Politique de confidentialité

Version 1.0 — Dernière mise à jour : 28 mai 2026

Sommaire

  1. Préambule et identité du responsable de traitement
  2. Champ d'application
  3. Articulation responsable de traitement / sous-traitant
  4. Catégories de données collectées
  5. Finalités et bases légales du traitement
  6. Spécificités liées au métier EPI (photos, signatures, géolocalisation, habilitations)
  7. Durées de conservation
  8. Destinataires des données
  9. Sous-traitants ultérieurs (art. 28 RGPD)
  10. Transferts de données hors Union européenne
  11. Sécurité des données (art. 32 RGPD)
  12. Violations de données (art. 33 et 34 RGPD)
  13. Cookies et traceurs
  14. Droits des personnes concernées
  15. Mineurs
  16. Décisions automatisées et profilage
  17. Mise à jour de la présente politique
  18. Contact DPO et réclamation auprès de l'autorité de contrôle

1. Préambule et identité du responsable de traitement

La présente politique de confidentialité (ci-après la « Politique ») a pour objet d'informer les personnes concernées des conditions dans lesquelles la société HC SOFT (exploitant la marque commerciale déposée « Panops »), Société par Actions Simplifiée (SAS) au capital de 5 000 euros, immatriculée au Registre du Commerce et des Sociétés de Mâcon sous le numéro SIREN 102 544 798 (SIRET 102 544 798 00014, TVA intracommunautaire FR70102544798), dont le siège social est situé 520 chemin du Voisinet, 71850 Charnay-lès-Mâcon (ci-après l'« Éditeur »), procède au traitement de leurs données à caractère personnel dans le cadre de l'exploitation de la plateforme logicielle « EPI SaaS » (ci-après la « Plateforme »), accessible en mode SaaS via son interface web et son application mobile iOS et Android.

La présente Politique est établie en conformité avec le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (ci-après le « RGPD »), ainsi qu'avec la loi n° 78-17 du 6 janvier 1978 modifiée, dite « Informatique et Libertés ».

Le délégué à la protection des données (DPO) de l'Éditeur peut être contacté à l'adresse suivante : contact@panops.fr, ou par courrier postal à l'adresse du siège social précisée ci-avant, à l'attention du DPO.


2. Champ d'application

La présente Politique s'applique à l'ensemble des traitements de données à caractère personnel mis en œuvre par l'Éditeur dans le cadre de la fourniture de la Plateforme : interface web, application mobile native iOS et Android, fonctionnalités annexes (notifications push, exports documentaires, intégrations tierces).

Sont concernées les catégories de personnes suivantes :

  • les utilisateurs disposant d'un compte sur la Plateforme, quel que soit leur rôle (Super Admin de l'Éditeur, administrateurs et commerciaux des distributeurs partenaires — ci-après les « Dealers » —, administrateurs, managers, techniciens contrôleurs et utilisateurs en lecture seule des clients finaux employeurs — ci-après les « Clients ») ;
  • les salariés porteurs d'équipements de protection individuelle dont les données sont enregistrées dans la Plateforme par leur employeur, agissant en qualité de Client ;
  • les contrôleurs externes mandatés ponctuellement par un Client pour réaliser des inspections ;
  • les prospects et visiteurs du site institutionnel de l'Éditeur.

3. Articulation responsable de traitement / sous-traitant

Compte tenu de l'architecture commerciale B2B2B de la Plateforme, l'Éditeur intervient à un double titre :

  • En qualité de responsable de traitement, au sens de l'article 4, 7° du RGPD, pour les traitements relatifs à la gestion des comptes utilisateurs de la Plateforme, à la facturation, à la sécurité du service, aux journaux d'audit (audit logs) ainsi qu'aux opérations de prospection commerciale qu'il met en œuvre pour son propre compte ;
  • En qualité de sous-traitant, au sens de l'article 4, 8° du RGPD, pour les traitements opérés sur instructions documentées du Client portant sur les données des salariés porteurs d'EPI dont ce dernier est l'employeur (photographies d'équipements, signatures contradictoires, attributions nominatives d'EPI, données d'habilitation des contrôleurs internes au Client).

Les relations entre le Client et l'Éditeur sont régies par un accord de traitement des données (Data Processing Agreement — DPA) annexé aux conditions générales d'utilisation de la Plateforme, qui définit l'objet, la durée et la nature des traitements, les catégories de données et de personnes concernées, les obligations et droits du responsable de traitement, ainsi que les mesures techniques et organisationnelles mises en œuvre par l'Éditeur.


4. Catégories de données collectées

Les données sont collectées soit directement auprès de la personne concernée (utilisateur de la Plateforme), soit indirectement par l'intermédiaire de l'employeur (Client) ou du distributeur partenaire (Dealer) habilité.

