Politique de protection des données

Bluesquare SA

Hive5 – Rue des Francs 79, 1040 Brussels, Belgium

Version: 1.0

Date d’entrée en vigueur : 28 janvier 2026

Date de révision : 28 janvier 2027

1. QUI SOMMES-NOUS ET QUE COUVRE CETTE POLITIQUE

1.1 Qui sommes-nous ?

Nous sommes Bluesquare (dénomination légale : Blue Square SA), située à Hive5 – Rue des Francs 79, 1040 Bruxelles, Belgique.

1.2 Nous savons que la vie privée est importante et doit être respectée

Nous accordons une grande importance au droit des individus au respect de la vie privée et nous nous efforçons de protéger les données à caractère personnel conformément à la législation applicable en matière de protection des données, et plus particulièrement au Règlement général sur la protection des données de l’UE (« RGPD ») et à sa législation nationale de mise en œuvre.

Chez Bluesquare, nous adhérons aux principes suivants du RGPD :

• Licéité, loyauté et transparence
• Limitation des finalités
• Minimisation des données
• Exactitude
• Limitation de la conservation
• Intégrité et confidentialité
• Responsabilité (accountability)

1.3 À qui s’applique cette politique ?

Cette politique s’applique à tous les employés, sous-traitants et tiers qui traitent des données à caractère personnel pour le compte de Bluesquare.

1.4 Mises à jour de cette politique

Nous pouvons être amenés à mettre à jour cette Politique de protection des données de temps à autre. La version la plus récente est disponible sur notre site internet. Vous pouvez également nous demander de vous envoyer une copie de la version la plus récente.

---

2. QUAND NOUS AGISSONS EN TANT QUE SOUS-TRAITANT OU RESPONSABLE DU TRAITEMENT

Dans le cadre de nos activités, nous collectons et traitons certaines données à caractère personnel. Conformément à la législation européenne en matière de protection des données et de la vie privée, nous agissons parfois en tant que « sous-traitant » et parfois en tant que « responsable du traitement ».

2.1 Nous agissons en tant que sous-traitant

Nous agissons en tant que sous-traitant pour le compte de nos clients (qui agissent en tant que responsables du traitement) dans les situations suivantes :

• Lorsque nos clients réalisent des enquêtes, par exemple au moyen de notre application web ou mobile. Dans ce cas, nos clients déterminent les informations à collecter via les enquêtes ainsi que les finalités du traitement, telles que le suivi des subventions et aides accordées aux hôpitaux, prestataires de soins de santé et écoles.
• Lorsque nous hébergeons les données collectées via les enquêtes sur notre plateforme cloud, les anonymisons et les rendons accessibles à nos clients via cette plateforme, à leur demande et selon leurs instructions.

Important : pour ces activités où nous agissons uniquement en tant que sous-traitant, nos clients sont responsables de fournir une information adéquate sur le traitement des données à toutes les personnes concernées.

2.2 Nous agissons en tant que responsable du traitement

Nous agissons en tant que responsable du traitement dans les situations suivantes :

• Lorsque nous anonymisons et agrégeons les données de patients collectées à des fins statistiques et de recherche propres, ce qui peut inclure la génération de cartes géographiques indiquant, au moyen de géocodes, les lieux où les entretiens ont été réalisés.
• Lorsque nous collectons certaines données via l’accès à des bases de données gouvernementales, avec leur consentement.
• Lorsque nous collectons des données relatives aux clients et fournisseurs telles que le nom, la fonction et les coordonnées.

Important : pour ces activités, la présente Politique de protection des données décrit la manière dont nous collectons les données personnelles, les finalités de leur utilisation et les personnes à qui elles peuvent être communiquées. Elle contient également des informations importantes sur les droits des personnes concernées.

---

3. COMMENT COLLECTONS-NOUS LES DONNÉES À CARACTÈRE PERSONNEL ?

Dans le cadre des services que nous fournissons à nos clients, nous collectons des données personnelles concernant des personnes participant à des enquêtes sur les services reçus dans le cadre de programmes gouvernementaux ou d’ONG à travers le monde.

3.1 Informations généralement collectées et traitées

Les informations suivantes sont généralement collectées et traitées :

• Données de localisation : coordonnées GPS du lieu où les données sont saisies
• Nom et prénom
• Sexe et âge
• Village / district / province / pays
• Informations sur l’hôpital, le centre de santé ou l’école visités
• Type de services reçus (y compris les services de santé)
• Niveau de satisfaction et réponses à d’autres questions (par ex. concernant les pots-de-vin ou la violence sexuelle)

3.2 Comment ces informations sont collectées

Ces informations sont généralement collectées via des questionnaires mobiles. Les enquêteurs locaux remplissent ces questionnaires avec les personnes interrogées et les informent dûment de la collecte et du traitement de leurs données afin qu’elles puissent donner un consentement valable. Ce consentement est confirmé avant le début de l’enquête.

D’autres informations peuvent également être collectées via l’accès à des établissements de santé ou à d’autres registres publics et bases de données gouvernementales, sous réserve des exigences légales applicables.

