Politique de Confidentialité
Politique de Confidentialité — RGPD
Dernière mise à jour : [JJ/MM/AAAA] — Version 1.0
La présente politique décrit la manière dont [Nom Entreprise] (ci-après « TRHOM » ou « nous ») collecte, traite et protège les données à caractère personnel dans le cadre de l'utilisation du site trhom.fr et de l'application TRHOM (web et bureau).
Elle est rédigée conformément au Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée (« Informatique et Libertés »).
1. Identité du responsable de traitement / sous-traitant
- Éditeur : [Nom Entreprise], [forme juridique], SIRET [numéro]
- Siège social : [adresse complète]
- Contact RGPD : rgpd@trhom.com (ou contact@trhom.com)
- Délégué à la protection des données (DPO) : [Nom et coordonnées si désigné, sinon « non désigné — la désignation d'un DPO n'est pas obligatoire pour notre activité au sens de l'article 37 du RGPD »]
2. Double qualification — Point essentiel
TRHOM intervient sous deux qualifications distinctes selon les données concernées :
2.1 TRHOM est Responsable de traitement pour :
Les données concernant ses propres Clients (les employeurs / dirigeants qui souscrivent un abonnement) :
- compte utilisateur (e-mail, identifiants OAuth Google/Apple, mot de passe haché) ;
- données de facturation et de paiement (via Stripe) ;
- données d'usage et logs techniques de l'Application ;
- communications avec le support (e-mails, formulaires de contact).
2.2 TRHOM est Sous-traitant au sens de l'article 28 du RGPD pour :
L'ensemble des données concernant les salariés de nos Clients, que ces derniers saisissent ou importent dans l'Application dans le cadre de leur propre activité d'employeur.
Sont concernées notamment :
- les fiches salariés (nom, prénom, e-mail, téléphone, adresse, type de contrat, date d'embauche, photo / avatar éventuel, etc.) ;
- les plannings, heures travaillées, heures supplémentaires, congés, absences ;
- les messages échangés via la messagerie interne ;
- les documents éventuellement attachés ;
- les données d'accès au portail employé.
Le Client (employeur) est le Responsable de traitement de ces données. Il détermine les finalités et les moyens du traitement. TRHOM agit uniquement sur instruction documentée de son Client, conformément aux présentes et aux CGU/CGV qui valent accord de sous-traitance au sens de l'article 28.3 du RGPD.
Conséquences pour le Client :
- Il lui appartient d'informer ses salariés du traitement opéré via TRHOM (mention dans le contrat de travail, note de service ou registre des traitements de son entreprise).
- Il lui appartient de répondre aux demandes d'exercice de droits formulées par ses salariés (accès, rectification, effacement…).
- Il lui appartient de définir une base légale (exécution du contrat de travail, obligation légale, intérêt légitime) pour le traitement.
TRHOM apporte au Client une assistance raisonnable dans le respect de ces obligations.
3. Données collectées par TRHOM (en qualité de Responsable de traitement)
| Catégorie | Données | Finalité | Base légale | Durée de conservation |
|---|---|---|---|---|
| Compte | E-mail, mot de passe (haché par Supabase Auth), nom, prénom, identifiant OAuth | Création et gestion du compte | Exécution du contrat (art. 6.1.b) | Durée de l'abonnement + 3 ans |
| Entreprise | Raison sociale, ville, pays, logo | Configuration de l'espace | Exécution du contrat | Idem |
| Facturation | Nom, e-mail, identifiant client Stripe, historique des paiements | Facturation et comptabilité | Obligation légale (art. 6.1.c) | 10 ans (Code de commerce) |
| Connexion | Adresse IP, user-agent, date/heure, historique de connexion | Sécurité, audit | Intérêt légitime (art. 6.1.f) — sécurité du Service | 12 mois |
| Support | Messages envoyés au support | Traitement des demandes | Exécution du contrat | 3 ans après dernier contact |
| Cookies | Cookies de session, de préférences | Fonctionnement du Site | Exécution du contrat / consentement (cookies non essentiels) | Voir § 9 |
⚠️ Le mot de passe n'est jamais stocké en clair : il est haché par Supabase Auth (bcrypt). TRHOM n'y a aucun accès.
⚠️ Les données de carte bancaire sont gérées exclusivement par Stripe. TRHOM ne stocke aucune donnée de paiement.
4. Données traitées par TRHOM (en qualité de Sous-traitant)
Les données saisies par les Clients concernant leurs salariés sont conservées pendant toute la durée de l'abonnement puis supprimées dans les 30 jours suivant la fin du contrat, sauf demande d'export préalable du Client ou obligation légale de conservation.
Le Client peut à tout moment exporter ses données via les fonctions d'export PDF / Excel intégrées à l'Application.
5. Destinataires des données
Les données sont accessibles :
- aux personnels habilités de [Nom Entreprise] soumis à une obligation de confidentialité ;
- aux sous-traitants techniques listés au § 6 ;
- en cas d'obligation légale, aux autorités judiciaires, administratives ou fiscales compétentes.
Aucune donnée n'est revendue à des tiers à des fins commerciales.
