Politique de Confidentialité

Politique de Confidentialité — RGPD

Dernière mise à jour : 8 juin 2026 — Version 1.0

La présente politique décrit la manière dont Giel COLAS, entrepreneur individuel exploitant le service sous le nom commercial TRHOM (ci-après « TRHOM » ou « nous ») collecte, traite et protège les données à caractère personnel dans le cadre de l'utilisation du site trhom.fr et de l'application TRHOM (web et bureau).

Elle est rédigée conformément au Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée (« Informatique et Libertés »).


0. Nos engagements en un coup d'œil

  • 🇪🇺 Hébergement et données dans l'Union européenne (base de données et stockage Supabase — région Europe).
  • 🔒 Chiffrement des échanges (TLS) et des données au repos ; mots de passe hachés (bcrypt), jamais accessibles à TRHOM.
  • 🚫 Aucun traceur publicitaire, aucune mesure d'audience tierce (pas de Google Analytics, Meta Pixel, etc.), aucune revente de données, aucun profilage publicitaire.
  • 🧾 Aucune donnée de carte bancaire stockée par TRHOM (paiement traité par Stripe).
  • 👥 Double rôle : TRHOM est responsable de traitement pour les comptes de ses Clients, et sous-traitant (art. 28 RGPD) pour les données des salariés de ses Clients (voir § 2).
  • ⚖️ Minimisation : nous ne collectons que les données nécessaires au fonctionnement du Service.

Le présent document peut être complété, pour les Clients professionnels, par l'Accord de traitement des données (DPA) figurant en annexe des CGU/CGV, qui prévaut en cas de contradiction sur les aspects relevant de la sous-traitance.


1. Identité du responsable de traitement / sous-traitant

  • Éditeur : Giel COLAS — entrepreneur individuel (EI), exploitant sous le nom commercial TRHOM
  • Immatriculation : RNE — SIREN 999 946 957 (SIRET du siège 999 946 957 00019)
  • Siège social : BAT E, 80 quai des Queyries, 33100 Bordeaux, France
  • Contact RGPD : contact@trhom.com
  • Délégué à la protection des données (DPO) : non désigné — la désignation d'un DPO n'est pas obligatoire pour notre activité au sens de l'article 37 du RGPD. Pour toute question relative à la protection des données : contact@trhom.com.

2. Double qualification — Point essentiel

TRHOM intervient sous deux qualifications distinctes selon les données concernées :

2.1 TRHOM est Responsable de traitement pour :

Les données concernant ses propres Clients (les employeurs / dirigeants qui souscrivent un abonnement) :

  • compte utilisateur (e-mail, identifiants OAuth Google/Apple, mot de passe haché) ;
  • données de facturation et de paiement (via Stripe) ;
  • données d'usage et logs techniques de l'Application ;
  • communications avec le support (e-mails, formulaires de contact).

2.2 TRHOM est Sous-traitant au sens de l'article 28 du RGPD pour :

L'ensemble des données concernant les salariés de nos Clients, que ces derniers saisissent ou importent dans l'Application dans le cadre de leur propre activité d'employeur.

Sont concernées notamment :

  • les fiches salariés (nom, prénom, e-mail, téléphone, adresse, type de contrat, date d'embauche, photo / avatar éventuel, etc.) ;
  • les plannings, heures travaillées, heures supplémentaires, congés, absences ;
  • les messages échangés via la messagerie interne ;
  • les documents éventuellement attachés ;
  • les données d'accès au portail employé.

⚠️ Données potentiellement sensibles ou réglementées saisies par le Client. L'Application permet au Client de renseigner, s'il le souhaite, certaines données qui appellent une vigilance particulière :

  • Données de santé (article 9 du RGPD) : les types d'absence « arrêt maladie », « accident du travail », « arrêt de travail » ainsi que la date de validité de la visite médicale révèlent indirectement un état de santé. Leur traitement par le Client (employeur) repose en principe sur l'article 9.2.b du RGPD (obligations en droit du travail et de la sécurité sociale) ; le Client s'engage à n'inscrire aucun détail médical (diagnostic, pathologie, etc.) dans les champs libres et à limiter ces données au strict suivi administratif des absences.
  • Numéro de sécurité sociale (NIR) : son traitement est strictement encadré en France (décret n° 2019-341 du 19 avril 2019). Le Client ne le renseigne que pour les finalités autorisées (paie, déclarations sociales) et en assume l'entière responsabilité.

