Le responsable du traitement des données personnelles collectées via l'application S3-Hub est le client (société) ayant souscrit à la licence. Les coordonnées du responsable sont disponibles auprès de l'administrateur de votre organisation.

Les données personnelles collectées sont traitées pour les finalités suivantes :

• Gestion administrative des ressources humaines (contrats, absences, paie)
• Gestion des documents d'identité et permis de conduire
• Suivi des visites médicales obligatoires
• Gestion des notes de frais et remboursements
• Gestion du parc véhicules et des sinistres
• Communication interne (notes de service, actualités)
• Contrôle d'accès et authentification

Le traitement des données repose sur les bases légales suivantes :

• Exécution du contrat de travail (Art. 6.1.b RGPD) : gestion RH, paie, absences
• Obligation légale (Art. 6.1.c RGPD) : déclarations sociales, conservation des bulletins de paie
• Intérêt légitime (Art. 6.1.f RGPD) : sécurité du système d'information, gestion du parc véhicules
• Consentement (Art. 6.1.a RGPD) : utilisation de la photo, transfert de données à des tiers pour OCR

• Identité : nom, prénom, date de naissance, nationalité, numéro de sécurité sociale
• Coordonnées : adresse, téléphone, email
• Données bancaires : IBAN, BIC (chiffrées)
• Données professionnelles : contrats, postes, qualifications, historique
• Documents : pièces d'identité, permis de conduire, carte vitale
• Données de santé : visites médicales (dates et lieux uniquement)
• Données financières : notes de frais, bulletins de paie

• Données des salariés actifs : pendant toute la durée du contrat de travail
• Données des salariés ayant quitté l'entreprise : 5 ans après le départ (configurable), puis anonymisation automatique
• Bulletins de paie : 5 ans (obligation légale)
• Journaux d'audit : 5 ans (configurable)
• Documents OCR temporaires : 8 jours

Les données sont accessibles uniquement aux personnes habilitées au sein de votre organisation, selon le système de permissions par rôle et par module (brique).

Des sous-traitants techniques peuvent accéder aux données dans le cadre de leurs missions :

• Hébergeur : serveur dédié en Europe
• Mistral AI : traitement OCR de documents (avec DPA en place)

Aucun transfert de données hors de l'Union Européenne n'est effectué sans garanties appropriées.

• Chiffrement au repos des données sensibles (numéro SS, IBAN, BIC, permis, bulletins, adresses, téléphones, emails)
• Chiffrement en transit (HTTPS/TLS)
• Authentification par mot de passe hashé (BCrypt)
• Authentification à deux facteurs pour les administrateurs
• Isolation des données par tenant (client)
• Journalisation des accès et modifications
• Protection contre les attaques par force brute (verrouillage après 5 tentatives)

Conformément au RGPD, vous disposez des droits suivants :

• Droit d'accès (Art. 15) : obtenir une copie de vos données personnelles
• Droit de rectification (Art. 16) : corriger vos données inexactes
• Droit à l'effacement (Art. 17) : demander l'anonymisation de vos données
• Droit à la portabilité (Art. 20) : recevoir vos données dans un format structuré (JSON)
• Droit d'opposition (Art. 21) : vous opposer au traitement dans certains cas
• Droit au retrait du consentement (Art. 7) : retirer votre consentement à tout moment

Pour exercer vos droits, contactez l'administrateur de votre organisation ou le délégué à la protection des données (DPO) dont les coordonnées sont disponibles auprès de votre employeur.

Pour toute question relative à la protection de vos données personnelles, vous pouvez contacter :

• L'administrateur de votre organisation via l'application
• Le délégué à la protection des données (DPO) désigné par votre employeur
• La CNIL (Commission Nationale de l'Informatique et des Libertés) en cas de réclamation : www.cnil.fr