CatégorieExemples concrets de donnéesSource / Collecteur
IdentitéNom, prénom, téléphone professionnel, fonctionSaisi par le Client ou l'utilisateur à l'inscription
Compte & authentificationEmail professionnel, mot de passe haché (bcrypt), rôle (SUPER_ADMIN, DEALER_ADMIN, TECHNICIAN, etc.), tenant_id, JWT (15 min), refresh token (30 j), codes MFA, tokens trusted deviceSystème (généré) + utilisateur (MFA)
Salariés porteurs d'EPINom, prénom, email pro, téléphone, numéro employé interne, dates embauche/départ, affectations EPI, tags métierSaisi par le Client (CLIENT_ADMIN, MANAGER)
EPI (équipements)Désignation, marque, modèle, numéro de série, code-barres, RFID, dates de fabrication / mise en service / péremption / dernier contrôle, statut (IN_SERVICE, TO_INSPECT, DECOMMISSIONED), notes techniquesSaisi par Dealer / Client lors de la mise en service
Inspections & contrôlesDate, lieu (texte), type (PPE_PERIODIC, PPE_POST_INCIDENT, VEHICLE_VGP, etc.), résultat PASS/FAIL, notes contrôleur, rapport PDF généréSaisi par le technicien habilité (canControlPPE = true)
Photos & signaturesPhotos EPI (max 20 par inspection, EXIF date/GPS conservé), signature manuscrite du contrôleur, signature contradictoire du salarié, adresse du salarié au moment du contrôleCapture in situ (mobile/web) lors de l'inspection
Certifications contrôleursType d'EPI certifié, URL du certificat PDF, dates d'obtention et d'expiration, organisme certificateurTéléversé par le contrôleur ou son administrateur
Logs d'audit (History)Entité modifiée, action (CREATE/UPDATE/DELETE), valeurs avant/après, identifiant utilisateur, mode (NORMAL/IMPERSONATION), tenant impersonné, horodatageSystème (automatique)
Logs de connexionAdresse IP, user-agent, date/heure, succès/échec, identifiant utilisateurSystème (automatique)
GéolocalisationLatitude/longitude des prises de vue lors d'une inspection (EXIF + champ inspection_location) — finalité preuve juridiqueCapteur mobile (consentement préalable du contrôleur)
Demandes d'inspection externeEmail inspecteur externe, nom, entreprise, token sécurisé valable 48 h, PDF généréSaisi par le Client demandeur
Biométrie mobile (locale)Touch ID / Face ID — empreinte/visage traités exclusivement en local par expo-local-authentication. Aucune donnée biométrique n'est transmise au serveur ni stockée par l'Éditeur.Appareil de l'utilisateur uniquement

Note importante sur la biométrie. Conformément à l'article 9 du RGPD, les données biométriques sont des données sensibles. EPI SaaS ne traite aucune donnée biométrique : le déverrouillage par empreinte ou reconnaissance faciale s'effectue uniquement sur l'appareil de l'utilisateur (Secure Enclave Apple / Trusted Execution Environment Android). Seul un signal binaire de réussite ou d'échec de l'authentification locale est échangé. Ce mécanisme ne relève pas de l'article 9 du RGPD.


5. Finalités et bases légales du traitement

Conformément à l'article 6 du RGPD, chaque finalité repose sur une base légale identifiée.

#FinalitéBase légale (art. 6 RGPD)
1Fournir le service SaaS (création de compte, authentification, attribution des rôles, gestion du tenant, facturation de l'abonnement)Exécution du contrat (art. 6.1.b)
2Assurer la conformité au contrôle annuel EN 365 des EPI antichute (planification, suivi, alertes J-15, génération de rapports)Obligation légale (art. 6.1.c) — Code du travail art. L.4121-1 et R.4323-95
3Tracer les inspections et conserver les preuves juridiques (signatures contradictoires, photos horodatées et géolocalisées, rapports PDF) en cas de contentieux ou d'accident du travailObligation légale (art. 6.1.c) — Code du travail art. L.4711-1 et suivants
4Garantir l'habilitation des contrôleurs (vérification des certifications, alertes d'expiration) conformément aux règlements R408/R457/R478 et à l'article R.4323-104 du Code du travailObligation légale (art. 6.1.c)
5Identifier les EPI mis hors service après chute ou incident (passage automatique au statut TO_INSPECT post-incident)Obligation légale (art. 6.1.c)
6Sécuriser l'accès à la Plateforme (MFA, trusted devices, détection d'intrusion, logs de connexion, authentification biométrique locale)Intérêt légitime (art. 6.1.f) — sécurité du SI
7Assurer la traçabilité des actions (logs d'audit History, badge orange impersonation, traçage des accès par le personnel de l'Éditeur)Obligation légale (art. 6.1.c) et intérêt légitime (art. 6.1.f)
8Permettre les inspections par contrôleur externe via lien sécurisé temporaire (token 48 h)Exécution du contrat (art. 6.1.b)
9Envoyer les notifications opérationnelles (alertes péremption EPI, échéances de contrôle, impersonation) par email et push mobileExécution du contrat (art. 6.1.b)
10Améliorer le service et corriger les bugs (monitoring d'erreurs, données pseudonymisées)Intérêt légitime (art. 6.1.f)
11Respecter les obligations comptables et fiscales (facturation, abonnements)Obligation légale (art. 6.1.c)
12Répondre aux demandes des autorités (réquisitions judiciaires, inspection du travail, CARSAT)Obligation légale (art. 6.1.c)
13Prospection commerciale et mesure d'audience non exemptéeConsentement (art. 6.1.a)

