Politique de confidentialité
La présente politique de confidentialité décrit la manière dont Monto Bleu BV, propriétaire et exploitant de TimeTic, traite les données personnelles dans le cadre du service TimeTic d'enregistrement du temps de travail. Elle est établie conformément au Règlement général sur la protection des données (RGPD, Règlement UE 2016/679) et à la loi belge du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel.
1. Qui sommes-nous ?
Monto Bleu BV
Heidebergstraat 14, 3120 Tremelo, Belgique
Numéro d'entreprise / TVA : BE 0543.842.970
Contact vie privée : privacy@timetic.app
Site web : https://timetic.app | Application : https://app.timetic.app
Dans la présente politique, nous nous désignons par « TimeTic », « nous » ou « notre ».
2. À qui et à quoi s'applique la présente politique ?
La présente politique s'applique :
- aux visiteurs de timetic.app (y compris le formulaire de contact) ;
- aux clients et administrateurs de compte de app.timetic.app (employeurs, gérants, administrateurs) ;
- aux employés qui enregistrent leurs heures via TimeTic ;
- aux partenaires qui participent à notre programme de partenariat ;
- aux prospects et aux personnes qui nous contactent.
3. Notre rôle au titre du RGPD – sous-traitant ou responsable du traitement ?
Notre qualité varie selon le flux de données concerné :
| Qui / quoi | Notre rôle | Responsable du traitement |
|---|---|---|
| Données des employés (heures, GPS, données de compte de l'employé) | Sous-traitant | L'employeur qui utilise TimeTic |
| Compte d'entreprise, administrateurs, facturation | Responsable du traitement | TimeTic |
| Comptes partenaires et paiements de commissions | Responsable du traitement | TimeTic |
| Visiteurs timetic.app + formulaire de contact | Responsable du traitement | TimeTic |
Pour les données des employés, l'employeur est responsable du traitement et TimeTic est uniquement sous-traitant au sens de l'art. 28 RGPD. L'employeur détermine la finalité (« enregistrer les heures conformément à l'obligation légale ») et les moyens (« via TimeTic »). Les conditions dans lesquelles TimeTic traite ces données sont définies dans l'Accord de traitement des données figurant à l'Annexe A du présent document, qui fait partie intégrante de notre accord d'utilisation avec chaque client professionnel.
4. Quelles données personnelles traitons-nous ?
4.1 Employés (TimeTic = sous-traitant)
| Catégorie | Données | Moment de collecte |
|---|---|---|
| Identification | Prénom, nom, sexe, date de naissance | Lors de l'ajout de l'employé par l'employeur |
| Contact (facultatif) | Adresse e-mail | Uniquement si une connexion web est souhaitée |
| Authentification | Code PIN personnel (stocké sous forme de hachage cryptographique) | Lors de l'activation |
| Enregistrement des heures | Horodatages de début, pause et fin | À chaque pointage |
| Localisation | Coordonnées GPS (voir §6) | À chaque pointage via l'application mobile |
| Audit | Date/heure de connexion, méthode utilisée (QR + PIN, tablette, web) | En continu |
Le sexe et la date de naissance sont demandés afin de pouvoir distinguer sans ambiguïté les employés portant des noms identiques ou similaires dans les rapports et les exports.
