Aperçu Gouvernance des données & Sécurité
ISO 27001 ISMS — Document informatif pour intégrateurs & partenaires
| Établi pour | Partenaire intégrateur — usage informatif |
| Date | Mars 2026 |
| Classification | Confidentiel — Distribution restreinte |
| Propriétaire | CISO, TelSmart BV |
| Statut ISMS | En cours d’élaboration — certification ISO 27001 en cours |
Ce document décrit comment TelSmart gère les données de ses clients. Il offre une vue d’ensemble pour les partenaires et intégrateurs qui collaborent avec TelSmart et pour lesquels les questions de sécurité et de RGPD sont pertinentes.
1.1 Entité juridique & sites
| Nom de l’entreprise | The Smart Group BVBA — TelSmart |
| Site principal | Torhoutsesteenweg 236, 8210 Zedelgem |
| Site secondaire | Grootrees 12, 2460 Kasterlee |
| Périmètre ISMS | Développement et implémentation de solutions de téléphonie VoIP cloud et solutions d’intégration associées |
| Infrastructure IT | Entièrement dans le périmètre ISMS : environnements on-premise et AWS |
1.2 Départements dans le périmètre
Management — Sales — Internal IT — Development — DevOps — Finance — HR — Support / Deployment
2. Localisation des données & Infrastructure
2.1 Hébergement principal — AWS Francfort
| Fournisseur cloud | Amazon Web Services (AWS) |
| Région | eu-central-1 — Francfort, Allemagne (au sein de l’UE/EEE) |
| Services | EC2 (compute), ECS (containers) |
| Redondance | Minimum 2 zones de disponibilité pour tous les services critiques |
| Exception | SBC (Session Border Controllers) : intervention manuelle en cas de panne |
| Connexion principale | Colt (principal) + Sewan (failover) |
| Clients internet | edpnet, via infrastructure Proximus |
Toutes les données clients restent dans l’Espace Économique Européen. Aucune donnée n’est stockée en dehors de l’UE/EEE.
2.2 Politique de sauvegarde
Sauvegarde Cloud AWS (services de production)
- Sauvegardes automatiques quotidiennes via AWS Backup Plans
- Données de sauvegarde conservées dans eu-central-1 (Francfort)
- Stockage chiffré via AWS KMS — AES-256
- Durée de rétention : minimum 30 jours pour les sauvegardes quotidiennes ; long terme selon la politique de rétention des données
- Test de restauration annuel : l’IT effectue au minimum une restauration complète en environnement de test et en documente le résultat
- Responsabilité : IT Manager / System Administrator, rapporté au CISO
On-premise (House of Happiness)
- Sauvegardes gérées via Proxmox, stockées sur Synology NAS
- Sauvegardes quotidiennes, déchargées vers Backblaze
⚠ Les procédures détaillées de restauration par service sont en cours d’élaboration et seront documentées par le System Administrator.