6. Sous-traitants ultérieurs (article 28.4 RGPD)
| Sous-traitant | Rôle | Localisation des données | Garanties |
|---|---|---|---|
| Supabase Inc. | Base de données, authentification, stockage | UE (Frankfurt) — [à confirmer selon votre instance] | DPA signé, conformité RGPD, chiffrement TLS et au repos |
| Vercel Inc. | Hébergement front-end / API | UE (régions Europe) | DPA, SCC (clauses contractuelles types), conformité RGPD |
| Render Services Inc. | Hébergement applicatif | UE (Frankfurt) — [à confirmer] | DPA, SCC, conformité RGPD |
| Stripe Payments Europe Ltd | Traitement des paiements | UE (Irlande) | Responsable de traitement autonome pour le paiement ; PCI-DSS niveau 1 |
| Google LLC (Google OAuth) | Authentification fédérée (optionnelle, sur choix du Client) | UE / États-Unis | SCC, Data Privacy Framework |
| Apple Inc. (Sign in with Apple) | Authentification fédérée (optionnelle) | UE / États-Unis | SCC, Data Privacy Framework |
| [Prestataire e-mail transactionnel, ex. Resend / Brevo] | Envoi des e-mails (vérification, notifications) | UE | DPA, SCC |
| Google Business Profile API (le cas échéant) | Récupération d'avis Google sur instruction du Client | UE / États-Unis | SCC, Data Privacy Framework |
Conformément à l'article 28.2 du RGPD, le Client est informé et autorise par avance le recours aux sous-traitants ultérieurs listés ci-dessus. Toute modification de cette liste lui sera notifiée par e-mail ou via l'Application, avec un préavis raisonnable lui permettant de s'y opposer.
7. Transferts hors UE
Certains sous-traitants (Stripe, Google, Apple, Vercel) peuvent occasionnellement transférer des données vers les États-Unis. Ces transferts sont encadrés par :
- les Clauses Contractuelles Types de la Commission européenne (décision 2021/914) ;
- et/ou la certification au Data Privacy Framework UE-USA ;
- ainsi que par des mesures techniques complémentaires (chiffrement en transit et au repos).
8. Sécurité des données
TRHOM met en œuvre des mesures techniques et organisationnelles appropriées au sens de l'article 32 du RGPD, notamment :
- Chiffrement TLS 1.2+ pour tous les échanges réseau ;
- Chiffrement au repos de la base de données Supabase ;
- Hachage des mots de passe (bcrypt via Supabase Auth) ;
- Chiffrement local des données mises en cache dans l'application de bureau (Electron — AES-256 via electron-store et safeStorage) ;
- Politiques de Row Level Security (RLS) dans la base de données garantissant que chaque Client n'accède qu'à ses propres données et chaque salarié uniquement aux siennes ;
- Cloisonnement strict des rôles (Administrateur TRHOM, Employeur, Employé) ;
- Journalisation des accès sensibles (audit log) ;
- Vérification serveur des jetons JWT (et non du seul cookie de session) ;
- Webhooks signés (Stripe) ;
- Limitation du débit (rate limiting) sur les endpoints sensibles ;
- Sauvegardes automatiques quotidiennes via Supabase.
En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes, TRHOM s'engage à :
- notifier la CNIL dans les 72 heures (art. 33 RGPD) lorsque TRHOM est responsable de traitement ;
- informer sans délai le Client lorsque la violation concerne des données pour lesquelles TRHOM agit en qualité de sous-traitant (art. 33.2 RGPD), afin qu'il puisse à son tour notifier l'autorité compétente et, le cas échéant, les personnes concernées.
9. Cookies
Le Site utilise les cookies suivants :
| Cookie | Finalité | Type | Durée |
|---|---|---|---|
sb-* | Session Supabase Auth | Strictement nécessaire | Session / 30 jours |
__stripe_* | Sécurisation paiement Stripe | Strictement nécessaire | Session |
| Cookies de préférences (langue, thème) | Confort d'usage | Fonctionnel | 12 mois |
Les cookies strictement nécessaires sont exemptés de consentement (article 82 de la loi Informatique et Libertés). Aucun cookie publicitaire ou de mesure d'audience non exempté n'est déposé sans consentement préalable.
10. Droits des personnes concernées
Conformément aux articles 15 à 22 du RGPD, toute personne dispose des droits suivants :
- droit d'accès à ses données ;
- droit de rectification des données inexactes ;
- droit à l'effacement (« droit à l'oubli ») ;
- droit à la limitation du traitement ;
- droit à la portabilité des données ;
- droit d'opposition au traitement fondé sur l'intérêt légitime ;
- droit de retirer son consentement à tout moment lorsque le traitement est fondé sur le consentement ;
- droit de définir des directives relatives au sort de ses données après son décès ;
- droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr — 3 place de Fontenoy, 75007 Paris).
10.1 Exercice des droits
- Si vous êtes un Client de TRHOM (employeur) : adressez votre demande à rgpd@trhom.com. Une réponse vous sera apportée dans un délai d'un mois.
- Si vous êtes un salarié d'un Client TRHOM : votre interlocuteur est votre employeur (Responsable de traitement). Vous pouvez néanmoins nous contacter à rgpd@trhom.com, nous transmettrons votre demande à l'employeur concerné.
Une preuve d'identité pourra vous être demandée en cas de doute raisonnable.
11. Durées de conservation (récapitulatif)
| Données | Durée |
|---|---|
| Compte Client actif | Durée de l'abonnement + 3 ans (prospection / preuve) |
| Données salariés (sous-traitance) | Durée de l'abonnement + 30 jours |
| Factures, données comptables | 10 ans (article L.123-22 du Code de commerce) |
| Logs de connexion / sécurité | 12 mois |
| Logs d'audit | 12 mois (3 ans pour les actions sensibles) |
| Cookies | Voir § 9 |
12. Modification de la politique
TRHOM se réserve le droit de modifier la présente politique. Toute modification substantielle fera l'objet d'une information préalable du Client par e-mail ou via l'Application.
13. Contact
- E-mail RGPD : rgpd@trhom.com (ou contact@trhom.com)
- Adresse postale : [Nom Entreprise], [adresse complète]
- Autorité de contrôle : CNIL — 3 place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07 — www.cnil.fr
Une question sur ce document ? contact@trhom.com