---

4. À QUELLES FINS UTILISONS-NOUS LES DONNÉES À CARACTÈRE PERSONNEL ?

4.1 Lorsque nous agissons en tant que sous-traitant

Nous collectons les informations auprès des personnes interrogées pour les finalités déterminées par nos clients, généralement liées à l’administration et au suivi de subventions et aides accordées aux hôpitaux, prestataires de soins et écoles.

4.2 Lorsque nous agissons en tant que responsable du traitement

À des fins statistiques et de recherche :
Nous agrégeons et anonymisons les informations des personnes interrogées à des fins statistiques et de recherche (par ex. génération de cartes géographiques).
Nous nous fondons sur l’intérêt public et la recherche statistique pour le processus d’anonymisation. Lorsque cela ne suffit pas, un mécanisme de consentement explicite (opt-in) est mis en place. Une fois les données entièrement anonymisées, elles ne constituent plus des données personnelles.

Communications avec les clients et partenaires :
Nous collectons des informations auprès de clients, partenaires et fournisseurs (nom, fonction, organisation, coordonnées) afin de partager des informations sur nos activités et d’évaluer leur satisfaction. Nous ne partageons pas ces informations avec des tiers sans consentement explicite.

---

5. AVEC QUI PARTAGEONS-NOUS LES DONNÉES À CARACTÈRE PERSONNEL ?

Nous pouvons partager des données personnelles avec :

• Nos clients (en tant que responsables du traitement)
• Des développeurs indépendants travaillant pour nous
• Des prestataires informatiques chargés du traitement ou de l’hébergement des données

Les ensembles de données anonymisées ou agrégées peuvent également être partagés avec des tiers et ne contiennent aucune information permettant d’identifier une personne.

5.1 Garanties contractuelles

Lorsque nécessaire, nous mettons en place des garanties contractuelles (accords de traitement des données).

5.2 Transferts internationaux de données

Lorsque des données sont transférées hors de l’Espace économique européen (EEE), nous assurons un niveau de protection adéquat, notamment via :

• Clauses contractuelles types (CCT)
• Règles d’entreprise contraignantes (le cas échéant)
• Analyses d’impact pour les juridictions à haut risque

---

6. COMBIEN DE TEMPS CONSERVONS-NOUS LES DONNÉES ?

Les données personnelles ne sont pas conservées plus longtemps que nécessaire.

6.1 Engagement en matière d’anonymisation

Lorsque nous agissons en tant que responsables du traitement, nous anonymisons les données des patients dès que possible.

6.2 Durées de conservation

Type de données	Durée de conservation
Données des participants aux enquêtes (sous-traitant)	Déterminée par les clients
Données patients (responsable)	Anonymisation rapide
Données clients/fournisseurs	Durée de la relation + 3 ans
Données financières	7 ans
Journaux applicatifs	90 jours

---

7. COMMENT PROTÉGEONS-NOUS LES DONNÉES ?

Nous mettons en œuvre des mesures administratives, techniques et organisationnelles appropriées.

7.1 Mesures techniques et organisationnelles

• Accès restreint par identifiant et mot de passe
• Chiffrement des données au repos et en transit
• Contrôle d’accès basé sur les rôles
• Authentification multifacteur
• Mises à jour de sécurité régulières
• Journalisation et surveillance des accès

7.2 Sécurité opérationnelle

• Mots de passe forts et uniques
• Formation régulière à la sécurité
• Pratiques sécurisées de télétravail

7.3 Développement et tests

• Sécurité dès la conception
• Données anonymisées pour les tests
• Tests de sécurité et revues de code
• Gestion sécurisée des secrets

---

8. DROITS DES PERSONNES CONCERNÉES

Les personnes disposent des droits suivants :

• Droit à l’information et à l’accès
• Droit de rectification
• Droit à l’effacement
• Droit à la limitation du traitement
• Droit d’opposition
• Droit à la portabilité des données

Elles peuvent également introduire une plainte auprès de l’Autorité de protection des données compétente.

---

9. GESTION DES VIOLATIONS DE DONNÉES

Une violation correspond à un accès, une perte ou une divulgation non autorisés.

9.1 En cas de découverte d’une violation

Alertez immédiatement le responsable et :
Email : security@bluesquarehub.com
Délai : dans les 2 heures pour les incidents graves

9.2 Notre réponse

• Sous 24h : évaluation et confinement
• Sous 72h : notification aux autorités si requis
• Documentation complète de l’incident

---

10. RÔLES ET RESPONSABILITÉS

10.1 Direction

Responsabilité globale de la conformité.

10.2 Contact protection des données

Contact : Martin De Wulf
Email : info@bluesquarehub.com

10.3 Tous les membres de l’équipe

Utiliser les données uniquement à des fins légitimes, respecter les procédures de sécurité et signaler toute violation.

---

11. FORMATION, CONFORMITÉ ET RÉVISION

Formation obligatoire à l’entrée et annuelle.
Révisions périodiques de la politique.

---

12. APPLICATION

Toute non-conformité peut entraîner des sanctions disciplinaires.
Les lanceurs d’alerte sont protégés.