Les finalités fondées sur l'intérêt légitime font l'objet d'un test de mise en balance documenté, disponible sur demande auprès du DPO. Les personnes concernées disposent d'un droit d'opposition (art. 21 RGPD) sur ces traitements.


6. Spécificités liées au métier EPI

6.1. Pourquoi ces traitements sensibles sont nécessaires

La gestion d'un parc d'EPI antichute n'est pas un acte purement administratif : il s'agit d'une obligation légale de sécurité pesant sur l'employeur, dont la mauvaise exécution engage sa responsabilité civile et pénale en cas d'accident du travail.

Cadre légal applicable :

  • Article L.4121-1 du Code du travail : l'employeur prend les mesures nécessaires pour assurer la sécurité et protéger la santé physique et mentale des travailleurs (obligation de résultat selon la jurisprudence constante de la Cour de cassation).
  • Article R.4323-95 du Code du travail : les EPI doivent faire l'objet de vérifications périodiques par des personnes qualifiées.
  • Article R.4323-104 du Code du travail : ces vérifications sont effectuées par des personnes qualifiées et désignées par l'employeur.
  • Norme NF EN 365 : impose un contrôle au minimum annuel des EPI antichute, formalisé par un compte rendu écrit signé par le contrôleur, archivé et tenu à la disposition de l'inspection du travail.
  • Recommandations CNAM R408, R457, R478 : encadrent le travail en hauteur, le montage des échafaudages et les ancrages.

En cas d'accident grave ou mortel, l'employeur doit pouvoir produire la traçabilité complète de l'EPI impliqué, la preuve que le contrôleur était habilité et la preuve que le salarié a été informé du résultat du contrôle. L'absence de ces éléments expose à une qualification de faute inexcusable (art. L.452-1 CSS), voire à des poursuites pénales pour mise en danger d'autrui (art. 223-1 du Code pénal) ou homicide involontaire (art. 221-6 du Code pénal).

6.2. Photos d'équipements et de contrôle

Finalité. Les photos prises lors d'un contrôle EPI servent à prouver l'état réel de l'équipement au moment de la vérification : identification visuelle d'un défaut (couture rompue, marquage effacé, déformation d'un mousqueton, oxydation, etc.), confirmation du numéro de série, archivage de l'état général.

Métadonnées EXIF. L'application mobile conserve les métadonnées EXIF : date et heure de prise de vue, modèle d'appareil, coordonnées GPS si la géolocalisation est activée. Cette conservation est nécessaire pour ancrer juridiquement la date et le lieu du contrôle. Sans ces métadonnées, une photo perd l'essentiel de sa valeur probatoire.

Stockage non destructif. Les photos sont stockées sans compression destructive, afin de préserver leur intégrité comme élément de preuve.

Cas particulier — photo du salarié portant l'EPI. Une telle photo n'est pas requise par défaut par la norme EN 365 et ne doit pas être collectée systématiquement. Si elle est prise (par exemple pour documenter le mauvais ajustement d'un harnais), elle nécessite alors :

  • le consentement explicite du salarié,
  • une information préalable par l'employeur (panneau d'affichage, livret d'accueil, note de service).

Le contrôleur est invité, par défaut, à cadrer ses photos sur l'équipement seul.

6.3. Signatures contradictoires

La norme EN 365 impose une signature contradictoire sur le rapport de contrôle, recouvrant deux actes juridiques distincts :

Signature du contrôleur (acte professionnel). Le contrôleur engage sa responsabilité professionnelle en attestant du résultat du contrôle (CONFORME / À REFORMER / NON CONFORME). Cette signature constitue un acte professionnel relevant de son habilitation, et n'est pas révocable au sens du consentement RGPD.