4.2 Titulaires de comptes d'entreprise et administrateurs (TimeTic = responsable du traitement)
- Nom, adresse e-mail, éventuellement intitulé de fonction
- Données d'entreprise (raison sociale, numéro BCE/TVA, adresse)
- Données de connexion (e-mail + authentification hachée cryptographiquement)
- Données de facturation et de paiement (traitées via Stripe)
- Correspondance avec notre support
4.3 Partenaires
- Données d'entreprise (raison sociale, numéro BCE/TVA, adresse)
- Personne de contact (nom, e-mail)
- Données de paiement pour les commissions (traitées via Stripe Connect)
- Références attribuées et commissions correspondantes
4.4 Visiteurs timetic.app (formulaire de contact)
- Nom, adresse e-mail, contenu du message
- Éventuels champs supplémentaires que vous remplissez volontairement (téléphone, nom d'entreprise, …)
5. Finalités et bases légales
| Finalité | Base légale | Responsable |
|---|---|---|
| Enregistrement des heures et rapportage | Obligation légale (code pénal social ; enregistrement du temps de travail) | Employeur |
| Contrôle GPS lors du pointage | Intérêt légitime de l'employeur (enregistrement correct du temps, travailleurs mobiles), cadre CCT n° 81 | Employeur |
| Fourniture du service TimeTic à l'employeur | Exécution du contrat | TimeTic |
| Gestion du compte d'entreprise et facturation | Exécution du contrat + obligation légale (loi comptable) | TimeTic |
| Programme de partenariat et commission | Exécution du contrat | TimeTic |
| E-mail marketing (newsletter, mises à jour produit) | Consentement (opt-in lors de l'inscription) | TimeTic |
| Traitement du formulaire de contact | Intérêt légitime / démarches précontractuelles | TimeTic |
| Sécurité, détection de fraude et lutte contre les abus | Intérêt légitime | TimeTic |
Le consentement au marketing peut être retiré à tout moment via le lien de désinscription figurant dans chaque e-mail ou via privacy@timetic.app.
6. Données de localisation GPS – dispositions particulières
Lorsqu'un employé pointe (début, pause, fin) via l'application mobile, la localisation GPS de l'appareil est relevée à ce moment précis. Ces données de localisation :
- sont uniquement relevées au moment du pointage, pas en continu ;
- sont conservées dans les rapports d'enregistrement des heures de l'employeur ;
- ont une précision de quelques mètres ;
- ne sont visibles que par l'employeur et ses administrateurs désignés.
Consentement au niveau de l'appareil : Les systèmes d'exploitation (iOS / Android) demandent explicitement à l'employé l'autorisation de partager sa localisation avec l'application TimeTic. Sans cette autorisation, il n'est pas possible de pointer via l'application mobile. Une alternative consiste à pointer via un appareil partagé (tablette) sur le lieu de travail avec un code PIN personnel, dans la mesure où cela correspond à l'organisation de l'employeur.
Obligations de l'employeur : L'employeur est responsable du respect des règles belges relatives à la surveillance des travailleurs, en particulier la CCT n° 81 et le principe d'information préalable et transparente de ses employés. TimeTic met uniquement le cadre technique à disposition ; l'employeur doit lui-même assurer ses procédures internes, sa communication et ses éventuelles obligations de concertation.
Comparaison avec des lieux de travail prédéfinis : L'employeur peut configurer dans son compte un ou plusieurs lieux de travail où les employés sont censés pointer. À chaque pointage, TimeTic compare les coordonnées GPS transmises avec ces lieux de travail et présente le résultat à l'employeur via un code couleur dans les rapports (par exemple vert lorsque le pointage se situe dans la zone prévue, orange ou rouge en cas d'écart). TimeTic ne bloque pas automatiquement les pointages sur la base de ce contrôle ; c'est l'employeur qui décide lui-même comment traiter les écarts.
7. Durées de conservation
| Donnée | Durée de conservation |
|---|---|
| Enregistrements des heures (incl. GPS) | 5 ans, obligation légale de conservation |
| Compte employé (données de base) | Tant que le compte est actif chez l'employeur ; ensuite pseudonymisé dans le délai de conservation de 5 ans applicable aux enregistrements des heures |
| Adresse e-mail de connexion web de l'employé | Tant que le compte est actif ; l'employeur décide du moment de sa clôture |
| Compte d'entreprise (client) | Pour la durée du contrat + 7 ans pour les données de facturation (loi comptable) |
| Compte partenaire | Pour la durée du partenariat + 7 ans pour les données de paiement |
| Messages du formulaire de contact | Maximum 24 mois, sauf si une relation commerciale est née |
| Journaux d'accès et de sécurité | 12 mois |
| Sauvegardes | Maximum 90 jours, ensuite écrasées automatiquement |
| Consentements marketing | Jusqu'au retrait du consentement, puis suppression immédiate de la liste de diffusion |
Résiliation par l'employeur : Lorsqu'un employeur résilie son compte TimeTic, nous remettons l'intégralité de l'historique des enregistrements des heures (jusqu'à 5 ans) de tous les employés à l'administrateur principal du compte via un canal sécurisé. L'employeur peut ainsi satisfaire à son obligation légale de conservation. Nous supprimons ensuite les données actives de notre système de production (en tenant compte de notre cycle de sauvegarde). Il incombe à l'employeur de gérer ces données en toute sécurité après le transfert.