TRHOM, en sa seule qualité de sous-traitant, se borne à héberger et restituer ces données sur instruction du Client ; il n'en détermine ni la finalité ni la pertinence.

Le Client (employeur) est le Responsable de traitement de ces données. Il détermine les finalités et les moyens du traitement. TRHOM agit uniquement sur instruction documentée de son Client, conformément aux présentes et aux CGU/CGV qui valent accord de sous-traitance au sens de l'article 28.3 du RGPD.

Conséquences pour le Client :

  • Il lui appartient d'informer ses salariés du traitement opéré via TRHOM (mention dans le contrat de travail, note de service ou registre des traitements de son entreprise).
  • Il lui appartient de répondre aux demandes d'exercice de droits formulées par ses salariés (accès, rectification, effacement…).
  • Il lui appartient de définir une base légale (exécution du contrat de travail, obligation légale, intérêt légitime) pour le traitement.

TRHOM apporte au Client une assistance raisonnable dans le respect de ces obligations.


3. Données collectées par TRHOM (en qualité de Responsable de traitement)

CatégorieDonnéesFinalitéBase légaleDurée de conservation
CompteE-mail, mot de passe (haché par Supabase Auth), nom, prénom, identifiant OAuthCréation et gestion du compteExécution du contrat (art. 6.1.b)Durée de l'abonnement + 3 ans
EntrepriseRaison sociale, ville, pays, logoConfiguration de l'espaceExécution du contratIdem
FacturationNom, e-mail, identifiant client Stripe, historique des paiementsFacturation et comptabilitéObligation légale (art. 6.1.c)10 ans (Code de commerce)
ConnexionAdresse IP, user-agent, date/heure, historique de connexionSécurité, auditIntérêt légitime (art. 6.1.f) — sécurité du Service12 mois
SupportMessages envoyés au supportTraitement des demandesExécution du contrat3 ans après dernier contact
Notifications pushIdentifiant d'abonnement push (endpoint), clés techniques, appareilEnvoi de notifications (messages, congés) si l'utilisateur les activeConsentement de l'utilisateur (art. 6.1.a) — activable/désactivableJusqu'au retrait ou désinstallation
Formulaire de contactNom, e-mail, téléphone, société, messageRépondre à une demande commerciale ou supportMesures précontractuelles / intérêt légitime (art. 6.1.b/f)3 ans après dernier contact
CookiesCookies de session, de préférencesFonctionnement du SiteExécution du contrat / consentement (cookies non essentiels)Voir § 9

⚠️ Le mot de passe n'est jamais stocké en clair : il est haché par Supabase Auth (bcrypt). TRHOM n'y a aucun accès.

⚠️ Les données de carte bancaire sont gérées exclusivement par Stripe. TRHOM ne stocke aucune donnée de paiement.

4. Données traitées par TRHOM (en qualité de Sous-traitant)

4.1 Catégories de données et de personnes concernées

Les personnes concernées sont les salariés, stagiaires, apprentis et collaborateurs du Client. Les catégories de données susceptibles d'être traitées, selon ce que le Client saisit, sont :

CatégorieExemples
Identificationnom, prénom, nom de naissance, e-mail, téléphone, adresse postale, photo/avatar
État civildate de naissance
Vie professionnelleposte, matricule, type et dates de contrat, contrat PDF, horaires, plannings, heures travaillées/supplémentaires, congés, absences, soldes
Données économiquestaux horaire, salaire brut/net, avances sur salaire, majorations
Données réglementéesnuméro de sécurité sociale (NIR) (facultatif, à l'initiative du Client)
Données de santé (art. 9)absences de type « maladie », « accident du travail », « arrêt de travail » ; date de validité de la visite médicale ; rattachement SPSTI
Communicationsmessages échangés via la messagerie interne, pièces jointes
Données de connexion du salariéidentifiants du portail employé, journaux d'accès

4.2 Instructions et durée

TRHOM traite ces données uniquement sur instruction documentée du Client (paramétrage et utilisation de l'Application valant instructions), pour les seules finalités de fonctionnement du Service. Elles sont conservées pendant toute la durée de l'abonnement puis supprimées dans les 30 jours suivant la fin du contrat, sauf demande d'export préalable du Client ou obligation légale de conservation.