Signature du salarié (attestation contradictoire — pas un consentement). La signature du salarié utilisateur n'est pas un consentement au sens du RGPD : c'est une attestation de prise de connaissance du résultat du contrôle de l'EPI qui lui est attribué. Elle ne peut donc pas être retirée rétroactivement.

Dissensus accepté. Le salarié reste libre de refuser de signer ou d'annoter le rapport pour exprimer un désaccord. Ce dissensus est enregistré tel quel dans le rapport. Il ne remet pas en cause la validité juridique du contrôle, mais peut être déterminant en cas d'accident ultérieur.

Base légale. Obligation légale (art. 6.1.c RGPD) — Code du travail art. R.4323-95 et R.4323-104, norme EN 365.

6.4. Géolocalisation lors des contrôles

Finalité strictement limitée. La géolocalisation captée par l'application mobile a pour seul objectif l'ancrage juridique du lieu de contrôle.

Ce que la Plateforme NE FAIT PAS :

  • aucun suivi en continu du salarié ni du contrôleur ;
  • aucun traçage des déplacements entre deux contrôles ;
  • aucune agrégation comportementale (temps passé sur site, itinéraires, etc.) ;
  • aucune remontée GPS en arrière-plan lorsque l'application n'est pas activement utilisée pour un contrôle.

Mécanisme technique. La position GPS est captée au moment précis où le contrôleur prend une photo d'inspection (métadonnées EXIF) et/ou enregistre l'inspection (champ inspection.location). Elle est ensuite stockée dans l'enregistrement d'inspection correspondant, et nulle part ailleurs.

Information transparente. L'application mobile affiche une mention claire au contrôleur lors de l'activation de la géolocalisation, et la finalité reste consultable dans les paramètres.

6.5. Habilitations des contrôleurs (certifications)

Pour garantir que seul un contrôleur dûment habilité peut valider une inspection, la Plateforme traite : type d'EPI certifié, organisme certificateur, certificat PDF, date d'obtention et date d'expiration, statut (VALID, EXPIRED, REVOKED).

Une inspection ne peut être validée informatiquement que si le contrôleur possède l'attribut canControlPPE = true et une certification correspondante au statut VALID. Cette règle est bloquante dans l'application.

Base légale : obligation légale (R.4323-104 Code du travail). Conservation : durée de validité de la certification + 5 ans après expiration.

6.6. Conséquences d'un refus de fournir certaines données

SituationConséquence
Salarié refusant de signer un rapport de contrôleLe dissensus est enregistré. L'inspection reste juridiquement valable : l'employeur a satisfait à son obligation de vérification
Salarié refusant d'être pris en photoAcceptable — la photo du salarié n'est pas systématique et doit être évitée par défaut
Contrôleur refusant de fournir une certification valideImpossibilité technique de valider une inspection : la sécurité juridique de l'employeur ne peut être assurée
Refus d'activer la géolocalisation sur l'application contrôleurLe contrôle reste possible mais perd l'ancrage GPS — recommandation forte de l'activer pour la valeur probatoire

6.7. Articulation avec le DUERP et l'information des salariés

Les données collectées alimentent directement la documentation obligatoire de l'employeur : DUERP (Document Unique d'Évaluation des Risques Professionnels — art. R.4121-1 du Code du travail), livret d'accueil sécurité, fiches d'exposition, rapports remis à l'inspection du travail ou à la CARSAT.

L'obligation d'informer les salariés sur les traitements de données les concernant incombe à l'employeur (Client final de la Plateforme), en sa qualité de responsable de traitement. Cette information doit prendre la forme :

  • d'une note de service ou d'un avenant au livret d'accueil sécurité ;
  • d'une information du CSE (art. L.2312-8 et L.2312-38 du Code du travail) ;
  • d'un affichage dans les locaux concernés lorsque des photos peuvent être prises.

Notice-type fournie par l'Éditeur. L'Éditeur met à disposition de chaque Client une notice d'information modèle, téléchargeable depuis l'espace administrateur, à adapter et diffuser auprès des salariés. L'Éditeur ne se substitue en aucun cas à l'employeur dans cette obligation d'information.


7. Durées de conservation

Les durées correspondent à la conservation en base active, suivie le cas échéant d'un archivage intermédiaire à accès restreint (délibération CNIL n° 2005-213 sur les archives).

