Travail-Industrie / Légal / Confidentialité Mise à jour · 21.04.2026

Politique de confidentialité

Travail-Industrie traite des données personnelles pour opérer ses services. Cette page détaille quelles données, pour quoi faire, combien de temps, avec qui, et comment exercer vos droits. Conforme RGPD et Loi Informatique et Libertés.

§ 01 Responsable du traitement

Le responsable du traitement des données pour les activités éditoriales et le module emploi de travail-industrie.com est LSEA, SAS au capital variable de 2 €, immatriculée au RCS de Lille Métropole sous le numéro 919 777 151. Contact : [email protected].

Cas particulier du Dashboard Conformité Passeport de Prévention
Lorsque vous saisissez les données de vos salariés dans le Dashboard Conformité, vous (l'employeur) êtes responsable du traitement au sens du RGPD — vous fixez les finalités et les moyens. LSEA (Travail-Industrie) agit comme sous-traitant au sens de l'article 28 RGPD : nous traitons les données pour votre compte, suivant vos instructions, et dans le cadre documenté du présent dispositif.

§ 02 Données collectées

Visite simple du site éditorial

Lors d'une visite sans compte, nous collectons automatiquement :

  • adresse IP (anonymisée pour les outils d'analyse), user-agent, date/heure ;
  • pages consultées, durée, référent ;
  • identifiants de cookies techniques et, si acceptés, analytiques ou publicitaires (voir Politique cookies).

Création d'un compte

Nous collectons les données nécessaires à l'identification et à la communication :

  • nom, prénom, adresse e-mail professionnelle ;
  • mot de passe (stocké sous forme de hash bcrypt/argon2, jamais en clair) ;
  • selon le cas d'usage : raison sociale, SIRET, secteur d'activité, nombre approximatif de salariés (Passeport) ; expérience professionnelle, CV, préférences métier (job board).

Usage du Dashboard Conformité Passeport de Prévention

En qualité de gestionnaire, vous enregistrez dans le Service des données concernant vos salariés :

  • nom, prénom, nom de naissance, poste, établissement de rattachement ;
  • historique des formations santé-sécurité, dates de validité, type de preuve (ADF/JDR), codes réglementaires (RNCP/RS) ;
  • statut de déclaration auprès de la Caisse des Dépôts.
NIR (numéro de sécurité sociale) — donnée sensible au sens du RGPD.
Les NIR saisis lors d'un export CSV compatible Caisse des Dépôts sont stockés exclusivement en cache session (15 minutes maximum), chiffrés côté serveur, et jamais persistés en base de données. Ils sont purgés automatiquement à l'expiration, à la fermeture de session, ou à la demande explicite de l'Utilisateur (« Oublier maintenant »).

Journaux de sécurité

Nous enregistrons, pour des raisons de sécurité et d'audit réglementaire : journaux d'accès (connexion, IP), journaux d'action (audit trail du Dashboard : qui a créé, modifié, supprimé quoi, quand — avec diff des champs modifiés au format JSON), journaux des emails envoyés (destinataire, sujet, statut).

§ 03 Finalités & bases légales

FinalitéBase légale (art. 6 RGPD)
Gestion du compte utilisateurExécution du contrat (1.b)
Fourniture du Dashboard Conformité et du module emploiExécution du contrat (1.b)
Sous-traitance RGPD pour le compte de l'employeur (données salariés Passeport)Exécution du contrat de sous-traitance (1.b) — art. 28 RGPD
Envoi d'alertes email automatiques d'expiration et de déclarationExécution du contrat (1.b) et intérêt légitime de l'employeur (1.f)
Prévention de la fraude, sécurité du système d'information, journauxIntérêt légitime (1.f)
Respect des obligations légales (comptabilité, CNIL, réquisitions)Obligation légale (1.c)
Envoi de communications marketing à des utilisateurs existantsIntérêt légitime (1.f) avec droit d'opposition à tout moment
Cookies non essentiels (analytiques, publicitaires)Consentement (1.a)

§ 04 Durées de conservation

DonnéeDurée
Compte utilisateur actifTant que le compte est actif, puis 3 ans après dernière connexion
Compte supprimé (droit à l'oubli)Suppression immédiate, sauf obligations légales (voir ci-dessous)
Données Passeport (salariés, habilitations)Tant que l'Organisation existe ; soft delete sur 30 jours pour restauration, puis purge
Audit trail (journaux de modification)5 ans (finalité contentieuse + preuve de diligence réglementaire)
Factures10 ans (Code de commerce, art. L. 123-22)
Journaux techniques (logs d'accès)12 mois
NIR (numéro de sécurité sociale)15 minutes maximum (cache session, jamais persisté)
Cookies analytiques / publicitaires13 mois maximum

§ 05 Destinataires & sous-traitants

Les données ne sont jamais revendues. Elles peuvent être partagées avec les sous-traitants strictement nécessaires à l'exploitation du Service, chacun lié par un contrat de sous-traitance respectant l'article 28 RGPD.