---

13. DES QUESTIONS ? CONTACTEZ-NOUS

Si vous avez des questions, commentaires ou réclamations concernant la présente Politique de protection des données ou le traitement de vos données à caractère personnel par nos soins, n’hésitez pas à nous contacter :

Par courrier :
À l’attention de Martin De Wulf
Rue des Francs 79 – 1040 Etterbeek, Belgique

Par e-mail :
info@bluesquarehub.com

Questions de sécurité :
security@bluesquarehub.com

Pour introduire une plainte auprès des autorités :

• Belgique : Commission de la protection de la vie privée (gegevensbeschermingsautoriteit.be)
• Royaume-Uni : Information Commissioner’s Office (ico.org.uk)
• Autres pays de l’UE/EEE : votre Autorité locale de protection des données

RÉFÉRENCE RAPIDE

À faire :

• Anonymiser les données des patients/participants dès que possible
• Informer les participants aux enquêtes de la collecte des données et obtenir leur consentement
• Chiffrer tous les appareils et utiliser l’authentification multifacteur (MFA) partout
• Utiliser des mots de passe forts et uniques (gestionnaire de mots de passe)
• Verrouiller l’écran lorsque vous vous éloignez de votre appareil
• Signaler immédiatement toute préoccupation en matière de sécurité
• N’accéder qu’aux données nécessaires à votre travail
• Suivre les instructions des clients lorsque vous agissez en tant que sous-traitant

À ne pas faire :

• Partager des mots de passe ou utiliser des comptes partagés
• Conserver des données d’enquête contenant des informations personnellement identifiables plus longtemps que nécessaire
• Utiliser une adresse e-mail personnelle pour des communications professionnelles contenant des données personnelles
• Stocker des données sensibles dans des outils ou emplacements non autorisés
• Faire des captures d’écran ou télécharger inutilement des données de participants
• Ignorer les mises à jour ou correctifs de sécurité

Signaler immédiatement :

• Perte ou vol d’un appareil ayant accès aux systèmes professionnels
• E-mails suspects ou tentatives de phishing
• Accès non autorisé aux systèmes
• Partage accidentel de données de participants/patients
• Toute violation ou incident de sécurité suspecté
  

---

ANNEXE – DROITS DES PERSONNES CONCERNÉES

Droit	Description
Droit à l’information et d’accès	Vous pouvez à tout moment demander des informations sur nos activités de traitement et les données personnelles que nous détenons à votre sujet. Une réponse est fournie dans un délai de 30 jours, gratuitement (des frais raisonnables peuvent être appliqués en cas de demandes excessives).
Droit de rectification	Vous avez le droit de nous demander de rectifier ou de compléter, sans retard injustifié, toute donnée personnelle inexacte ou incomplète.
Droit à l’effacement (« droit à l’oubli »)	Vous pouvez demander la suppression (totale ou partielle) de vos données personnelles dans les situations suivantes :– lorsque le traitement n’est plus nécessaire aux finalités poursuivies ;– lorsque le traitement est fondé sur votre consentement et que vous le retirez ;– lorsque vous disposez de motifs légitimes pour vous opposer au traitement ;– lorsque les données sont traitées de manière illicite ;– lorsque les données doivent être effacées pour respecter une obligation légale.Nous pouvons refuser l’effacement pour : (i) l’exercice de la liberté d’expression ; (ii) le respect d’obligations légales ; ou (iii) l’exercice ou la défense de droits en justice. Lorsque l’effacement s’applique, nous anonymisons vos données personnelles.
Droit à la limitation du traitement	Vous pouvez demander la limitation temporaire du traitement de vos données personnelles dans les cas suivants :– lorsque vous contestez l’exactitude des données, pendant la durée nécessaire à leur vérification ;– lorsque le traitement est illicite et que vous demandez la limitation plutôt que l’effacement ;– lorsque nous n’avons plus besoin des données mais que vous en avez besoin pour la constatation, l’exercice ou la défense de droits en justice ;– dans l’attente de la vérification de la prévalence de nos motifs légitimes sur les vôtres.
Droit d’opposition	Vous pouvez, dans certaines circonstances, vous opposer au traitement de vos données personnelles, notamment lorsque vous retirez le consentement sur lequel le traitement est fondé. Vous pouvez retirer votre consentement à tout moment en nous adressant une notification écrite à l’adresse indiquée ci-dessus. Une fois le consentement retiré, vos données seront anonymisées.
Droit à la portabilité des données	Dans certains cas, vous avez le droit de recevoir vos données personnelles dans un format structuré, couramment utilisé et lisible par machine (CSV, JSON), et de les transmettre à un autre responsable du traitement. Ce droit s’applique lorsque : (i) le traitement est fondé sur le consentement ou un contrat ; et (ii) le traitement est effectué par des moyens automatisés.

---

En adhérant à la présente Politique de protection des données, Bluesquare s’engage à protéger les données à caractère personnel et à respecter les droits à la vie privée de toutes les personnes concernées.
Tous les membres de l’équipe doivent lire et respecter cette politique. Une confirmation est requise lors de l’intégration.