Registre des activités de traitement — Online Solution Attorney SRL
Version : 1.0 — 20 avril 2026
Responsable du traitement : Online Solution Attorney SRL (OSA)
Siège : Avenue Michel-Ange 86, 1000 Bruxelles
BCE : 0653.770.793
DPO : non désigné — contact RGPD via privacy@lawgi.tech
Fondement : article 30 §1 RGPD (Règlement UE 2016/679)
Ce registre est tenu par le responsable du traitement au format xlsx et maintenu à jour. La présente version Markdown est destinée à la revue interne. Un export xlsx à jour est disponible sur demande de l'APD.
Traitement 1 — Prospection commerciale B2B
| Champ | Valeur |
|---|---|
| Nom du traitement | Prospection B2B des professionnels du droit et de la compliance |
| Finalité | Identifier et contacter des prospects professionnels, envoyer des communications commerciales (newsletters, invitations demo, contenus juridiques) |
| Base légale | Intérêt légitime (art. 6 §1 f RGPD) — prospection strictement professionnelle, avec opt-out à tout moment |
| Catégories de personnes | Avocats, DPO, juristes, compliance officers, dirigeants, membres des barreaux et associations professionnelles |
| Catégories de données | Nom, prénom, fonction, email professionnel, société, numéro TVA, ville, numéro de téléphone professionnel, URL LinkedIn, interactions avec nos emails (ouvertures, clics) |
| Destinataires | OSA (commercial) ; prestataires emailing (Brevo ou équivalent) ; CRM interne (Google Sheets durant phase MVP) |
| Sous-traitants | Brevo SAS (FR, UE) ; Google Ireland Ltd (IE, UE — Workspace) ; Dropcontact SAS (FR, UE) |
| Transferts hors UE | Aucun transfert hors UE pour ce traitement. Si à l'avenir un outil nécessite transfert : SCC + TIA |
| Durée de conservation | 3 ans à compter du dernier contact (CNIL / APD) pour prospects non clients ; durée de la relation + 1 an pour contacts déjà clients |
| Mesures de sécurité | HTTPS, authentification 2FA, accès restreint aux comptes commerciaux, chiffrement en transit, mot de passe fort imposé, logs d'accès conservés 12 mois, opt-out automatique via lien de désinscription |
| Commentaires | Conformité art. VI.110 CDE + art. XII.13 CDE (prospection B2B) |
Traitement 2 — Gestion des clients, commandes et facturation
| Champ | Valeur |
|---|---|
| Nom du traitement | Gestion relation client et facturation |
| Finalité | Création et suivi du compte, gestion des commandes, facturation, recouvrement, livraison des skills et tokens, support, renouvellement |
| Base légale | Exécution du contrat (art. 6 §1 b RGPD) ; obligation légale pour les volets comptable et fiscal (art. III.86 CDE, 6 CIR 92, etc.) |
| Catégories de personnes | Dirigeants signataires de contrat, personnes de contact commerciales et techniques du Client, utilisateurs nominatifs des postes |
| Catégories de données | Raison sociale, forme juridique, adresse postale, BCE/TVA, email(s) de contact, numéro de téléphone, IBAN (facturation SEPA), factures, historique des commandes, tokens MCP, logs de connexion, tickets de support |
| Destinataires | OSA (gestion interne) ; prestataire paiement (Stripe) ; comptable / expert comptable ; hébergeur site (OVH) ; hébergeur MCP (Hetzner) |
| Sous-traitants | Stripe Payments Europe Ltd (IE, UE + accès US) ; OVH SAS (FR, UE) ; Hetzner Online GmbH (DE, UE) ; prestataire comptable OSA (BE) |
| Transferts hors UE | Stripe : accès serveurs US possible — SCC 2021/914 + Data Privacy Framework |
| Durée de conservation | Compte actif : durée du contrat + 1 an ; facturation : 10 ans à partir du dernier exercice (art. III.86 CDE) ; tokens MCP : durée de l'abonnement puis invalidation immédiate |
| Mesures de sécurité | HTTPS, 2FA administrateur, chiffrement BDD, séparation production/sauvegardes, accès restreint par rôle, journalisation, sauvegardes quotidiennes chiffrées |
| Commentaires | Traitement critique — PIA non requise (traitement standard B2B sans catégories sensibles) |
Traitement 3 — Support technique et maintenance