Sous-traitantRôleLocalisation
Heroku (Salesforce)Hébergement applicatif & base de donnéesUE (Francfort)
Mailgun (Sinch)Envoi des emails transactionnelsUE (Francfort)
AWS S3Stockage des fichiers joints (CV, photos)UE (Paris / Francfort)
Google Analytics / AdSenseMesure d'audience & monétisation (sous réserve de consentement)UE + transfert encadré vers les USA
CloudflareProtection DDoS & CDN (module Turnstile)UE + points de présence mondiaux

Les données du Dashboard Conformité ne sont communiquées à aucun tiers sans instruction explicite de l'employeur responsable du traitement. La Caisse des Dépôts ne reçoit que les fichiers que l'Utilisateur choisit de déposer lui-même sur Net-entreprises.fr.

§ 06 Transferts hors UE

Les données du Service sont hébergées au sein de l'Union Européenne. Les seuls transferts éventuels hors UE concernent :

  • Google Analytics / AdSense : encadrés par les Clauses Contractuelles Types (décision 2021/914 de la Commission européenne) et le Data Privacy Framework États-Unis. Déclenchés uniquement si vous consentez aux cookies analytiques / publicitaires ;
  • Cloudflare : transfert technique limité à l'analyse du trafic, fondé sur les CCT.

Aucun transfert hors UE n'est effectué pour les données du Dashboard Conformité.

§ 07 Sécurité & mesures techniques

  • Chiffrement en transit : HTTPS/TLS 1.2 minimum sur l'ensemble du Service ;
  • Chiffrement au repos : disques chiffrés par l'hébergeur Heroku, mots de passe hashés (bcrypt/argon2) ;
  • Cloisonnement : chaque Organisation ne voit que ses propres données (filtrage applicatif strict via OrganisationContext) ;
  • Audit trail automatique sur toutes les actions sensibles (création, modification, suppression, déclaration) ;
  • Sauvegardes chiffrées quotidiennes (rétention 14 jours) ;
  • Soft delete sur les entités sensibles (récupérable 30 jours, évite la perte accidentelle) ;
  • Monitoring des tentatives de connexion et alertes en cas d'activité suspecte.

§ 08 Passeport de Prévention — spécificités

Les données traitées dans le Dashboard Conformité Passeport de Prévention sont des données à caractère professionnel, collectées et traitées par l'employeur en exécution de ses obligations issues de la loi n° 2021-1018 du 2 août 2021 (création du Passeport de Prévention) et de ses textes d'application.

  • Le NIR (numéro de sécurité sociale), lorsqu'il est requis pour un export Caisse des Dépôts, n'est jamais stocké en base — il transite exclusivement par un cache session de 15 minutes maximum et peut être purgé à tout moment par l'Utilisateur.
  • Les formations SST déclarées ne révèlent pas de données de santé au sens de l'article 9 RGPD. Elles relèvent des obligations légales employeur en matière de prévention des risques professionnels.
  • L'Éditeur ne procède à aucun profilage ni à aucune décision automatisée produisant des effets juridiques à partir des données salariés.
  • Un contrat de sous-traitance type (DPA) peut être signé sur demande à [email protected].

§ 09 Vos droits RGPD

Conformément aux articles 15 à 22 du RGPD et à la loi Informatique et Libertés, vous disposez à tout moment des droits suivants sur vos données personnelles :

  • Droit d'accès — obtenir une copie des données vous concernant ;
  • Droit de rectification — corriger une information inexacte ou obsolète ;
  • Droit à l'effacement (« droit à l'oubli ») — demander la suppression, sous réserve d'obligations légales contraires ;
  • Droit à la limitation du traitement dans les cas prévus à l'art. 18 RGPD ;
  • Droit à la portabilité — récupérer vos données dans un format structuré (le Service propose notamment des exports CSV et PDF directs depuis l'interface) ;
  • Droit d'opposition — notamment pour les traitements fondés sur l'intérêt légitime ou la prospection commerciale ;
  • Droit de définir des directives relatives au sort de vos données après votre décès (art. 85 loi Informatique et Libertés).

Ces droits peuvent être exercés à tout moment par email à [email protected], en précisant votre identité et la nature de votre demande. Une réponse est apportée dans un délai maximum d'un mois, pouvant être prolongé de deux mois en cas de complexité.

Pour supprimer directement votre compte, vous pouvez utiliser la page dédiée depuis votre espace personnel — la suppression y est définitive (sous réserve des obligations légales de conservation de certaines informations comme les factures).

§ 10 Cookies & traceurs

L'utilisation des cookies est détaillée dans la Politique cookies. Les cookies strictement nécessaires (session, sécurité CSRF) sont déposés sans consentement ; les cookies analytiques et publicitaires sont soumis à votre consentement préalable, que vous pouvez retirer à tout moment.

§ 11 Mineurs

Le Service s'adresse à des utilisateurs majeurs ou à des mineurs de plus de 15 ans agissant avec l'accord de leurs représentants légaux. Nous ne collectons pas sciemment de données de mineurs de moins de 15 ans. Si vous constatez qu'un mineur nous a transmis des données personnelles, nous vous invitons à nous contacter pour suppression immédiate.

§ 12 Réclamations & contact

Pour toute question relative à cette politique ou à l'exercice de vos droits :
[email protected]

Si vous estimez, après nous avoir contactés, que vos droits n'ont pas été respectés, vous pouvez adresser une réclamation à la CNIL :