Politique de confidentialité — Healthcall

Comment Healthcall collecte, utilise et protège vos données personnelles. Conformité RGPD.

AVERTISSEMENT — DRAFT À FAIRE VALIDER

Le présent document est un projet rédactionnel (v1) destiné à servir de base à la politique de confidentialité publiée sur healthcall.be. Il doit impérativement être relu, corrigé et validé par un avocat belge spécialisé en RGPD et droit de la santé avant toute publication en production. Les durées de conservation, les bases légales retenues, les mentions relatives aux sous-traitants et aux données de santé engagent la responsabilité de Groovit SRL et doivent être contrôlées contradictoirement.

Tous les éléments entre [crochets] constituent des placeholders qui doivent être renseignés avant publication (voir liste récapitulative en fin de document).

JSON-LD (à injecter dans <head>)

{
  "@context": "https://schema.org",
  "@graph": [
    {
      "@type": "WebPage",
      "@id": "https://healthcall.be/fr/politique-confidentialite#webpage",
      "url": "https://healthcall.be/fr/politique-confidentialite",
      "name": "Politique de confidentialité — Healthcall",
      "description": "Comment Healthcall collecte, utilise et protège vos données personnelles. Conformité RGPD.",
      "inLanguage": "fr-BE",
      "isPartOf": { "@id": "https://healthcall.be/#website" },
      "about": { "@type": "Thing", "name": "Privacy Policy" },
      "datePublished": "2026-04-20",
      "dateModified": "2026-04-20"
    },
    {
      "@type": "Organization",
      "@id": "https://healthcall.be/#organization",
      "name": "Groovit SRL",
      "legalName": "Groovit SRL",
      "url": "https://healthcall.be",
      "brand": { "@type": "Brand", "name": "Healthcall" },
      "address": {
        "@type": "PostalAddress",
        "addressLocality": "Frasnes-lez-Anvaing",
        "addressCountry": "BE",
        "streetAddress": "[adresse postale exacte à renseigner]"
      },
      "vatID": "[numéro TVA Groovit SRL à renseigner]",
      "email": "contact@healthcall.be",
      "contactPoint": [
        {
          "@type": "ContactPoint",
          "contactType": "Data Protection",
          "email": "dpo@healthcall.be",
          "availableLanguage": ["French", "Dutch", "English"]
        }
      ]
    },
    {
      "@type": "BreadcrumbList",
      "itemListElement": [
        { "@type": "ListItem", "position": 1, "name": "Accueil", "item": "https://healthcall.be/fr/" },
        { "@type": "ListItem", "position": 2, "name": "Politique de confidentialité", "item": "https://healthcall.be/fr/politique-confidentialite" }
      ]
    }
  ]
}

Politique de confidentialité

Dernière mise à jour : 20 avril 2026 Date d’entrée en vigueur : [date de publication effective à renseigner] Version : 1.0

1. Introduction et engagements

Le site healthcall.be est édité par Groovit SRL, société de droit belge ayant son siège à Frasnes-lez-Anvaing, Belgique (ci-après « Healthcall », « nous »). Groovit SRL agit en qualité de responsable du traitement au sens du Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (RGPD), complété en droit belge par la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel.

La présente politique décrit, en application des articles 13 et 14 du RGPD, les données que nous collectons lorsque vous visitez notre site vitrine ou que vous entrez en contact avec nos équipes, les finalités poursuivies, les bases légales mobilisées, les destinataires, les durées de conservation ainsi que les droits dont vous disposez.

Nous nous engageons à ne collecter que les données strictement nécessaires, à les traiter de manière loyale et transparente, à les sécuriser par des mesures techniques et organisationnelles appropriées, et à ne jamais les revendre à des tiers à des fins commerciales.

Les informations d’identification légale de l’éditeur (dénomination, numéro d’entreprise, TVA, siège social, hébergeur) figurent dans nos mentions légales. La gestion des cookies et traceurs est détaillée dans notre politique cookies.