| Champ | Valeur |
|---|---|
| Nom du traitement | Support technique et maintenance de la plateforme |
| Finalité | Diagnostic et résolution des incidents, maintien du service, amélioration continue, prévention des abus |
| Base légale | Exécution du contrat (art. 6 §1 b RGPD) ; intérêt légitime (art. 6 §1 f RGPD) pour les logs techniques |
| Catégories de personnes | Utilisateurs des Services (dirigeants, postes nominatifs, personnes de contact) |
| Catégories de données | Emails de support, contenu des tickets, logs techniques (IP, user-agent, horodatage, token ID, requête MCP anonymisée, code de réponse, temps d'exécution) |
| Destinataires | OSA (équipe technique et support) |
| Sous-traitants | Hetzner Online GmbH (DE) pour l'hébergement des logs MCP ; OVH SAS (FR) pour l'hébergement des logs site |
| Transferts hors UE | Aucun |
| Durée de conservation | Emails / tickets : 3 ans à compter du dernier échange ; logs techniques : 12 mois maximum ; logs de facturation MCP : 24 mois |
| Mesures de sécurité | Logs rotatifs, chiffrement au repos des sauvegardes, accès restreint aux administrateurs, purge automatique après échéance |
Traitement 4 — Sécurité informatique et prévention des abus
| Champ | Valeur |
|---|---|
| Nom du traitement | Sécurité informatique et anti-fraude |
| Finalité | Détection d'intrusion, protection contre brute force, détection d'usage anormal du token MCP, notification d'incidents |
| Base légale | Obligation légale (art. 32 RGPD) ; intérêt légitime (art. 6 §1 f RGPD) |
| Catégories de personnes | Tous utilisateurs du Site et du connecteur MCP (authentifiés ou non) |
| Catégories de données | IP, user-agent, événements Wordfence, tentatives de connexion, volumétrie d'appels MCP, géolocalisation approximative, logs serveur |
| Destinataires | OSA (sécurité) ; le cas échéant, autorités compétentes sur réquisition |
| Sous-traitants | Defiant Inc. (Wordfence, plugin sécurité — traitement local dans la base de données OSA sans transfert) ; OVH / Hetzner pour les logs serveur |
| Transferts hors UE | Aucun |
| Durée de conservation | 12 mois (Art. 32 RGPD + lignes directrices APD) ; cas exceptionnels (incident en cours) : jusqu'à résolution |
| Mesures de sécurité | Chiffrement, contrôle d'accès admin, alertes temps réel, bug bounty responsable |
Traitement 5 — Mesure d'audience du Site
| Champ | Valeur |
|---|---|
| Nom du traitement | Analytics web privacy-friendly |
| Finalité | Mesurer la fréquentation, identifier les sources de trafic, améliorer l'UX |
| Base légale | Intérêt légitime (art. 6 §1 f RGPD) — pas de consentement requis en l'absence d'identifiants persistants (CNIL reco 2023, APD) |
| Catégories de personnes | Visiteurs du Site |
| Catégories de données | URL visitée, URL de provenance (referrer), type d'appareil, pays approximatif, durée de session. Aucune IP stockée, aucun identifiant unique, aucun empreinte digitale |
| Outil | Plausible Analytics |
| Destinataires | OSA (marketing et direction) |
| Sous-traitants | Plausible Insights B.V. (NL, UE) |
| Transferts hors UE | Aucun (Plausible 100% UE) |
| Durée de conservation | Données agrégées uniquement (pas d'individualisation possible) ; 24 mois d'historique glissant |
| Mesures de sécurité | Aucun identifiant stocké ; données chiffrées au repos ; accès dashboard en 2FA |
Traitement 6 — Newsletter et communications email
| Champ | Valeur |
|---|---|
| Nom du traitement | Envoi de newsletters et emails informatifs |
| Finalité | Information des abonnés sur les nouveautés produits, contenus pédagogiques, veille juridique |
| Base légale | Consentement (art. 6 §1 a RGPD) — double opt-in pour les prospects ; intérêt légitime pour les clients existants informés sur les services similaires souscrits (recital 47 RGPD + art. VI.110 §2 CDE) |
| Catégories de personnes | Abonnés à la newsletter, clients existants |
