Sommaire
- Préambule et identité du responsable de traitement
- Champ d'application
- Articulation responsable de traitement / sous-traitant
- Catégories de données collectées
- Finalités et bases légales du traitement
- Spécificités liées au métier EPI (photos, signatures, géolocalisation, habilitations)
- Durées de conservation
- Destinataires des données
- Sous-traitants ultérieurs (art. 28 RGPD)
- Transferts de données hors Union européenne
- Sécurité des données (art. 32 RGPD)
- Violations de données (art. 33 et 34 RGPD)
- Cookies et traceurs
- Droits des personnes concernées
- Mineurs
- Décisions automatisées et profilage
- Mise à jour de la présente politique
- Contact DPO et réclamation auprès de l'autorité de contrôle
1. Préambule et identité du responsable de traitement
La présente politique de confidentialité (ci-après la « Politique ») a pour objet d'informer les personnes concernées des conditions dans lesquelles la société HC SOFT (exploitant la marque commerciale déposée « Panops »), Société par Actions Simplifiée (SAS) au capital de 5 000 euros, immatriculée au Registre du Commerce et des Sociétés de Mâcon sous le numéro SIREN 102 544 798 (SIRET 102 544 798 00014, TVA intracommunautaire FR70102544798), dont le siège social est situé 520 chemin du Voisinet, 71850 Charnay-lès-Mâcon (ci-après l'« Éditeur »), procède au traitement de leurs données à caractère personnel dans le cadre de l'exploitation de la plateforme logicielle « EPI SaaS » (ci-après la « Plateforme »), accessible en mode SaaS via son interface web et son application mobile iOS et Android.
La présente Politique est établie en conformité avec le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (ci-après le « RGPD »), ainsi qu'avec la loi n° 78-17 du 6 janvier 1978 modifiée, dite « Informatique et Libertés ».
Le délégué à la protection des données (DPO) de l'Éditeur peut être contacté à l'adresse suivante : contact@panops.fr, ou par courrier postal à l'adresse du siège social précisée ci-avant, à l'attention du DPO.
2. Champ d'application
La présente Politique s'applique à l'ensemble des traitements de données à caractère personnel mis en œuvre par l'Éditeur dans le cadre de la fourniture de la Plateforme : interface web, application mobile native iOS et Android, fonctionnalités annexes (notifications push, exports documentaires, intégrations tierces).
Sont concernées les catégories de personnes suivantes :
- les utilisateurs disposant d'un compte sur la Plateforme, quel que soit leur rôle (Super Admin de l'Éditeur, administrateurs et commerciaux des distributeurs partenaires — ci-après les « Dealers » —, administrateurs, managers, techniciens contrôleurs et utilisateurs en lecture seule des clients finaux employeurs — ci-après les « Clients ») ;
- les salariés porteurs d'équipements de protection individuelle dont les données sont enregistrées dans la Plateforme par leur employeur, agissant en qualité de Client ;
- les contrôleurs externes mandatés ponctuellement par un Client pour réaliser des inspections ;
- les prospects et visiteurs du site institutionnel de l'Éditeur.
3. Articulation responsable de traitement / sous-traitant
Compte tenu de l'architecture commerciale B2B2B de la Plateforme, l'Éditeur intervient à un double titre :
- En qualité de responsable de traitement, au sens de l'article 4, 7° du RGPD, pour les traitements relatifs à la gestion des comptes utilisateurs de la Plateforme, à la facturation, à la sécurité du service, aux journaux d'audit (audit logs) ainsi qu'aux opérations de prospection commerciale qu'il met en œuvre pour son propre compte ;
- En qualité de sous-traitant, au sens de l'article 4, 8° du RGPD, pour les traitements opérés sur instructions documentées du Client portant sur les données des salariés porteurs d'EPI dont ce dernier est l'employeur (photographies d'équipements, signatures contradictoires, attributions nominatives d'EPI, données d'habilitation des contrôleurs internes au Client).
Les relations entre le Client et l'Éditeur sont régies par un accord de traitement des données (Data Processing Agreement — DPA) annexé aux conditions générales d'utilisation de la Plateforme, qui définit l'objet, la durée et la nature des traitements, les catégories de données et de personnes concernées, les obligations et droits du responsable de traitement, ainsi que les mesures techniques et organisationnelles mises en œuvre par l'Éditeur.
4. Catégories de données collectées
Les données sont collectées soit directement auprès de la personne concernée (utilisateur de la Plateforme), soit indirectement par l'intermédiaire de l'employeur (Client) ou du distributeur partenaire (Dealer) habilité.
