Politique de confidentialité

Dernière mise à jour : 9 septembre 2025

Qui nous sommes

Cresco Cybersecurity SRL (« Cresco », « nous ») est une société de cybersécurité enregistrée en Belgique (BE 0754.730.571). Adresse : Avenue Henri de Brouckère 103, 1160 Auderghem, Bruxelles, Belgique.
Cette politique explique comment nous traitons les données personnelles lorsque vous utilisez https://www.cresco.be ou travaillez avec nous dans un contexte professionnel.
Si quelque chose n’est pas clair, contactez-nous à [email protected]; nous voulons que ce soit simple et compréhensible.

Notre rôle

Responsable du traitement : pour nos propres activités (site web, marketing, contrats, facturation, sécurité interne).
Sous-traitant : lorsque nous traitons des données limitées dans le cadre de missions clients (par ex. tests de pénétration). Dans ce cas, le client est le responsable et notre Addendum de traitement des données (DPA) s’applique.

Données que nous collectons

Nous ne collectons que ce dont nous avons besoin :

• Informations de contact : nom, fonction, entreprise, e-mail, téléphone, adresse.
• Données du site web : adresses IP, pages consultées, journaux, cookies.
• Informations sur les services : ce que vous nous envoyez via formulaires, réunions ou demandes de scans.
• Données de compte : identifiants si vous accédez à nos portails.
• Données commerciales : contrats, propositions, factures (pas de numéros de carte complets).
• Données liées aux événements : inscriptions, participation, enregistrements (si nous vous le précisons).
• Informations fournisseurs/partenaires : pour les personnes avec lesquelles nous travaillons.
• Données publiques/fournies : informations de contact professionnelles provenant de sources fiables.

Nous pouvons créer des statistiques anonymisées, mais si elles sont ré-identifiables, nous les considérons comme des données personnelles.

Pourquoi nous les utilisons

Notre base légale selon le RGPD

Lorsque nous utilisons des données personnelles, nous nous assurons toujours d’avoir une raison légale valable (« base légale » selon le RGPD). Voici comment cela fonctionne pour nous :

• Pour fournir des services et exécuter des contrats
  Si vous êtes notre client, nous avons besoin de certaines données (coordonnées, informations système, données de facturation) pour fournir le service, exécuter le contrat et communiquer avec vous.
  (Base légale : nécessité contractuelle - Art. 6(1)(b) RGPD)
• Pour gérer la facturation et les obligations légales
  Nous conservons les factures, informations fiscales et certains enregistrements car la loi l’exige.
  (Base légale : obligation légale - Art. 6(1)(c) RGPD)
• Pour assurer la sécurité de nos systèmes et clients
  Nous enregistrons les activités, surveillons les menaces et enquêtons sur les incidents pour protéger systèmes et données.
  (Base légale : intérêt légitime - Art. 6(1)(f) RGPD, notre intérêt pour la sécurité et la prévention de la fraude)
• Pour répondre à vos questions et vous assister
  Si vous nous contactez, nous utilisons les informations fournies pour répondre.
  (Base légale : intérêt légitime - Art. 6(1)(f) RGPD, notre intérêt à communiquer et résoudre les problèmes)
• Pour améliorer notre site web et nos services
  Nous utilisons les cookies analytiques uniquement si vous y consentez, et pouvons utiliser des retours ou journaux (de manière minimale et agrégée) pour améliorer.
  (Base légale : consentement pour cookies - Art. 6(1)(a) ; intérêt légitime pour amélioration du service - Art. 6(1)(f))
• Pour envoyer des mises à jour B2B et invitations à des événements
  Parfois nous envoyons des informations sur nos services ou événements à nos contacts professionnels.
  Dans les pays où l’intérêt légitime suffit (RGPD et ePrivacy), nous nous basons dessus et vous pouvez vous désinscrire à tout moment.
  Dans les pays où le consentement est requis (ex. Belgique), nous envoyons les communications marketing électroniques uniquement si vous nous avez donné votre consentement préalable.
  (Base légale : intérêt légitime - Art. 6(1)(f) RGPD, équilibré avec votre droit de vous désinscrire ; ou consentement - Art. 6(1)(a) RGPD selon la législation locale)
• Pour gérer fournisseurs et partenaires
  Nous traitons les données des fournisseurs/partenaires pour collaborer efficacement.
  (Base légale : nécessité contractuelle - Art. 6(1)(b) ; intérêt légitime - Art. 6(1)(f))
• Lorsque vous donnez votre consentement
  Pour tout extra (enregistrements, inscriptions newsletter, cookies optionnels), nous demandons d’abord votre consentement. Vous pouvez le retirer à tout moment.
  (Base légale : consentement - Art. 6(1)(a) RGPD)

Tests de sécurité

Nous ne testons pas les systèmes sans autorisation. Si des données personnelles apparaissent dans le périmètre (ex. journaux), nous les traitons de manière minimale, sécurisée et les supprimons ensuite.