2. Données que nous collectons

2.1. Données collectées via nos formulaires

Lorsque vous complétez l’un de nos formulaires (contact ou demande de démo), nous collectons les informations suivantes, selon le formulaire utilisé :

  • Nom et prénom
  • Adresse email professionnelle
  • Numéro de téléphone (facultatif pour contact, demandé pour démo)
  • Organisation ou structure de rattachement (maison de repos, groupe MR, bureau d’études, installateur, etc.)
  • Fonction ou rôle (facultatif)
  • Contenu libre de votre message
  • Date et heure de soumission

Ces données sont saisies volontairement par vous ; leur fourniture conditionne notre capacité à répondre à votre demande.

2.2. Données collectées automatiquement

Lorsque vous naviguez sur healthcall.be, nos outils de mesure d’audience collectent des informations techniques anonymes ou anonymisées :

  • Via Matomo self-hosted (hébergé sur nos serveurs en Belgique) :
    • Adresse IP anonymisée (les 2 derniers octets sont masqués avant stockage)
    • Pages consultées, horodatage, ordre de navigation, durée de session
    • Type de terminal, navigateur, système d’exploitation, résolution d’écran
    • Site ou moteur de recherche de provenance (referrer)
    • Aucun cookie n’est déposé par Matomo dans cette configuration
  • Via Microsoft Clarity (heatmaps et enregistrements de session anonymisés) :
    • Interactions anonymisées (mouvements de souris, clics agrégés, défilement)
    • Masquage PII agressif activé côté serveur (tous les champs de formulaire, emails, noms sont automatiquement masqués dans les enregistrements)
    • Chargement différé (après 10 secondes de scroll minimum) afin de limiter la collecte aux visiteurs réellement engagés

2.3. Anti-spam Turnstile (Cloudflare)

Afin de prévenir les soumissions automatisées (bots) sur nos formulaires, nous utilisons Cloudflare Turnstile en mode invisible. Turnstile analyse des signaux techniques du navigateur (entête HTTP, empreinte TLS, comportement JavaScript) pour déterminer si le visiteur est humain. Selon la documentation Cloudflare, Turnstile ne dépose aucun cookie de suivi publicitaire et ne constitue pas un outil de profilage.

2.4. Cookies techniques

Le site peut déposer un nombre limité de cookies strictement nécessaires à son fonctionnement (préférence de langue, session sécurisée, protection CSRF). Le détail complet figure dans la politique cookies.

3. Finalités du traitement

Nous traitons vos données aux fins exclusives suivantes :

FinalitéDescription
Répondre à vos demandesTraiter les demandes de contact et de démonstration, qualifier votre projet, vous recontacter, planifier un rendez-vous.
Suivi commercial légitimeVous adresser des informations directement liées à votre demande, organiser une démonstration, transmettre une proposition.
Emails de confirmation et de suiviEnvoyer un accusé de réception et, le cas échéant, les documents techniques ou commerciaux demandés, via notre prestataire d’emailing transactionnel Brevo.
Mesure d’audience anonymeComprendre la manière dont le site est consulté (pages les plus lues, parcours de navigation, difficultés rencontrées) afin d’en améliorer l’ergonomie et le contenu.
Sécurité et prévention de la fraudeDétecter et bloquer les soumissions automatisées (Turnstile), protéger l’intégrité de nos systèmes, journaliser les accès pour investigation en cas d’incident.

Nous n’utilisons vos données pour aucune autre finalité — en particulier, aucun profilage publicitaire, aucune revente, aucun enrichissement de fichiers tiers.

