Responsable du traitement
Zero Trust est le responsable du traitement pour les opérations décrites dans cette politique. Les données d'identification de la société ne sont pas encore finalisées et sont indiquées ci-dessous comme placeholders : [TBD: forme juridique], [TBD: siège social], [TBD: numéro BCE/KBO], [TBD: numéro de TVA]. Vous pouvez nous contacter à l'adresse info@zero-trust.be.
Quelles données nous traitons
Via la page de contact /contact, nous traitons les données que vous saisissez vous-même dans le formulaire : nom, adresse e-mail, objet et contenu libre du message. Lorsque vous envoyez le formulaire, le message est transmis via une requête HTTPS POST à un petit backend Node/Fastify. Ce backend transfère ensuite le message via l'API Microsoft Graph vers info@zero-trust.be, une boîte aux lettres Microsoft 365 hébergée par Microsoft Ireland.
En plus du contenu du formulaire, le backend enregistre au moment de l'envoi une entrée de log limitée comprenant l'adresse IP et le User-Agent de votre navigateur. Ces logs sont conservés environ 30 jours dans les logs de conteneur et sont utilisés uniquement à des fins de prévention des abus, de sécurité et de débogage technique.
Le serveur web de ce site, Caddy, conserve également des logs d'accès. Ces logs contiennent l'adresse IP, le chemin demandé, le User-Agent et l'horodatage. Ils sont eux aussi conservés environ 30 jours et utilisés exclusivement pour la sécurité, la détection des abus et le suivi opérationnel.
Zero Trust utilise une mesure d'audience limitée, first-party et côté serveur, à partir des logs d'accès Caddy. Avant stockage, les adresses IP sont réduites à un hash salé rotatif ; les informations GeoIP approximatives sont résolues localement ; et les métadonnées User-Agent sont traitées pour des rapports agrégés sur les appareils, navigateurs et systèmes d'exploitation. Nous n'utilisons pas de scripts analytics côté client, d'automatisation marketing, de tracking CRM, de pixels publicitaires ni de traceurs tiers. Il n'y a donc ni profilage publicitaire ni segmentation marketing automatisée fondée sur votre comportement sur ce site.
Requêtes externes effectuées par votre navigateur
Lors du chargement du site, votre navigateur peut envoyer une requête à rsms.me afin de charger la feuille CSS de la police Inter. Cette partie reçoit alors des données techniques de connexion telles que votre adresse IP, des informations sur votre navigateur et le moment de la requête.
Sur la page /scan uniquement, votre navigateur envoie d'abord des requêtes same-origin vers /api/scan/context et /api/scan/proxy-ipapi. Sur /api/scan/context, le serveur déduit une géolocalisation approximative à partir de votre adresse IP publique via une base GeoIP locale. Sur /api/scan/proxy-ipapi, le proxy en bordure relaie côté serveur une recherche IP vers ipapi.co. Si ces recherches ne sont pas disponibles, la page peut encore utiliser des requêtes directes vers ipapi.co, ipwho.is et api4.ipify.org et api6.ipify.org comme solutions de repli pour récupérer le contexte IP/géolocalisation. Si les recherches IP échouent, la page peut aussi demander de manière optionnelle l'autorisation de géolocalisation du navigateur pour placer le marqueur sur la carte. Ensuite, la page charge des tuiles de carte sombres depuis basemaps.cartocdn.com (données OpenStreetMap rendues par CARTO), centrées sur cette position approximative. Cette fonctionnalité fait partie d'une démonstration de sensibilisation montrant combien de contexte peut être visible à partir de données réseau et navigateur. Ces requêtes ne sont effectuées que sur /scan et non sur les autres pages du site.
Base juridique
Pour les données que vous saisissez volontairement et envoyez via le formulaire de contact, nous nous fondons sur votre consentement au sens de l'article 6, paragraphe 1, point a du RGPD. Vous choisissez vous-même de remplir et d'envoyer le formulaire.
