse 35, 1000 Bruxelles, Belgique
Tél. : +32 (0)2 274 48 00
Vous pouvez également introduire une réclamation auprès de l'autorité de protection des données de votre État membre de résidence habituelle ou de travail.
Contact — Délégué à la protection des données
Pour toute question relative à la conformité RGPD de KoraLytics, pour exercer vos droits, ou pour signaler un incident :
support@koralytics.be
Réponse garantie sous 30 jours calendaires.
