Politique de confidentialité
Travail-Industrie traite des données personnelles pour opérer ses services. Cette page détaille quelles données, pour quoi faire, combien de temps, avec qui, et comment exercer vos droits. Conforme RGPD et Loi Informatique et Libertés.
§ 01 Responsable du traitement
Le responsable du traitement des données pour les activités éditoriales et le module emploi
de travail-industrie.com est LSEA, SAS au capital variable de 2 €,
immatriculée au RCS de Lille Métropole sous le numéro 919 777 151.
Contact : [email protected].
Lorsque vous saisissez les données de vos salariés dans le Dashboard Conformité, vous (l'employeur) êtes responsable du traitement au sens du RGPD — vous fixez les finalités et les moyens. LSEA (Travail-Industrie) agit comme sous-traitant au sens de l'article 28 RGPD : nous traitons les données pour votre compte, suivant vos instructions, et dans le cadre documenté du présent dispositif.
§ 02 Données collectées
Visite simple du site éditorial
Lors d'une visite sans compte, nous collectons automatiquement :
- adresse IP (anonymisée pour les outils d'analyse), user-agent, date/heure ;
- pages consultées, durée, référent ;
- identifiants de cookies techniques et, si acceptés, analytiques ou publicitaires (voir Politique cookies).
Création d'un compte
Nous collectons les données nécessaires à l'identification et à la communication :
- nom, prénom, adresse e-mail professionnelle ;
- mot de passe (stocké sous forme de hash bcrypt/argon2, jamais en clair) ;
- selon le cas d'usage : raison sociale, SIRET, secteur d'activité, nombre approximatif de salariés (Passeport) ; expérience professionnelle, CV, préférences métier (job board).
Usage du Dashboard Conformité Passeport de Prévention
En qualité de gestionnaire, vous enregistrez dans le Service des données concernant vos salariés :
- nom, prénom, nom de naissance, poste, établissement de rattachement ;
- historique des formations santé-sécurité, dates de validité, type de preuve (ADF/JDR), codes réglementaires (RNCP/RS) ;
- statut de déclaration auprès de la Caisse des Dépôts.
Les NIR saisis lors d'un export CSV compatible Caisse des Dépôts sont stockés exclusivement en cache session (15 minutes maximum), chiffrés côté serveur, et jamais persistés en base de données. Ils sont purgés automatiquement à l'expiration, à la fermeture de session, ou à la demande explicite de l'Utilisateur (« Oublier maintenant »).
Journaux de sécurité
Nous enregistrons, pour des raisons de sécurité et d'audit réglementaire : journaux d'accès (connexion, IP), journaux d'action (audit trail du Dashboard : qui a créé, modifié, supprimé quoi, quand — avec diff des champs modifiés au format JSON), journaux des emails envoyés (destinataire, sujet, statut).
§ 03 Finalités & bases légales
| Finalité | Base légale (art. 6 RGPD) |
|---|---|
| Gestion du compte utilisateur | Exécution du contrat (1.b) |
| Fourniture du Dashboard Conformité et du module emploi | Exécution du contrat (1.b) |
| Sous-traitance RGPD pour le compte de l'employeur (données salariés Passeport) | Exécution du contrat de sous-traitance (1.b) — art. 28 RGPD |
| Envoi d'alertes email automatiques d'expiration et de déclaration | Exécution du contrat (1.b) et intérêt légitime de l'employeur (1.f) |
| Prévention de la fraude, sécurité du système d'information, journaux | Intérêt légitime (1.f) |
| Respect des obligations légales (comptabilité, CNIL, réquisitions) | Obligation légale (1.c) |
| Envoi de communications marketing à des utilisateurs existants | Intérêt légitime (1.f) avec droit d'opposition à tout moment |
| Cookies non essentiels (analytiques, publicitaires) | Consentement (1.a) |
§ 04 Durées de conservation
| Donnée | Durée |
|---|---|
| Compte utilisateur actif | Tant que le compte est actif, puis 3 ans après dernière connexion |
| Compte supprimé (droit à l'oubli) | Suppression immédiate, sauf obligations légales (voir ci-dessous) |
| Données Passeport (salariés, habilitations) | Tant que l'Organisation existe ; soft delete sur 30 jours pour restauration, puis purge |
| Audit trail (journaux de modification) | 5 ans (finalité contentieuse + preuve de diligence réglementaire) |
| Factures | 10 ans (Code de commerce, art. L. 123-22) |
| Journaux techniques (logs d'accès) | 12 mois |
| NIR (numéro de sécurité sociale) | 15 minutes maximum (cache session, jamais persisté) |
| Cookies analytiques / publicitaires | 13 mois maximum |
§ 05 Destinataires & sous-traitants
Les données ne sont jamais revendues. Elles peuvent être partagées avec les sous-traitants strictement nécessaires à l'exploitation du Service, chacun lié par un contrat de sous-traitance respectant l'article 28 RGPD.