« Suppression » par l'administrateur : Lorsqu'un administrateur supprime un employé dans le compte, le compte est clôturé mais les enregistrements des heures (et les données d'identification minimales qui y sont liées) sont conservés tant que l'obligation légale de conservation court. La suppression complète intervient à l'expiration de ce délai.
8. Avec qui partageons-nous des données personnelles ? (sous-traitants ultérieurs)
Nous ne partageons des données personnelles qu'avec des sous-traitants ultérieurs qui appliquent des normes de sécurité équivalentes ou plus strictes que les nôtres, et uniquement aux fins indiquées ci-dessous.
| Sous-traitant ultérieur | Finalité | Localisation |
|---|---|---|
| Supabase (Supabase Inc., via région UE) | Base de données et authentification | UE |
| Resend (Resend Inc.) | Envoi d'e-mails transactionnels (e-mails de bienvenue, magic links) | UE |
| Stripe Payments Europe Ltd. | Traitement des paiements et paiements aux partenaires | Irlande (UE) ; peut impliquer un transfert international limité à des fins de prévention de la fraude |
| Vercel Inc. | Hébergement de app.timetic.app (frontend et API) | Région UE avec CCT pour le support depuis les États-Unis |
| Cloudflare Inc. | DNS, sécurité et protection anti-bots (Turnstile) | Réseau edge mondial avec CCT |
Nous ne vendons jamais de données personnelles à des tiers et ne les utilisons pas à des fins publicitaires ou de profilage.
9. Transfert en dehors de l'Espace économique européen
Notre infrastructure principale (base de données, hébergement, messagerie) est située dans l'UE. Pour certains sous-traitants ultérieurs (Stripe, Vercel, Cloudflare), un traitement de support limité peut avoir lieu en dehors de l'EEE. Dans ce cas, le transfert est fondé sur les Clauses contractuelles types (CCT) de la Commission européenne, complétées par des mesures techniques appropriées (chiffrement pendant le transport et au repos).
10. Sécurité
Nous prenons des mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre la perte, l'abus ou l'accès non autorisé. Notamment :
- Chiffrement pendant le transport : toutes les communications transitent par TLS ;
- Authentification chiffrée : les codes PIN et mots de passe sont uniquement stockés sous forme de hachage cryptographique, jamais en clair ;
- Contrôle d'accès selon le principe du « moindre privilège », avec des environnements séparés pour la production et les tests ;
- Journalisation d'audit des opérations administratives ;
- Surveillance des activités suspectes et protection automatique anti-bots sur les formulaires de connexion et d'inscription ;
- Évaluation périodique et mise à jour de nos mesures de sécurité.
Les détails techniques spécifiques ne sont pas communiqués publiquement afin de ne pas créer de surface d'attaque. Vous suspectez une violation de données ou un abus ? Contactez-nous immédiatement à privacy@timetic.app.
11. Cookies
app.timetic.app ne place actuellement que des cookies strictement nécessaires et fonctionnels. Nous n'utilisons à ce jour aucun cookie analytique, marketing ou de suivi sur l'application. Si cela venait à changer à l'avenir (par exemple pour mesurer les conversions ou optimiser notre site web), nous mettrons à jour la présente politique et nous prévoirons, là où la loi l'exige, un mécanisme de consentement préalable tel que décrit à l'article 11.4.