4. Bases légales (article 6 RGPD)

Chaque traitement décrit ci-dessus repose sur une base légale explicite :

  • Mesures précontractuelles prises à votre demande (art. 6.1.b RGPD) — traitement des formulaires de contact et de demande de démo, échanges consécutifs. Lorsque vous nous sollicitez, ce traitement est nécessaire à l’exécution des mesures précontractuelles entreprises à votre initiative.
  • Intérêt légitime (art. 6.1.f RGPD) — mesure d’audience strictement anonyme, prévention de la fraude, sécurité du site, emails de confirmation liés à un échange en cours. Notre intérêt légitime consiste à améliorer l’expérience des visiteurs professionnels, à sécuriser nos services et à maintenir la continuité d’un échange que vous avez initié. Cet intérêt a été mis en balance avec vos droits fondamentaux et apparaît proportionné compte tenu du caractère anonyme ou anonymisé des données concernées.
  • Obligation légale (art. 6.1.c RGPD) — conservation de certaines traces techniques lorsque la loi ou la jurisprudence l’exige (journaux d’accès, obligations comptables).

Pas de consentement requis pour la mesure d’audience

Notre dispositif d’audience (Matomo sans cookie, IP anonymisée) est conçu pour entrer dans l’exemption de consentement prévue par les lignes directrices de l’APD belge et les recommandations du CEPD en matière de mesure d’audience strictement anonyme. Il ne nous permet pas de réidentifier un visiteur, n’alimente aucun profil publicitaire et reste exclusivement interne.

Cette analyse est susceptible d’évoluer en fonction des orientations réglementaires ; elle sera revue et confirmée par notre conseil juridique avant publication.

5. Destinataires des données

Vos données ne sont communiquées qu’aux destinataires strictement nécessaires à l’exécution des finalités ci-dessus :

  • Équipe Healthcall / Groovit SRL — collaborateurs habilités, soumis à une obligation contractuelle de confidentialité, accédant aux données sur base du besoin d’en connaître.
  • Brevo (Sendinblue SAS, société française) — sous-traitant pour l’envoi des emails transactionnels et de confirmation. Serveurs en Union européenne. Contrat de sous-traitance RGPD (Data Processing Agreement, DPA) signé conformément à l’article 28 RGPD. [DPA effectif à vérifier avant publication]
  • Diogenius — hébergeur belge de notre cluster privé (site vitrine, Matomo self-hosted, base de données). Serveurs situés en Belgique. Contrat d’hébergement incluant les garanties RGPD. [DPA effectif à vérifier avant publication]
  • Cloudflare (Cloudflare Inc. / Cloudflare Ireland) — service Turnstile anti-spam. Conformément à sa documentation, Cloudflare traite des données strictement techniques, dans le cadre de ses clauses contractuelles types et de son DPA public.
  • Microsoft Clarity (Microsoft Ireland Operations Ltd, infrastructure Azure EU Data Boundary) — heatmaps et enregistrements de session anonymisés. Contrat DPA Microsoft Online Services applicable. Résidence des données Azure EU.
  • Cal.com (Cal.com Inc.) — plateforme de prise de rendez-vous en ligne utilisée lorsque vous cliquez sur « Voir les créneaux » sur notre page de démonstration. Serveurs UE/international selon le plan. DPA applicable. [DPA effectif à vérifier avant publication]

Transferts hors Union européenne

Nous privilégions systématiquement des prestataires disposant de serveurs en Union européenne. Lorsqu’un sous-traitant repose sur une infrastructure internationale (Cloudflare, Microsoft, Cal.com), le transfert est encadré par les clauses contractuelles types (Standard Contractual Clauses) adoptées par la Commission européenne, complétées le cas échéant par des mesures techniques supplémentaires (chiffrement, pseudonymisation). Aucun transfert hors UE non sécurisé n’est réalisé.

6. Durées de conservation

Nous conservons vos données uniquement pour la durée nécessaire aux finalités poursuivies, puis procédons à leur effacement ou à leur anonymisation irréversible.

DonnéeDurée de conservationJustification
Formulaires de contact3 ans à compter du dernier échangePrescription commerciale B2B (à confirmer par conseil juridique)
Demandes de démonstration3 ans à compter du dernier échangeSuivi d’opportunité commerciale
Emails transactionnels (logs Brevo)1 anIntégrité des journaux d’envoi, lutte anti-abus
Données Matomo anonymisées25 mois maximumComparaison inter-annuelle de l’audience, puis anonymisation définitive
Données Microsoft Clarity1 an (rétention par défaut Clarity)Analyse UX rétrospective
Journaux d’accès serveur (Caddy, fail2ban)30 joursSécurité, détection d’incident, filtrage anti-abus
Données comptables liées à un contrat conclu7 ansObligation légale belge (art. III.86 CDE)

Au-delà de ces durées, les données sont supprimées ou anonymisées de manière irréversible.