Le Client peut à tout moment exporter ses données via les fonctions d'export PDF / Excel intégrées à l'Application.

4.3 Minimisation — usage des champs libres

Les champs libres (descriptions d'événements, messages, notes) ne doivent pas contenir de données excessives ou sensibles non nécessaires (détails médicaux, opinions, données relatives à la vie privée hors cadre professionnel). Le Client est seul responsable du contenu qu'il y inscrit.

5. Destinataires des données

Les données sont accessibles :

  • aux personnels habilités de Giel COLAS (TRHOM) soumis à une obligation de confidentialité ;
  • aux sous-traitants techniques listés au § 6 ;
  • en cas d'obligation légale, aux autorités judiciaires, administratives ou fiscales compétentes.

Aucune donnée n'est revendue à des tiers à des fins commerciales.

6. Sous-traitants ultérieurs (article 28.4 RGPD)

Sous-traitantRôleLocalisation des donnéesGaranties
Supabase Inc.Base de données, authentification, stockageUE (Francfort, eu-central-1)DPA signé, conformité RGPD, chiffrement TLS et au repos
Vercel Inc.Hébergement front-end / APIUE (régions Europe)DPA, SCC (clauses contractuelles types), conformité RGPD
Stripe Payments Europe LtdTraitement des paiementsUE (Irlande)Responsable de traitement autonome pour le paiement ; PCI-DSS niveau 1
Google LLC (Google OAuth)Authentification fédérée (optionnelle, sur choix du Client)UE / États-UnisSCC, Data Privacy Framework
Apple Inc. (Sign in with Apple)Authentification fédérée (optionnelle)UE / États-UnisSCC, Data Privacy Framework
Web3Forms (Softgist)Acheminement des messages du formulaire de contact du SiteUE / États-UnisTraitement limité à l'e-mail de contact ; SCC
Resend, Inc. (le cas échéant)E-mails transactionnels (vérification, notifications) — solution de secoursUE / États-UnisDPA, SCC
Services de notification push (Apple APNs, Google FCM, Mozilla autopush)Acheminement des notifications push vers l'appareil de l'utilisateur qui les a activéesUE / États-UnisAcheminement technique chiffré ; SCC / Data Privacy Framework
Google Business Profile API (le cas échéant)Récupération d'avis Google sur instruction du ClientUE / États-UnisSCC, Data Privacy Framework

Conformément à l'article 28.2 du RGPD, le Client est informé et autorise par avance le recours aux sous-traitants ultérieurs listés ci-dessus. Toute modification de cette liste lui sera notifiée par e-mail ou via l'Application, avec un préavis raisonnable lui permettant de s'y opposer.

7. Transferts hors UE

Certains sous-traitants (Stripe, Google, Apple, Vercel) peuvent occasionnellement transférer des données vers les États-Unis. Ces transferts sont encadrés par :

  • les Clauses Contractuelles Types de la Commission européenne (décision 2021/914) ;
  • et/ou la certification au Data Privacy Framework UE-USA ;
  • ainsi que par des mesures techniques complémentaires (chiffrement en transit et au repos).

8. Sécurité des données

TRHOM met en œuvre des mesures techniques et organisationnelles appropriées au sens de l'article 32 du RGPD, notamment :

  • Chiffrement TLS 1.2+ pour tous les échanges réseau ;
  • Chiffrement au repos de la base de données Supabase ;
  • Hachage des mots de passe (bcrypt via Supabase Auth) ;
  • Chiffrement local des données mises en cache dans l'application de bureau (Electron — AES-256 via electron-store et safeStorage) ;
  • Politiques de Row Level Security (RLS) dans la base de données garantissant que chaque Client n'accède qu'à ses propres données et chaque salarié uniquement aux siennes ;
  • Cloisonnement strict des rôles (Administrateur TRHOM, Employeur, Employé) ;
  • Journalisation des accès sensibles (audit log) ;
  • Vérification serveur des jetons JWT (et non du seul cookie de session) ;
  • Webhooks signés (Stripe) ;
  • Limitation du débit (rate limiting) sur les endpoints sensibles ;
  • Sauvegardes automatiques quotidiennes via Supabase.

En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes, TRHOM s'engage à :

  • notifier la CNIL dans les 72 heures (art. 33 RGPD) lorsque TRHOM est responsable de traitement ;
  • informer sans délai le Client lorsque la violation concerne des données pour lesquelles TRHOM agit en qualité de sous-traitant (art. 33.2 RGPD), afin qu'il puisse à son tour notifier l'autorité compétente et, le cas échéant, les personnes concernées.