3. Protection des données & Chiffrement
3.1 Vue d’ensemble du chiffrement
| Asset / Système | Méthode de chiffrement | Algorithme / Protocole |
| Laptops / endpoints | Chiffrement disque BitLocker | AES-128 / AES-256 |
| Connexions VPN | FortiClient / AWS Endpoint VPN | TLS 1.1 ou supérieur |
| Sites web & API | Certificats SSL | SHA-256 |
| Trafic e-mail | Chiffrement obligatoire | TLS |
| Mots de passe | Hachage (préférence) ou chiffrement disque | PBKDF2-256 |
| Enregistrements & résumés | Chiffrement AWS KMS | AES-256 |
3.2 Approche défense en profondeur
- Couche 1 — Politique : politique de sécurité de l’information, clean desk, directives télétravail
- Couche 2 — Contrôle d’accès : need-to-know, groupes de sécurité Active Directory, MFA
- Couche 3 — Chiffrement : données en transit (TLS) et au repos (AES-256)
- Couche 4 — Journalisation & surveillance : journalisation des événements pour la détection d’activité malveillante
- Couche 5 — Pseudonymisation / anonymisation si applicable
4. Contrôle d’accès
4.1 Principes
- Refus par défaut, sauf autorisation explicite (principe default-deny)
- Principe du besoin d’en connaître : accès lié à la fonction et à la nécessité démontrée
- Accès privilégié limité au personnel approuvé, revu annuellement
- MFA appliqué lorsque techniquement possible
- En cas de départ : blocage immédiat, droits révoqués, compte conservé 6 mois à des fins forensiques
4.2 Revue annuelle par système
| Système | Responsable |
| Active Directory (AD) | IT Manager |
| AWS | IT Manager |
| Telsy / Unify / … | Application Owner |
| Odoo (ERP) | COO |
| Outils marketing | Marketing Manager |
| Outils administratifs | COO |
5. Enregistrements d’appels & Résumés IA
5.1 Fonctionnement
TelSmart offre à ses clients la possibilité d’enregistrer des appels. Ces enregistrements sont automatiquement traités par un système IA qui génère un résumé. L’enregistrement et le résumé sont stockés de manière chiffrée sur AWS Francfort (eu-central-1).
5.2 Durées de conservation
| Type de données | Durée standard | Dérogation possible ? |
| Enregistrements d’appels | 1 an | Oui — en concertation écrite avec le client |
| Résumés IA | 1 an (identique à l’enregistrement) | Idem enregistrement |
5.3 Cadre légal belge
Le droit belge n’interdit pas l’enregistrement d’appels par un participant à cet appel. La législation applicable est la suivante :
Code pénal Art. 314bis & LCE Art. 124 — enregistrement par un participant autorisé
- L’Art. 314bis du Code pénal interdit uniquement l’enregistrement par des personnes qui NE participent PAS à la conversation, sans le consentement de toutes les parties.
- Tant que l’utilisateur participe lui-même à la conversation, l’enregistrement est légalement autorisé — même sans en avertir préalablement les autres parties (confirmé par la jurisprudence de la Cour de cassation et la doctrine, notamment Evocaat, elfri.be).
- L’Art. 124 LCE interdit de prendre connaissance d’informations « qui ne vous sont pas destinées » — ceci ne s’applique pas lorsque vous êtes vous-même participant à la conversation.
Usage et distribution de l’enregistrement — c’est là que se situe la responsabilité
- L’enregistrement est autorisé ; ce que vous faites ensuite de l’enregistrement est soumis à des règles strictes.
- L’enregistrement ne peut pas être diffusé ou partagé en dehors de la propre organisation sans base légale (Art. 8 CEDH — droit à la vie privée).
- Tout usage hors contexte propre (ex. publication, transmission à des tiers) peut constituer une violation de l’Art. 8 CEDH et du RGPD, indépendamment de la légalité de l’enregistrement lui-même.
- L’enregistrement reste une donnée à caractère personnel sous le RGPD : le responsable du traitement (le client de TelSmart) est responsable du traitement licite et de la sécurisation.
Durée de conservation — pas de délai légal, mais principe RGPD
- Il n’existe pas de durée légale spécifique de conservation pour les enregistrements d’appels en Belgique.
- Le RGPD exige que les données ne soient pas conservées plus longtemps que nécessaire pour la finalité du traitement (principe de limitation de la conservation, Art. 5 RGPD).
- TelSmart applique 1 an comme durée standard ; une conservation plus longue est possible en concertation écrite avec le client, avec une finalité démontrée.
Droits des personnes concernées
- Droit d’accès et de copie de leurs enregistrements (Art. 15 RGPD)
- Droit à l’effacement, sauf obligation légale de conservation (Art. 17 RGPD)
⚠ La responsabilité de l’usage licite et de la distribution des enregistrements incombe au client en tant que responsable du traitement. TelSmart agit en tant que sous-traitant et opère exclusivement selon les instructions du client, définies dans la convention de traitement.
5.4 Privacy by design — contrôle d’accès aux résumés
- Il est possible de configurer, par utilisateur, que seule la personne concernée peut consulter ses propres résumés.