Catégorie de donnéesBase activeArchivage intermédiaireJustification réglementaire
Compte utilisateur actifDurée de la relation contractuelle+ 5 ans après résiliationPrescription civile (art. 2224 C. civ.)
Compte inactif3 ans après dernière connexion → suppression / anonymisationRecommandation CNIL
Données salariés (fiches, affectations EPI)Durée du contrat de travail+ 5 ans après départPrescription prud'homale (art. L.1471-1 C. trav.)
EPI (cycle de vie)Durée d'utilisation jusqu'à décommission+ 5 ans après mise au rebutTraçabilité matériels de sécurité
Inspections / preuves de contrôleDurée d'utilisation de l'EPI+ 5 ans après fin de vie de l'EPICode du travail art. L.4711-1 et suivants — éléments de prévention santé/sécurité, prescription en matière d'accident du travail
Photos EXIF (géoloc) + signatures contradictoiresIdem inspection associée+ 5 ans après décommission EPIAligné sur la durée des inspections — valeur probatoire
Certifications contrôleursDurée de validité+ 5 ans après expirationPreuve d'habilitation post-contrôle
Logs d'audit History1 an minimumjusqu'à 6 ans maximumRecommandation CNIL — équilibre sécurité / minimisation
Logs de connexion (IP, user-agent)1 anLCEN art. 6-II
Tokens JWT / refresh tokenJWT : 15 min (mémoire) — Refresh : 30 j (rotation)Strictement nécessaire à l'authentification
Codes MFA / tokens trusted deviceDurée de validité (5 min OTP — 30 jours trusted device)Purge à expirationSécurité du SI
Tokens d'invitation / reset passwordDurée de validité (24 à 72 h)Purge automatiqueSécurité du SI
Tokens d'inspection externe48 hPurge automatiqueStrictement nécessaire à la finalité
Cookies fonctionnels / analytiques13 mois maximum (info collectée : 25 mois max)Délibération CNIL n° 2020-091
Factures / pièces comptables10 ansCode de commerce art. L.123-22
Données traitées au titre d'un litigeJusqu'à épuisement des voies de recoursIntérêt légitime — défense en justice
Sauvegardes techniquesRotation glissante de 30 joursSécurité (PRA) — non accessible en exploitation

Anonymisation. À l'échéance des durées, les données sont supprimées ou anonymisées de manière irréversible. Les données anonymisées peuvent être conservées à des fins statistiques.


8. Destinataires des données

Les données sont accessibles, dans la stricte limite du besoin d'en connaître, aux destinataires suivants :

  • Personnel habilité de l'Éditeur : équipes support N1/N2, ingénieurs DevOps, DPO. Chaque accès est tracé dans les logs d'audit. Les accès en mode IMPERSONATION sont signalés par un badge orange visible et journalisés systématiquement.
  • Clients de la Plateforme : chaque Client (tenant) accède exclusivement à ses propres données, grâce au filtrage tenant_id strict appliqué par défaut. Les rôles DEALER_ADMIN accèdent aux données des Clients finaux qui leur sont rattachés contractuellement.
  • Sous-traitants techniques : voir section 9.
  • Autorités publiques : inspection du travail, autorités judiciaires, sur réquisition légale uniquement, avec contrôle de la régularité de la demande par le DPO.
  • Tiers contractuels du Client : contrôleurs externes mandatés par le Client (accès limité par token 48 h à une inspection unique).

Aucune donnée n'est cédée, louée ou échangée à des fins commerciales avec des tiers.


9. Sous-traitants ultérieurs (art. 28 RGPD)

L'Éditeur a recours aux sous-traitants suivants, encadrés par un DPA conforme à l'article 28 du RGPD. La liste à jour est disponible sur demande auprès du DPO et notifiée aux Clients lors de toute évolution, conformément aux stipulations du DPA (droit d'objection motivée).

Sous-traitantFinalitéCatégories de donnéesLieu d'hébergementTransfert hors UEGaranties
Supabase (Supabase Inc.)Base de données PostgreSQL principale, authentificationToutes catégories applicatives (sauf fichiers binaires)Région UE imposée (Frankfurt eu-central-1 ou Paris)Non si région EU configuréeDPA Supabase, chiffrement at-rest AES-256, TLS 1.3 en transit, sauvegardes chiffrées
AWS S3 (Amazon Web Services EMEA SARL)Stockage des fichiers binaires : photos d'inspection, signatures, certificats PDF, rapportsPhotos EXIF, signatures, PDFsRégions UE : Paris (eu-west-3) ou Francfort (eu-central-1)Non (région UE) — la maison-mère US reste soumise au CLOUD ActDPA AWS, CCT UE 2021/914, chiffrement SSE-S3, contrôle d'accès IAM strict, journalisation CloudTrail
Sentry (Functional Software Inc.)Monitoring d'erreurs applicatives, supervision techniqueStack traces, identifiant utilisateur pseudonymisé, user-agent, URL — scrubbing PII activéÉtats-UnisOui — États-UnisDPA Sentry, CCT UE 2021/914, adhésion au EU-U.S. Data Privacy Framework, scrubbing automatique, rétention 90 jours
Expo (650 Industries Inc.)Push notifications mobiles (proxy vers APNs et FCM), mises à jour OTAToken push, identifiant appareil, payload notificationÉtats-UnisOui — États-UnisDPA Expo, CCT UE 2021/914, transit chiffré, pas de stockage persistant des contenus de notification