11.1 Cookies strictement nécessaires
| Nom | Finalité | Durée de vie |
|---|---|---|
sb-…-auth-token |
Conserve votre session Supabase afin que vous restiez connecté | 30 jours |
sb-…-auth-token-code-verifier |
Vérificateur cryptographique pour la connexion par magic link | Session (max 1 h) |
cf_* |
Protection anti-bots Cloudflare Turnstile sur la connexion / l'inscription | De courte durée |
11.2 Cookies fonctionnels
| Nom | Finalité | Durée de vie |
|---|---|---|
referral_code |
Mémorise par quel partenaire vous avez découvert TimeTic, pour l'attribution de la commission | 90 jours |
referral_sig |
Signature cryptographique contre la manipulation de referral_code |
90 jours |
Les cookies first-party sont, dans la mesure du possible, Secure, HttpOnly et SameSite=Lax.
11.3 Pourquoi pas de bannière de consentement aux cookies ?
En vertu de l'art. 5(3) de la directive e-Privacy (en BE : art. 129 §2 de la loi sur les communications électroniques), le consentement n'est pas requis pour les cookies strictement nécessaires au service expressément demandé par l'utilisateur. Tous les cookies mentionnés ci-dessus relèvent de cette exception.
11.4 Cookies futurs
Si nous venions à l'avenir à placer des cookies nécessitant un consentement (par exemple des outils analytiques ou de mesure de conversion), nous introduirons au préalable une bannière de consentement aux cookies et nous mettrons à jour la présente politique.
11.5 Gestion
Vous pouvez toujours supprimer les cookies via les paramètres de votre navigateur. Sans le cookie de session Supabase, vous ne pouvez pas rester connecté et devez vous reconnecter.
12. Vos droits
Au titre du RGPD, vous disposez des droits suivants :
- Droit d'accès à vos données personnelles
- Droit de rectification des données inexactes
- Droit à l'effacement (« droit à l'oubli »), sous réserve des obligations légales de conservation (voir §7)
- Droit à la limitation du traitement
- Droit à la portabilité de vos données
- Droit d'opposition au traitement fondé sur l'intérêt légitime
- Droit de retirer votre consentement (pour les traitements fondés sur le consentement)
- Droit de ne pas faire l'objet d'une décision automatisée ayant des effets juridiques (nous n'en prenons pas)
Comment exercer ces droits ?
- Vous êtes un employé et souhaitez exercer vos droits sur les données d'enregistrement des heures ou de GPS ? Adressez-vous en premier lieu à votre employeur, qui est le responsable du traitement et le point de contact principal. Nous assistons les employeurs pour toute demande fondée.
- Vous êtes client, partenaire ou visiteur ? Envoyez-nous un e-mail à privacy@timetic.app. Nous répondons dans les 30 jours, conformément à l'art. 12 RGPD.
Plaintes
Vous n'êtes pas satisfait de la manière dont nous traitons vos données ? Vous pouvez à tout moment introduire une plainte auprès de l'Autorité de protection des données (APD) :
Rue de la Presse 35, 1000 Bruxelles, contact@apd-gba.be, www.gegevensbeschermingsautoriteit.be
13. Modifications de la présente politique
Nous pouvons modifier la présente politique, par exemple en cas de changements législatifs, de nouvelles fonctionnalités ou de nouveaux sous-traitants ultérieurs. La version en vigueur est toujours consultable sur timetic.app (dans chaque version linguistique disponible du site) avec un numéro de version et une date. Les modifications importantes sont communiquées de manière proactive à nos clients.
14. Contact
Pour toute question relative à la vie privée, à l'exercice des droits sur les données, aux plaintes ou aux signalements de violations de données : privacy@timetic.app. L'e-mail est notre seul canal à cet effet, afin de garantir la traçabilité.
15. Droit applicable et juridiction compétente
La présente politique de confidentialité est soumise au droit belge. En cas de litige, seuls les tribunaux de l'arrondissement de Louvain sont compétents, sans préjudice de la possibilité pour les consommateurs d'introduire une plainte auprès de l'autorité de contrôle compétente ou du tribunal de leur domicile lorsque la loi l'impose de manière impérative.