Pour les logs serveur et de sécurité, nous nous fondons sur l'intérêt légitime au sens de l'article 6, paragraphe 1, point f du RGPD. Cet intérêt consiste à sécuriser le site et le backend, prévenir les abus, enquêter sur des incidents et résoudre des problèmes techniques.
Pour les analytics first-party côté serveur, nous nous fondons également sur l'intérêt légitime au sens de l'article 6, paragraphe 1, point f du RGPD. Cet intérêt consiste à comprendre l'utilisation agrégée du site public, améliorer le contenu et la disponibilité, et détecter des schémas de trafic inhabituels sans traceurs marketing.
Durées de conservation
Les messages envoyés via le formulaire de contact arrivent dans la boîte aux lettres info@zero-trust.be. La durée de conservation de ces e-mails est actuellement [TBD: durée de conservation des e-mails reçus via le formulaire].
Les logs du backend contenant l'adresse IP et le User-Agent lors de l'envoi du formulaire sont conservés environ 30 jours.
Les logs d'accès Caddy contenant l'adresse IP, le chemin demandé, le User-Agent et l'horodatage sont conservés environ 30 jours.
Les enregistrements analytics first-party dérivés des logs d'accès Caddy sont stockés dans la base analytics avec des identifiants visiteurs hashés et sont purgés selon la durée de conservation analytics configurée pour le déploiement.
Sous-traitants et destinataires
Pour les traitements liés à ce site, nous utilisons les sous-traitants ou destinataires suivants :
- Microsoft Ireland Operations Ltd, Irlande, pour Microsoft 365 et l'API Microsoft Graph, afin de recevoir les messages du formulaire de contact dans notre boîte aux lettres ;
- Zero Trust BV elle-même, via un auto-hébergement en colocation dans un centre de données Tier 4 à Oostkamp, Belgique — le site et le backend fonctionnent sur du matériel détenu et exploité par Zero Trust BV, il n'y a donc pas de fournisseur d'hébergement tiers distinct ;
- Let's Encrypt, autorité de certification publique, pour l'émission et la gestion des certificats TLS.
Transferts internationaux
Nous sommes établis en Belgique et visons un traitement dans l'UE/l'EEE. Microsoft 365 pour notre boîte aux lettres est fourni via Microsoft Ireland. Cela étant, Microsoft peut, dans le cadre du support, de la sécurité, de l'administration d'infrastructure ou du routage réseau, faire transiter certaines données via des systèmes situés hors de l'EEE, notamment aux États-Unis. Dans la mesure où de tels transferts ont lieu, ils reposent sur les mécanismes contractuels et organisationnels prévus par Microsoft. Le détail actuel de ces garanties dépend de la documentation de Microsoft.
Vos droits
En vertu du RGPD, vous disposez d'un droit d'accès, de rectification, d'effacement, de limitation du traitement, de portabilité des données et, dans certains cas, d'opposition au traitement. Lorsque le traitement repose sur votre consentement, vous pouvez retirer ce consentement à tout moment. Ce retrait n'affecte pas la licéité du traitement effectué avant ce retrait.
Vous pouvez exercer ces droits en écrivant à info@zero-trust.be. Merci d'indiquer aussi clairement que possible le traitement concerné par votre demande. Nous pouvons demander des informations raisonnables supplémentaires afin de vérifier votre identité avant de donner suite à votre demande.
Réclamation
Si vous estimez que nous traitons vos données à caractère personnel de manière incorrecte, vous pouvez nous contacter à info@zero-trust.be. Vous avez également le droit d'introduire une réclamation auprès de l'Autorité de protection des données belge via autoriteprotectiondonnees.be.
Modifications
Nous pouvons adapter cette politique de confidentialité si le fonctionnement du site, les fournisseurs utilisés ou les règles applicables changent. La version la plus récente est toujours disponible sur zero-trust.be.
Dernière mise à jour
Dernière mise à jour : 24 avril 2026.