9. Cookies

Le Site utilise les cookies suivants :

CookieFinalitéTypeDurée
sb-*Session Supabase AuthStrictement nécessaireSession / 30 jours
__stripe_*Sécurisation paiement StripeStrictement nécessaireSession
Cookies de préférences (langue, thème)Confort d'usageFonctionnel12 mois

Les cookies strictement nécessaires sont exemptés de consentement (article 82 de la loi Informatique et Libertés). Aucun cookie publicitaire ou de mesure d'audience non exempté n'est déposé sans consentement préalable.

10. Droits des personnes concernées

Conformément aux articles 15 à 22 du RGPD, toute personne dispose des droits suivants :

  • droit d'accès à ses données ;
  • droit de rectification des données inexactes ;
  • droit à l'effacement (« droit à l'oubli ») ;
  • droit à la limitation du traitement ;
  • droit à la portabilité des données ;
  • droit d'opposition au traitement fondé sur l'intérêt légitime ;
  • droit de retirer son consentement à tout moment lorsque le traitement est fondé sur le consentement ;
  • droit de définir des directives relatives au sort de ses données après son décès ;
  • droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr — 3 place de Fontenoy, 75007 Paris).

10.1 Exercice des droits

  • Si vous êtes un Client de TRHOM (employeur) : adressez votre demande à contact@trhom.com. Une réponse vous sera apportée dans un délai d'un mois.
  • Si vous êtes un salarié d'un Client TRHOM : votre interlocuteur est votre employeur (Responsable de traitement). Vous pouvez néanmoins nous contacter à contact@trhom.com, nous transmettrons votre demande à l'employeur concerné.

Une preuve d'identité pourra vous être demandée en cas de doute raisonnable.

11. Durées de conservation (récapitulatif)

DonnéesDurée
Compte Client actifDurée de l'abonnement + 3 ans (prospection / preuve)
Données salariés (sous-traitance)Durée de l'abonnement + 30 jours
Documents salariés (contrats PDF, pièces jointes, avatars)Durée de l'abonnement + 30 jours
Messagerie interne (messages employeur ↔ salarié)Durée de l'abonnement + 30 jours
Factures, données comptables10 ans (article L.123-22 du Code de commerce)
Logs de connexion / sécurité12 mois
Logs d'audit12 mois (3 ans pour les actions sensibles)
Abonnements aux notifications pushJusqu'au retrait/désinstallation
Demandes via le formulaire de contact3 ans après le dernier contact
CookiesVoir § 9

12. Décision individuelle automatisée et profilage

TRHOM ne met en œuvre aucune décision produisant des effets juridiques ou vous affectant de manière significative qui serait fondée exclusivement sur un traitement automatisé au sens de l'article 22 du RGPD.

Les fonctionnalités d'alerte RH de l'Application (par exemple : signalement d'une amplitude journalière élevée, d'un dépassement d'heures supplémentaires, d'un repos hebdomadaire insuffisant, d'une visite médicale à renouveler) sont des aides à la décision purement indicatives, calculées à partir des seules données saisies par le Client. Elles ne prennent aucune décision automatique (paie, sanction, embauche, licenciement) : toute décision relève de la seule appréciation humaine du Client.

TRHOM ne réalise aucun profilage à des fins publicitaires ou de revente.

13. Mineurs

Le Service est destiné à des professionnels. Le Client garantit que les personnes dont il crée le compte salarié ont l'âge légal de travailler. Lorsqu'un Client traite, via l'Application, des données relatives à un mineur employé (ex. apprenti, stagiaire), il lui appartient, en sa qualité de responsable de traitement, de recueillir les autorisations requises et d'informer le représentant légal conformément à la réglementation applicable.

14. Modification de la politique

TRHOM se réserve le droit de modifier la présente politique. Toute modification substantielle fera l'objet d'une information préalable du Client par e-mail ou via l'Application.

15. Contact

  • E-mail (contact & RGPD) : contact@trhom.com
  • Adresse postale : Giel COLAS (TRHOM), BAT E, 80 quai des Queyries, 33100 Bordeaux, France
  • Autorité de contrôle : CNIL — 3 place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07 — www.cnil.fr

Une question sur ce document ? contact@trhom.com