- Les résumés définis comme « privés » restent privés — même pour l’employeur.
- En cas de départ : TelSmart n’accorde pas à l’entreprise l’accès aux résumés définis comme privés.
- Les paramètres de confidentialité historiques sont toujours respectés — ce qui était privé reste privé.
- Ce principe s’applique de manière cohérente, quel que soit le demandeur (RH, management, etc.).
- Liste de contacts privés (disponible à partir de juin 2026) : les collaborateurs peuvent ajouter des contacts privés à une liste personnelle. Les appels avec ces contacts sont automatiquement exclus de l’enregistrement. Cela est particulièrement pertinent pour les entreprises où les collaborateurs utilisent un GSM professionnel pour des appels tant professionnels que personnels.
Ceci est conforme à la CCT 81 (vie privée des travailleurs) et au principe de minimisation des données du RGPD.
6. Conformité RGPD
6.1 Rétention des données — vue d’ensemble
| Contacts CRM | Max. 5 ans après le dernier contact — puis supprimés |
| Enregistrements CDR (données d’appels) | Durée à documenter — voir points d’attention |
| Enregistrements d’appels | 1 an standard ; plus long en concertation écrite avec le client |
| Factures (entrantes et sortantes) | 10 ans (obligation légale comptable) |
| Dossiers RH collaborateurs | 7 ans après fin du contrat de travail |
| Archive e-mail collaborateurs | 6 mois après fin du contrat |
⚠ Les enregistrements CDR et les enregistrements vocaux n’ont pas encore de durée de rétention définie dans la documentation ISMS actuelle. Ceci sera complété en concertation avec le DPO.
6.2 Procédure violation de données & incidents
- Notification à l’Autorité de protection des données (APD) dans les 72 heures en cas de risque probable pour les personnes concernées (Art. 33 RGPD)
- Le DPO coordonne la réponse aux incidents et constitue une équipe de réponse aux incidents
- Les personnes concernées sont informées lorsqu’il existe un risque élevé (Art. 34 RGPD)
- Toutes les violations de données sont enregistrées dans le registre des incidents (Freshdesk)
- Point de contact pour les violations de données : sec.incidents@telsmart.eu
6.3 Droits des personnes concernées
- Droit d’accès : TelSmart peut présenter les données stockées sur demande
- Droit à l’effacement : demandes traitées en concertation avec le DPO dans les 30 jours
- L’effacement n’est pas possible pour les données devant être conservées légalement
7. Gouvernance Cloud
7.1 Processus d’approbation pour les nouveaux services cloud
Tout nouveau service cloud doit être approuvé au préalable via une demande IT. Les éléments évalués sont :
- Finalité et justification business
- Localisation géographique des données
- Présence de données à caractère personnel (PII)
- Possibilités SSO et MFA
- Politique de confidentialité et Contrat utilisateur final
- Certifications pertinentes (ISO 27001, SOC-2, …)
- Stratégie de sortie : portabilité des données, restauration, suppression des données après résiliation
Après révision par le CISO, l’approbation est accordée par l’équipe de direction. En cas d’approbation, un propriétaire du service cloud est désigné.
7.2 Gestion des mots de passe
Les identifiants d’accès pour tous les services cloud sont gérés via le gestionnaire de mots de passe d’entreprise : 1Password.
8. Avertissement
Ce document est établi sur la base de la documentation interne ISO 27001 ISMS de TelSmart et est destiné à servir de vue d’ensemble informative pour les partenaires et intégrateurs.
La partie juridique relative aux enregistrements d’appels (Section 5.3) est basée sur la législation belge publiquement disponible (RGPD, LCE Art. 124) et les directives sectorielles. TelSmart recommande de consulter un juriste qualifié pour des questions juridiques spécifiques.
Ce document est confidentiel et destiné exclusivement au destinataire. Toute diffusion ultérieure nécessite l’autorisation écrite du CISO de TelSmart.
Let’s make it frictionless.