Engagement de l'Éditeur. Privilégier systématiquement les sous-traitants hébergés dans l'UE. Tout nouveau sous-traitant fait l'objet d'une analyse préalable (et d'une AIPD si nécessaire) et est notifié aux Clients via mise à jour de la présente Politique.


10. Transferts de données hors Union européenne

Les transferts hors UE sont limités au strict nécessaire et exclusivement encadrés par les garanties suivantes (art. 44 à 49 RGPD) :

  • Clauses Contractuelles Types (CCT) de la Commission européenne du 4 juin 2021 (décision 2021/914), signées avec chaque sous-traitant établi hors UE.
  • EU-U.S. Data Privacy Framework (DPF) lorsque le sous-traitant est certifié auprès du Department of Commerce américain (vérification annuelle par le DPO sur le registre dataprivacyframework.gov).
  • Mesures techniques complémentaires post-arrêt Schrems II (CJUE C-311/18) : chiffrement en transit (TLS 1.3) et au repos, pseudonymisation, scrubbing des données personnelles dans les outils de monitoring, minimisation des données transmises.
  • Transfer Impact Assessment documenté par le DPO pour chaque sous-traitant hors UE.

L'Éditeur s'engage à privilégier l'hébergement dans l'UE pour toutes les données substantielles (base de données métier, fichiers d'inspection, photos, signatures) et à informer les Clients de toute évolution.


11. Sécurité des données (art. 32 RGPD)

L'Éditeur met en œuvre les mesures techniques et organisationnelles appropriées au risque, conformément à l'article 32 du RGPD, en s'appuyant sur les recommandations de l'ANSSI et le référentiel ISO 27001 comme cadre de référence (sans certification formelle revendiquée à ce stade).

11.1. Chiffrement en transit et au repos

  • Toutes les communications sont chiffrées via TLS 1.2 minimum (HSTS activé).
  • Base de données PostgreSQL : hébergée sur Supabase en région UE, chiffrement au repos activé par défaut.
  • Fichiers (photos, signatures, rapports PDF) : stockés sur AWS S3 avec SSE (Server-Side Encryption) activé.
  • Accès aux fichiers S3 : exclusivement via URLs signées à durée de vie limitée (typiquement quelques minutes).

11.2. Authentification et gestion des secrets

  • Les mots de passe sont hashés avec bcrypt — jamais stockés en clair, jamais accessibles à un collaborateur.
  • Access token JWT : durée de vie courte (15 minutes), conservé en mémoire (jamais dans localStorage).
  • Refresh token : durée de vie longue (30 jours), avec stockage différencié :
    • Web : cookie httpOnly + SameSite=Strict + Secure ;
    • Mobile : conservé dans expo-secure-store (Keychain iOS / Keystore Android, adossé à Secure Enclave / TEE).
  • Protection CSRF dédiée pour les requêtes sensibles côté web.
  • MFA disponible pour tous les utilisateurs, obligatoire pour les rôles SUPER_ADMIN, DEALER_ADMIN, CLIENT_ADMIN. Codes OTP hashés en base.

11.3. Cloisonnement multi-tenant

  • Filtrage tenant_id obligatoire sur toutes les requêtes.
  • Guards NestJS (AuthGuard + TenantGuard) sur l'ensemble des contrôleurs.
  • Row-Level Security PostgreSQL comme défense en profondeur.
  • Tests d'isolation multi-tenant automatisés en intégration continue à chaque commit.

11.4. Contrôle d'accès basé sur les rôles (RBAC)

Le système repose sur un RBAC à 7 rôles : SUPER_ADMIN, DEALER_ADMIN, COMMERCIAL, TECHNICIAN, CLIENT_ADMIN, MANAGER, READ_ONLY. Principe du moindre privilège appliqué. La validation d'une inspection EPI exige en outre l'habilitation canControlPPE et une certification contrôleur valide.

11.5. Mesures spécifiques à l'application mobile

  • Biométrie locale uniquement : expo-local-authentication délègue la vérification au système d'exploitation. Aucune empreinte ni gabarit ne sort de l'appareil. Le mécanisme ne relève pas de l'article 9 du RGPD.
  • Stockage des refresh tokens dans Keychain/Keystore (hardware-backed).
  • Détection de jailbreak / root et certificate pinning : progressivement déployés.