Les durées indiquées constituent un cadre cible et doivent être confirmées par conseil juridique avant publication, en particulier pour les durées commerciales (3 ans) et les logs applicatifs.

7. Sécurité des données

Nous mettons en œuvre les mesures techniques et organisationnelles appropriées pour préserver la confidentialité, l’intégrité et la disponibilité de vos données, conformément à l’article 32 RGPD :

  • Chiffrement en transit : TLS 1.3 via Caddy 2 et certificats Let’s Encrypt, HSTS preload activé, politique de sécurité renforcée (CSP, X-Frame-Options, Referrer-Policy, Permissions-Policy).
  • Chiffrement au repos : base de données et sauvegardes chiffrées.
  • Cluster privé à haute disponibilité hébergé en Belgique par Diogenius, avec SLA contractuel.
  • Triple base de données MongoDB en mirroring assurant la redondance des données applicatives.
  • Sauvegardes quotidiennes (Proxmox Backup Server) dédupliquées, externalisées (offsite) et immuables.
  • Authentification forte pour les accès administrateurs, SSH restreint, root désactivé, pare-feu UFW + fail2ban.
  • Accès aux données strictement limité aux collaborateurs habilités, sur la base du principe du besoin d’en connaître, avec journalisation des accès sensibles.
  • Tests de sécurité et revues régulières du code, gestion structurée des vulnérabilités.

En cas de violation de données susceptible d’engendrer un risque pour vos droits et libertés, nous notifierons l’Autorité de protection des données (APD) dans un délai de 72 heures et vous informerons dans les meilleurs délais si le risque est élevé, conformément aux articles 33 et 34 du RGPD.

8. Vos droits

Conformément aux articles 15 à 22 du RGPD et à la loi belge du 30 juillet 2018, vous disposez, à l’égard des données que nous détenons sur vous, des droits suivants :

  • Droit d’accès (art. 15) — obtenir confirmation que vos données sont traitées et en recevoir une copie.
  • Droit de rectification (art. 16) — faire corriger une donnée inexacte ou incomplète.
  • Droit à l’effacement (art. 17) — obtenir l’effacement de vos données, dans les limites prévues par la loi (« droit à l’oubli »).
  • Droit à la limitation du traitement (art. 18) — suspendre temporairement l’usage de vos données.
  • Droit à la portabilité (art. 20) — recevoir vos données dans un format structuré et couramment utilisé.
  • Droit d’opposition (art. 21) — vous opposer à un traitement fondé sur l’intérêt légitime.
  • Droit de retirer votre consentement à tout moment, lorsque le traitement repose sur votre consentement, sans que cela ne remette en cause la licéité du traitement effectué antérieurement.
  • Droit de ne pas faire l’objet d’une décision individuelle automatisée (art. 22) — non applicable chez Healthcall, aucun traitement automatisé produisant des effets juridiques ou significatifs n’étant mis en œuvre.

Comment exercer vos droits

Vous pouvez exercer ces droits, sans frais, en nous contactant :

  • Par email : dpo@healthcall.be
  • Par courrier postal : Groovit SRL — À l’attention du Délégué à la protection des données — [adresse postale exacte à Frasnes-lez-Anvaing à renseigner]

Afin de nous permettre de vous identifier, nous pouvons être amenés à vous demander un justificatif d’identité si un doute raisonnable subsiste. Nous répondrons à votre demande dans un délai maximal d’un mois à compter de sa réception (art. 12.3 RGPD), délai pouvant être prolongé de deux mois en cas de demande complexe, auquel cas vous en serez informé.