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Heroku (Salesforce) | Hébergement applicatif & base de données | UE (Francfort) |
| Mailgun (Sinch) | Envoi des emails transactionnels | UE (Francfort) |
| AWS S3 | Stockage des fichiers joints (CV, photos) | UE (Paris / Francfort) |
| Google Analytics / AdSense | Mesure d'audience & monétisation (sous réserve de consentement) | UE + transfert encadré vers les USA |
| Cloudflare | Protection DDoS & CDN (module Turnstile) | UE + points de présence mondiaux |
Les données du Dashboard Conformité ne sont communiquées à aucun tiers sans instruction explicite de l'employeur responsable du traitement. La Caisse des Dépôts ne reçoit que les fichiers que l'Utilisateur choisit de déposer lui-même sur Net-entreprises.fr.
§ 06 Transferts hors UE
Les données du Service sont hébergées au sein de l'Union Européenne. Les seuls transferts éventuels hors UE concernent :
- Google Analytics / AdSense : encadrés par les Clauses Contractuelles Types (décision 2021/914 de la Commission européenne) et le Data Privacy Framework États-Unis. Déclenchés uniquement si vous consentez aux cookies analytiques / publicitaires ;
- Cloudflare : transfert technique limité à l'analyse du trafic, fondé sur les CCT.
Aucun transfert hors UE n'est effectué pour les données du Dashboard Conformité.
§ 07 Sécurité & mesures techniques
- Chiffrement en transit : HTTPS/TLS 1.2 minimum sur l'ensemble du Service ;
- Chiffrement au repos : disques chiffrés par l'hébergeur Heroku, mots de passe hashés (bcrypt/argon2) ;
- Cloisonnement : chaque Organisation ne voit que ses propres données
(filtrage applicatif strict via
OrganisationContext) ; - Audit trail automatique sur toutes les actions sensibles (création, modification, suppression, déclaration) ;
- Sauvegardes chiffrées quotidiennes (rétention 14 jours) ;
- Soft delete sur les entités sensibles (récupérable 30 jours, évite la perte accidentelle) ;
- Monitoring des tentatives de connexion et alertes en cas d'activité suspecte.
§ 08 Passeport de Prévention — spécificités
Les données traitées dans le Dashboard Conformité Passeport de Prévention sont des données à caractère professionnel, collectées et traitées par l'employeur en exécution de ses obligations issues de la loi n° 2021-1018 du 2 août 2021 (création du Passeport de Prévention) et de ses textes d'application.
- Le NIR (numéro de sécurité sociale), lorsqu'il est requis pour un export Caisse des Dépôts, n'est jamais stocké en base — il transite exclusivement par un cache session de 15 minutes maximum et peut être purgé à tout moment par l'Utilisateur.
- Les formations SST déclarées ne révèlent pas de données de santé au sens de l'article 9 RGPD. Elles relèvent des obligations légales employeur en matière de prévention des risques professionnels.
- L'Éditeur ne procède à aucun profilage ni à aucune décision automatisée produisant des effets juridiques à partir des données salariés.
- Un contrat de sous-traitance type (DPA) peut être signé sur demande à [email protected].
§ 09 Vos droits RGPD
Conformément aux articles 15 à 22 du RGPD et à la loi Informatique et Libertés, vous disposez à tout moment des droits suivants sur vos données personnelles :
- Droit d'accès — obtenir une copie des données vous concernant ;
- Droit de rectification — corriger une information inexacte ou obsolète ;
- Droit à l'effacement (« droit à l'oubli ») — demander la suppression, sous réserve d'obligations légales contraires ;
- Droit à la limitation du traitement dans les cas prévus à l'art. 18 RGPD ;
- Droit à la portabilité — récupérer vos données dans un format structuré (le Service propose notamment des exports CSV et PDF directs depuis l'interface) ;
- Droit d'opposition — notamment pour les traitements fondés sur l'intérêt légitime ou la prospection commerciale ;
- Droit de définir des directives relatives au sort de vos données après votre décès (art. 85 loi Informatique et Libertés).
Ces droits peuvent être exercés à tout moment par email à [email protected], en précisant votre identité et la nature de votre demande. Une réponse est apportée dans un délai maximum d'un mois, pouvant être prolongé de deux mois en cas de complexité.
Pour supprimer directement votre compte, vous pouvez utiliser la page dédiée depuis votre espace personnel — la suppression y est définitive (sous réserve des obligations légales de conservation de certaines informations comme les factures).
§ 10 Cookies & traceurs
L'utilisation des cookies est détaillée dans la Politique cookies. Les cookies strictement nécessaires (session, sécurité CSRF) sont déposés sans consentement ; les cookies analytiques et publicitaires sont soumis à votre consentement préalable, que vous pouvez retirer à tout moment.
§ 11 Mineurs
Le Service s'adresse à des utilisateurs majeurs ou à des mineurs de plus de 15 ans agissant avec l'accord de leurs représentants légaux. Nous ne collectons pas sciemment de données de mineurs de moins de 15 ans. Si vous constatez qu'un mineur nous a transmis des données personnelles, nous vous invitons à nous contacter pour suppression immédiate.
§ 12 Réclamations & contact
Pour toute question relative à cette politique ou à l'exercice de vos droits :
[email protected]
Si vous estimez, après nous avoir contactés, que vos droits n'ont pas été respectés, vous pouvez adresser une réclamation à la CNIL :
- En ligne : www.cnil.fr/fr/plaintes
- Par courrier : CNIL, 3 place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07