11.6. Traçabilité et audit

  • Toute modification métier génère une entrée History (entité, action, valeurs avant/après, utilisateur, mode NORMAL/IMPERSONATION, tenant impersonné, horodatage).
  • Le mode IMPERSONATION est systématiquement tracé et signalé par un bandeau orange permanent et obligatoire dans l'interface.
  • Aucun accès anonyme aux données Client par le personnel de l'Éditeur.
  • Logs Sentry : erreurs 5xx, tentatives de connexion échouées, conservés 1 an (conforme à la LCEN).

11.7. Mesures organisationnelles

  • Formation RGPD et clause de confidentialité pour tout collaborateur ayant accès aux systèmes.
  • Revue régulière des habilitations (au moins annuelle).
  • Procédure de gestion des incidents documentée.
  • Sauvegardes chiffrées dont la restauration est testée périodiquement.
  • PCA / PRA documentés.

11.8. Tests de sécurité

  • Tests d'isolation multi-tenant automatisés en CI.
  • Couverture de tests ≥ 80 % services backend, ≥ 70 % contrôleurs.
  • Scans de vulnérabilités continus sur les dépendances (Dependabot et équivalents), avec correction selon la criticité.
  • Revues de sécurité internes lors des évolutions sensibles (authentification, gestion des accès, traitement des photos et signatures).
  • L'Éditeur évaluera l'opportunité d'audits externes et de tests d'intrusion (pentest) au regard de l'évolution de sa base utilisateurs et du périmètre des données traitées.

11.9. Sauvegardes et continuité

  • Sauvegardes automatiques de la base de données : quotidiennes avec rétention 30 jours.
  • Tests de restauration au moins annuels.

11.10. Intégrité des preuves juridiques (photos et signatures)

  • Conservation sans compression destructive.
  • Métadonnées EXIF (date, GPS) préservées — finalité conformité EN 365.
  • Accès exclusivement via URLs S3 signées temporaires.
  • Aucun partage automatique vers des tiers non habilités.

12. Violations de données (art. 33 et 34 RGPD)

Procédure

  1. Détection : supervision continue (Sentry, alertes infrastructures, signalements internes ou externes).
  2. Qualification sous 24 h : analyse de l'incident au regard de l'article 4(12) du RGPD (atteinte à la confidentialité, intégrité ou disponibilité).
  3. Évaluation du risque pour les droits et libertés des personnes (nature, volume, gravité, identifiabilité).
  4. Mesures correctives immédiates : confinement, révocation des accès compromis, rotation des secrets, restauration depuis sauvegarde si nécessaire.

Notifications

  • CNIL : notification dans un délai de 72 heures après prise de connaissance, en cas de risque pour les droits et libertés (art. 33 RGPD).
  • Personnes concernées : information dans les meilleurs délais en cas de risque élevé (art. 34 RGPD), en termes clairs et simples.
  • Clients de la Plateforme (en qualité de responsables de traitement pour les données salariés) : notification sans délai par l'Éditeur (sous-traitant au sens de l'art. 28 RGPD) afin qu'ils puissent eux-mêmes assumer leurs obligations vis-à-vis de la CNIL et des personnes concernées.

Registre des violations

Toute violation, quelle que soit sa gravité (y compris celles ne donnant pas lieu à notification CNIL), est consignée dans un registre interne tenu à disposition de la CNIL sur demande.


13. Cookies et traceurs

Conformément à la délibération CNIL n° 2020-091 et aux lignes directrices du 17 septembre 2020 :

CatégorieExemplesConsentement requisDurée max
Strictement nécessairesCookie de session (session_id), jeton CSRF (csrf_token), cookie de refresh token httpOnly (web), préférence de langueNon (art. 82 LIL)Session ou 30 jours
FonctionnelsMémorisation du tenant actif, préférences d'affichage (mode sombre, densité de tableau)Oui (paramétrable)13 mois
Mesure d'audienceNon utilisée sur EPI SaaS à la date de la présente Politique
Analytiques détaillésNon utilisés sur EPI SaaS à la date de la présente Politique
Marketing / publicitéNon utilisés sur EPI SaaS

Modalités de consentement :

  • Bandeau de consentement à la première visite, distinct du bandeau CGU.
  • Options « Tout accepter », « Tout refuser » et « Personnaliser » présentées sur le même niveau visuel (recommandation CNIL).
  • Retrait du consentement aussi simple que son recueil, accessible depuis le pied de page (« Gérer mes cookies »).
  • Aucun cookie soumis à consentement n'est déposé tant que l'utilisateur n'a pas exprimé un choix positif.
  • La preuve du consentement est conservée 6 ans.
  • Durée de conservation du choix : 6 mois (au-delà, le bandeau est de nouveau présenté).