Cookies

• Cookies essentiels : nécessaires pour le site.
• Cookies analytiques : seulement avec votre consentement (via bandeau).

Vous pouvez modifier vos choix à tout moment. Voir notre Politique de Cookies.

Partage

Nous ne vendons pas les données. Nous partageons uniquement si nécessaire :

• Avec le personnel/contractants Cresco sous confidentialité.
• Avec les prestataires de services (hébergement, CRM, e-mail, comptabilité).
• Avec les partenaires/sous-consultants pour des projets (sous accords stricts).
• Avec les autorités si requis légalement.
• En cas de fusion/cession, les nouveaux propriétaires doivent respecter cette politique.

Transferts hors EEE

Nous traitons principalement les données en Belgique et dans l’Espace économique européen (EEE).
Parfois, les données peuvent être stockées ou consultées hors EEE, par exemple si nous utilisons un prestataire fiable (cloud sécurisé ou outil CRM) situé à l’étranger.

Dans ce cas, nous nous assurons que vos droits restent protégés en utilisant des garanties approuvées par le RGPD, telles que :

• Clauses contractuelles types (SCC) approuvées par la Commission européenne.
• Fournisseurs avec engagements de sécurité supplémentaires (cryptage, restrictions d’accès, audits).
• Minimisation des données afin que seules les données nécessaires sortent de l’EEE.

Pour plus de détails ou une copie des garanties utilisées, contactez-nous à [email protected].

Durée de conservation

• Demandes : ~ 3 ans.
• Données clients : contrat + jusqu’à 10 ans.
• Données financières : 7–10 ans (légal).
• Artefacts de tests : seulement selon contrat, ensuite supprimés en toute sécurité.
• Données RH (employés, candidats, contractants) :
  Candidatures : conservées pendant le processus de recrutement et jusqu’à 2 ans après le dernier contact (sauf demande de suppression anticipée).
  Dossiers employés/contractants : conservés pendant la collaboration et jusqu’à 10 ans après départ, pour obligations sociales, fiscales et du travail.
  Paie et dossiers fiscaux : conservés aussi longtemps que la loi l’exige (souvent 7–10 ans).
  Les sauvegardes peuvent conserver temporairement des données avant suppression.

Sécurité

Nous appliquons ce que nous prônons : TLS, cryptage, contrôles d’accès, MFA, patching, surveillance, codage sécurisé, formation du personnel, réponse aux incidents. Si une violation menace vos droits, nous vous informons rapidement et notifions l’autorité sous 72h si nécessaire.

Vos droits

Vous pouvez nous demander à tout moment :

• Accéder, corriger ou supprimer vos données.
• Limiter ou stopper leur utilisation.
• Obtenir une copie (portabilité).
• Retirer votre consentement (si applicable).
• Refuser le marketing (toujours gratuit et respecté).

Traitement des demandes

Lorsque vous envoyez une demande concernant vos données personnelles :

• Nous pouvons demander des informations pour confirmer votre identité (ex. e-mail utilisé ou pièce d’identité si nécessaire).
• Nous répondons sous un mois (extension de 2 mois possible si complexe ; nous vous informerons).
• Pour obtenir une copie (portabilité ou accès), nous la fournissons dans un format numérique courant (PDF, CSV ou similaire).
• Les demandes sont gratuites. Si elles sont excessives ou répétées, le RGPD permet une petite taxe ou un refus, mais nous n’avons jamais dû le faire.
• Si vos données ont été partagées avec des partenaires ou sous-traitants et que vous demandez correction, suppression ou restriction, nous faisons de notre mieux pour les informer également.
• Nous conservons un journal des demandes pour prouver la conformité aux régulateurs si nécessaire.

Enfants

Nous travaillons avec des professionnels, pas avec des enfants. Nous ne collectons pas sciemment de données de moins de 16 ans. Si c’est le cas, signalez-le et nous les supprimerons.

Contact

Cresco Cybersecurity SRL – Contact vie privée (Christophe Mazzola, CISO)
📧 [email protected]
📮 Avenue Henri de Brouckère 103, 1160 Bruxelles (Auderghem), Belgique

En cas de préoccupations, contactez-nous d’abord.
Vous avez également le droit de déposer une plainte auprès de :

• Autorité de protection des données belge (APD/GBA) – Rue de la Presse 35, 1000 Bruxelles, [email protected], www.dataprotectionauthority.be
• Ou auprès de l’autorité locale.
  Vous pouvez également saisir la justice si nécessaire.

Modifications

Si nous modifions cette politique, nous mettrons à jour la date en haut. Pour les changements majeurs, nous vous informerons clairement (ex. bandeau, e-mail).