| Catégories de données | Email, prénom (optionnel), nom (optionnel), société, fonction ; statistiques d'ouverture / clic |
| Destinataires | OSA (marketing) |
| Sous-traitants | Brevo SAS (ex-Sendinblue, FR, UE) |
| Transferts hors UE | Aucun |
| Durée de conservation | Jusqu'à désinscription + 6 mois (preuve de retrait) ; statistiques anonymisées conservées sans limite |
| Mesures de sécurité | Lien de désinscription sur chaque email, suivi de désinscription géré par Brevo, consentement stocké horodaté |
Traitement 7 — Gestion des demandes d'exercice de droits RGPD
| Champ | Valeur |
|---|---|
| Nom du traitement | Traitement des demandes d'exercice de droits (accès, rectification, opposition, etc.) |
| Finalité | Répondre aux demandes des personnes concernées en application des articles 15 à 22 RGPD |
| Base légale | Obligation légale (art. 12 RGPD) |
| Catégories de personnes | Toute personne concernée par un traitement OSA |
| Catégories de données | Identité de la personne (preuve si doute raisonnable), contenu de la demande, échanges, justificatifs, réponse apportée |
| Destinataires | DPO d'OSA ; avocat si besoin |
| Sous-traitants | Aucun (traitement interne) |
| Transferts hors UE | Aucun |
| Durée de conservation | 5 ans à compter de la clôture de la demande (preuve de conformité) |
| Mesures de sécurité | Accès restreint au DPO, stockage chiffré, registre des demandes tenu à jour |
Synthèse des sous-traitants (article 28 RGPD)
| Sous-traitant | Rôle | Pays | Contrat DPA en place | Transfert hors UE |
|---|---|---|---|---|
| OVH SAS | Hébergement WordPress + Zimbra email | FR | Oui (standard OVH) | Non |
| Hetzner Online GmbH | Hébergement serveur MCP + BDD | DE | Oui (standard Hetzner DPA) | Non |
| Stripe Payments Europe Ltd | Paiement en ligne | IE + accès US | Oui (DPA Stripe v3) | Oui : SCC + DPF |
| Brevo SAS | Emailing transactionnel et newsletter | FR | Oui (DPA Brevo) | Non |
| Plausible Insights B.V. | Analytics web | NL | Oui | Non |
| Dropcontact SAS | Enrichissement de données B2B | FR | Oui (DPA standard) | Non |
| Google Ireland Ltd | Workspace (Docs, Sheets, Drive) | IE + accès US | Oui (Google Workspace DPA) | Oui : SCC + DPF |
| Comptable expert OSA | Gestion comptable et fiscale | BE | Oui (DPA + secret pro) | Non |
| Cabinet d'avocat conseil | Assistance juridique | BE | Secret professionnel | Non |
| Defiant Inc. (Wordfence) | Plugin sécurité WordPress | US (plugin local) | Usage autonome du plugin, pas de transfert SaaS | Non |
Revue annuelle des sous-traitants : à minima le 20 avril de chaque année (anniversaire du lancement), avec vérification (i) des certifications, (ii) des clauses DPA et (iii) de l'actualité des décisions de la CJUE / APD.
Mesures transverses de sécurité
- Chiffrement HTTPS TLS 1.3 sur l'ensemble des flux exposés
- Chiffrement au repos (BDD chiffrée côté hébergeur) pour les BDD critiques
- Authentification forte (mot de passe minimum 16 caractères + 2FA administrateur)
- Gestion des accès basée sur le moindre privilège (comptes nominatifs, pas de compte partagé)
- Journalisation des accès administrateur (conservés 12 mois)
- Sauvegardes quotidiennes chiffrées + restauration testée trimestriellement
- Politique de mises à jour : correctifs de sécurité appliqués sous 72h (critique), 7 jours (élevé)
- Scan Wordfence hebdomadaire + alertes temps réel
- Formation RGPD / sécurité annuelle pour JV et tout futur collaborateur
- Procédure de notification d'incident : analyse dans les 24 heures, notification APD sous 72 heures, information des personnes si risque élevé (art. 33-34 RGPD)
Contacts
- Responsable de traitement : OSA — contact@lawgi.tech
- DPO : non désigné — contact RGPD via privacy@lawgi.tech
- Sécurité : contact@lawgi.tech
- Autorité de contrôle : Autorité de protection des données (APD), rue de la Presse 35, 1000 Bruxelles — https://www.autoriteprotectiondonnees.be/
Version 1.0 — en vigueur au 20 avril 2026. Édité par Online Solution Attorney SRL.