Annexe A – Accord de traitement des données (DPA)
Le présent accord de traitement des données (ci-après le « DPA ») fait partie intégrante du contrat entre Monto Bleu BV (« Sous-traitant ») et l'utilisateur professionnel de TimeTic (« Responsable du traitement »), ci-après collectivement désignés les « Parties ».
A.1 Objet
Le Responsable du traitement charge le Sous-traitant de traiter des données personnelles dans le cadre de la fourniture du service TimeTic d'enregistrement du temps de travail des employés.
A.2 Nature, durée et finalité du traitement
- Nature : stockage, consultation, structuration, exportation et suppression des données d'enregistrement des heures et des données des employés qui y sont associées.
- Finalité : permettre au Responsable du traitement de respecter ses obligations légales en matière d'enregistrement du temps de travail et de gérer le temps de son personnel.
- Durée : pour la durée du contrat entre les Parties, augmentée des obligations légales de conservation qui s'y appliquent.
A.3 Catégories de personnes concernées et de données
- Personnes concernées : employés, freelances et autres personnes employées par le Responsable du traitement.
- Données : telles que décrites au §4.1 de la politique de confidentialité (identification, authentification, enregistrement des heures, GPS, journaux d'audit).
A.4 Obligations du Sous-traitant
Le Sous-traitant :
- traite les données personnelles uniquement sur la base des instructions écrites du Responsable du traitement, sauf obligation légale contraire ;
- garantit que les personnes ayant accès aux données personnelles sont tenues à la confidentialité ;
- prend des mesures techniques et organisationnelles appropriées conformément à l'art. 32 RGPD (voir §10 de la politique de confidentialité) ;
- ne fait appel à des sous-traitants ultérieurs qu'avec l'autorisation générale préalable (voir §8 de la politique de confidentialité) ; le Responsable du traitement peut s'opposer à l'ajout d'un nouveau sous-traitant ultérieur dans les 14 jours suivant la notification ;
- assiste le Responsable du traitement pour les demandes des personnes concernées, les violations de données (art. 33 RGPD) et les analyses d'impact relatives à la protection des données (art. 35 RGPD) ;
- notifie au Responsable du traitement toute violation de données dans les 48 heures suivant sa prise de connaissance, avec les informations nécessaires pour permettre à celui-ci de remplir son obligation de notification auprès de l'APD ;
- supprime ou restitue après la fin du contrat toutes les données personnelles, sous réserve des obligations légales de conservation ;
- met à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect de l'art. 28 RGPD, et permet des audits sur préavis raisonnable et aux frais du Responsable du traitement.
A.5 Obligations du Responsable du traitement
Le Responsable du traitement :
- veille lui-même à disposer d'une base légale valide pour le traitement ;
- informe ses employés du traitement conformément à l'art. 13 RGPD et à la CCT n° 81 dans la mesure où elle est applicable ;
- respecte les procédures de concertation avec le conseil d'entreprise ou la délégation syndicale là où la loi l'exige ;
- utilise TimeTic conformément aux conditions d'utilisation ;
- est responsable de la conservation sécurisée des données exportées après la résiliation.
A.6 Sous-traitants ultérieurs
L'autorisation générale est accordée pour les sous-traitants ultérieurs mentionnés au §8 de la politique de confidentialité. Le Sous-traitant peut modifier cette liste sous réserve d'un préavis d'au moins 14 jours par e-mail ou notification in-app.
A.7 Transfert en dehors de l'EEE
Tout transfert en dehors de l'EEE n'a lieu que dans les conditions mentionnées au §9 de la politique de confidentialité (CCT et mesures techniques complémentaires).
A.8 Responsabilité
La responsabilité des Parties au titre du présent DPA est soumise aux limitations de responsabilité prévues par le contrat principal, sous réserve des exceptions légales prévues à l'art. 82 RGPD.
A.9 Droit applicable
Le présent DPA est régi par le droit belge. Les litiges relèvent de la compétence exclusive des tribunaux de Louvain.
Version 1.0 – 6 mai 2026 – Monto Bleu BV