14. Droits des personnes concernées

Conformément aux articles 12 à 22 du RGPD, toute personne concernée dispose des droits suivants :

  • droit d'accès (art. 15 RGPD) — confirmation que des données la concernant sont traitées et copie le cas échéant ;
  • droit de rectification (art. 16 RGPD) des données inexactes ou incomplètes ;
  • droit à l'effacement ou « droit à l'oubli » (art. 17 RGPD), sous réserve des obligations légales de conservation incombant à l'Éditeur ou au Client (en particulier obligations EN 365 / Code du travail) ;
  • droit à la limitation du traitement (art. 18 RGPD) ;
  • droit d'opposition (art. 21 RGPD), notamment pour les traitements fondés sur l'intérêt légitime ainsi que, sans condition, pour la prospection commerciale ;
  • droit à la portabilité des données (art. 20 RGPD) pour les traitements fondés sur le contrat ou le consentement et mis en œuvre par procédés automatisés ;
  • droit de retirer son consentement à tout moment (art. 7, 3 du RGPD), sans que ce retrait remette en cause la licéité des traitements antérieurs ;
  • droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé (art. 22 RGPD).

Cas particulier des données salariés. Lorsque les données ont été collectées par le Client en qualité de responsable de traitement, la demande sera transmise au Client pour traitement ou la personne sera invitée à s'adresser directement à son employeur. Les droits à l'effacement et à l'opposition sont limités lorsque le traitement repose sur une obligation légale (par exemple, conservation des inspections EN 365).

Modalités d'exercice. Par courriel à contact@panops.fr ou par courrier postal à l'adresse du siège social de l'Éditeur, accompagnés de tout élément permettant de justifier de l'identité en cas de doute raisonnable.

Délai de réponse. Un mois à compter de la réception de la demande, susceptible d'être prolongé de deux mois compte tenu de la complexité ou du nombre de demandes (art. 12, 3 du RGPD).

Recours. Sans préjudice de tout autre recours administratif ou juridictionnel, droit d'introduire une réclamation auprès de la CNIL et droit à un recours juridictionnel effectif (art. 78 et 79 RGPD).


15. Mineurs

La Plateforme constitue un outil professionnel destiné exclusivement à un usage entre professionnels (B2B). Elle n'est en aucun cas destinée aux personnes mineures et n'a vocation à recueillir aucune donnée concernant des personnes âgées de moins de dix-huit (18) ans. L'Éditeur ne collecte sciemment aucune donnée relative à un mineur ; toute donnée de cette nature portée à sa connaissance ferait l'objet d'une suppression immédiate.


16. Décisions automatisées et profilage

L'Éditeur déclare ne mettre en œuvre, dans le cadre de la Plateforme, aucune décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques à l'égard des personnes concernées ou les affectant de manière significative, au sens de l'article 22 du RGPD.

Les fonctionnalités d'alerte de la Plateforme (signalement d'un EPI à contrôler, équipement dont la durée de vie approche, etc.) constituent de simples aides à la décision destinées à éclairer un opérateur humain habilité, qui demeure seul décisionnaire des suites à donner.


17. Mise à jour de la présente politique

L'Éditeur se réserve le droit de faire évoluer la présente Politique, notamment pour tenir compte de l'évolution de la réglementation, des recommandations des autorités de contrôle ou des fonctionnalités de la Plateforme.

En cas de modification substantielle affectant les finalités, les bases légales, les destinataires, les durées de conservation ou les droits des personnes concernées, les utilisateurs en sont informés par tout moyen approprié, et notamment par courrier électronique adressé à l'adresse associée à leur compte et par un bandeau d'information lors de leur prochaine connexion à la Plateforme, dans un délai raisonnable préalable à l'entrée en vigueur des modifications. Les modifications mineures ou purement formelles font l'objet d'une simple mise à jour de la date de version en tête de la présente Politique.


18. Contact DPO et réclamation auprès de l'autorité de contrôle

Délégué à la Protection des Données (DPO) :

  • Par courriel : contact@panops.fr
  • Par courrier postal : HC SOFT (Panops) — À l'attention du Délégué à la Protection des Données — 520 chemin du Voisinet, 71850 Charnay-lès-Mâcon

Autorité de contrôle compétente :

Commission Nationale de l'Informatique et des Libertés (CNIL) 3 Place de Fontenoy TSA 80715 75334 Paris Cedex 07 Téléphone : 01 53 73 22 22 Site internet : www.cnil.fr


Fait à Charnay-lès-Mâcon, le 28 mai 2026.