9. Droit d’introduire une réclamation

Si vous estimez que le traitement de vos données n’est pas conforme à la réglementation, vous disposez du droit d’introduire une réclamation auprès de l’autorité de contrôle compétente :

Autorité de protection des données (APD) Rue de la Presse 35 1000 Bruxelles — Belgique Tél. : +32 (0)2 274 48 00 Site : autoriteprotectiondonnees.be

Nous vous invitons, dans la mesure du possible, à nous contacter préalablement à toute réclamation afin que nous puissions tenter de résoudre votre préoccupation directement.

10. Données de santé et contextes particuliers

Le site vitrine healthcall.be ne collecte aucune donnée de santé directement auprès de ses visiteurs. Les formulaires de contact et de démo ne sollicitent aucune information relative à la santé d’une personne physique identifiée ou identifiable.

Les traitements opérés par la solution Healthcall déployée chez nos clients (maisons de repos, résidences-services) relèvent d’un cadre juridique distinct :

  • Le client — maison de repos ou groupe MR — est le responsable du traitement des données de santé de ses résidents, en application de sa propre finalité de soins.
  • Groovit SRL intervient en qualité de sous-traitant au sens de l’article 28 RGPD, sur la base d’un contrat de sous-traitance (DPA) signé avec chaque client.
  • Les bases légales applicables aux données de santé traitées dans le produit sont notamment l’intérêt vital de la personne concernée (art. 9.2.c RGPD), les obligations légales en matière de soins de santé (art. 9.2.h RGPD, en lien avec le décret Woonzorgdecreet en Flandre et les normes AViQ en Wallonie) et, le cas échéant, le consentement explicite.
  • Ces traitements ne sont pas couverts par la présente politique, qui ne vise que le site vitrine. Les modalités de traitement par la solution déployée sont décrites dans les documents contractuels et les registres RGPD tenus par chaque client responsable.

Si vous êtes résident d’une maison de repos équipée de Healthcall et que vous souhaitez exercer vos droits sur vos données de santé, vous devez vous adresser à la direction de votre maison de repos, qui en est le responsable du traitement.

11. Modifications de la présente politique

Healthcall peut être amené à adapter la présente politique pour refléter l’évolution de ses services, de la réglementation ou de ses sous-traitants. Toute modification substantielle fera l’objet :

  • d’une mise à jour de la date figurant en tête du document ;
  • d’une notification visible sur le site (bandeau d’information ou encart) pendant une période raisonnable ;
  • le cas échéant, d’une information directe par email pour les contacts actifs, lorsque la modification affecte directement un traitement les concernant.

L’historique des versions de la présente politique est conservé et peut être obtenu sur simple demande à dpo@healthcall.be.

12. Contact du Délégué à la protection des données

Pour toute question relative à cette politique, au traitement de vos données ou à l’exercice de vos droits :

Délégué à la protection des données (DPO)

  • Nom : [à renseigner une fois la désignation formelle effectuée]
  • Email : dpo@healthcall.be
  • Courrier postal : Groovit SRL — À l’attention du DPO — [adresse postale exacte à Frasnes-lez-Anvaing à renseigner]

Récapitulatif des placeholders à renseigner avant publication

  1. Adresse postale exacte de Groovit SRL à Frasnes-lez-Anvaing (section JSON-LD, sections 8 et 12)
  2. Numéro de TVA / BCE de Groovit SRL (JSON-LD)
  3. Nom du Délégué à la protection des données (section 12)
  4. Date d’entrée en vigueur effective (en-tête)
  5. Durées de conservation à confirmer par avocat (section 6, en particulier les 3 ans commerciaux et 1 an des logs Brevo)
  6. DPA effectifs à vérifier signés avec : Brevo, Diogenius, Cloudflare, Microsoft (Clarity), Cal.com (section 5)
  7. Analyse exemption ePrivacy / mesure d’audience anonyme à valider contradictoirement par conseil juridique belge (section 4)
  8. Cohérence finale avec la politique cookies (/fr/politique-cookies) et les mentions légales (/fr/mentions-legales) à vérifier avant publication croisée