| Catégorie | Exemples concrets de données | Source / Collecteur |
|---|---|---|
| Identité | Nom, prénom, téléphone professionnel, fonction | Saisi par le Client ou l'utilisateur à l'inscription |
| Compte & authentification | Email professionnel, mot de passe haché (bcrypt), rôle (SUPER_ADMIN, DEALER_ADMIN, TECHNICIAN, etc.), tenant_id, JWT (15 min), refresh token (30 j), codes MFA, tokens trusted device | Système (généré) + utilisateur (MFA) |
| Salariés porteurs d'EPI | Nom, prénom, email pro, téléphone, numéro employé interne, dates embauche/départ, affectations EPI, tags métier | Saisi par le Client (CLIENT_ADMIN, MANAGER) |
| EPI (équipements) | Désignation, marque, modèle, numéro de série, code-barres, RFID, dates de fabrication / mise en service / péremption / dernier contrôle, statut (IN_SERVICE, TO_INSPECT, DECOMMISSIONED), notes techniques | Saisi par Dealer / Client lors de la mise en service |
| Inspections & contrôles | Date, lieu (texte), type (PPE_PERIODIC, PPE_POST_INCIDENT, VEHICLE_VGP, etc.), résultat PASS/FAIL, notes contrôleur, rapport PDF généré | Saisi par le technicien habilité (canControlPPE = true) |
| Photos & signatures | Photos EPI (max 20 par inspection, EXIF date/GPS conservé), signature manuscrite du contrôleur, signature contradictoire du salarié, adresse du salarié au moment du contrôle | Capture in situ (mobile/web) lors de l'inspection |
| Certifications contrôleurs | Type d'EPI certifié, URL du certificat PDF, dates d'obtention et d'expiration, organisme certificateur | Téléversé par le contrôleur ou son administrateur |
Logs d'audit (History) | Entité modifiée, action (CREATE/UPDATE/DELETE), valeurs avant/après, identifiant utilisateur, mode (NORMAL/IMPERSONATION), tenant impersonné, horodatage | Système (automatique) |
| Logs de connexion | Adresse IP, user-agent, date/heure, succès/échec, identifiant utilisateur | Système (automatique) |
| Géolocalisation | Latitude/longitude des prises de vue lors d'une inspection (EXIF + champ inspection_location) — finalité preuve juridique | Capteur mobile (consentement préalable du contrôleur) |
| Demandes d'inspection externe | Email inspecteur externe, nom, entreprise, token sécurisé valable 48 h, PDF généré | Saisi par le Client demandeur |
| Biométrie mobile (locale) | Touch ID / Face ID — empreinte/visage traités exclusivement en local par expo-local-authentication. Aucune donnée biométrique n'est transmise au serveur ni stockée par l'Éditeur. | Appareil de l'utilisateur uniquement |
Note importante sur la biométrie. Conformément à l'article 9 du RGPD, les données biométriques sont des données sensibles. EPI SaaS ne traite aucune donnée biométrique : le déverrouillage par empreinte ou reconnaissance faciale s'effectue uniquement sur l'appareil de l'utilisateur (Secure Enclave Apple / Trusted Execution Environment Android). Seul un signal binaire de réussite ou d'échec de l'authentification locale est échangé. Ce mécanisme ne relève pas de l'article 9 du RGPD.
5. Finalités et bases légales du traitement
Conformément à l'article 6 du RGPD, chaque finalité repose sur une base légale identifiée.
| # | Finalité | Base légale (art. 6 RGPD) |
|---|---|---|
| 1 | Fournir le service SaaS (création de compte, authentification, attribution des rôles, gestion du tenant, facturation de l'abonnement) | Exécution du contrat (art. 6.1.b) |
| 2 | Assurer la conformité au contrôle annuel EN 365 des EPI antichute (planification, suivi, alertes J-15, génération de rapports) | Obligation légale (art. 6.1.c) — Code du travail art. L.4121-1 et R.4323-95 |
| 3 | Tracer les inspections et conserver les preuves juridiques (signatures contradictoires, photos horodatées et géolocalisées, rapports PDF) en cas de contentieux ou d'accident du travail | Obligation légale (art. 6.1.c) — Code du travail art. L.4711-1 et suivants |
| 4 | Garantir l'habilitation des contrôleurs (vérification des certifications, alertes d'expiration) conformément aux règlements R408/R457/R478 et à l'article R.4323-104 du Code du travail | Obligation légale (art. 6.1.c) |
| 5 | Identifier les EPI mis hors service après chute ou incident (passage automatique au statut TO_INSPECT post-incident) | Obligation légale (art. 6.1.c) |
| 6 | Sécuriser l'accès à la Plateforme (MFA, trusted devices, détection d'intrusion, logs de connexion, authentification biométrique locale) | Intérêt légitime (art. 6.1.f) — sécurité du SI |
| 7 | Assurer la traçabilité des actions (logs d'audit History, badge orange impersonation, traçage des accès par le personnel de l'Éditeur) | Obligation légale (art. 6.1.c) et intérêt légitime (art. 6.1.f) |
| 8 | Permettre les inspections par contrôleur externe via lien sécurisé temporaire (token 48 h) | Exécution du contrat (art. 6.1.b) |
| 9 | Envoyer les notifications opérationnelles (alertes péremption EPI, échéances de contrôle, impersonation) par email et push mobile | Exécution du contrat (art. 6.1.b) |
| 10 | Améliorer le service et corriger les bugs (monitoring d'erreurs, données pseudonymisées) | Intérêt légitime (art. 6.1.f) |
| 11 | Respecter les obligations comptables et fiscales (facturation, abonnements) | Obligation légale (art. 6.1.c) |
| 12 | Répondre aux demandes des autorités (réquisitions judiciaires, inspection du travail, CARSAT) | Obligation légale (art. 6.1.c) |
| 13 | Prospection commerciale et mesure d'audience non exemptée | Consentement (art. 6.1.a) |
Les finalités fondées sur l'intérêt légitime font l'objet d'un test de mise en balance documenté, disponible sur demande auprès du DPO. Les personnes concernées disposent d'un droit d'opposition (art. 21 RGPD) sur ces traitements.
6. Spécificités liées au métier EPI
6.1. Pourquoi ces traitements sensibles sont nécessaires
La gestion d'un parc d'EPI antichute n'est pas un acte purement administratif : il s'agit d'une obligation légale de sécurité pesant sur l'employeur, dont la mauvaise exécution engage sa responsabilité civile et pénale en cas d'accident du travail.
Cadre légal applicable :
- Article L.4121-1 du Code du travail : l'employeur prend les mesures nécessaires pour assurer la sécurité et protéger la santé physique et mentale des travailleurs (obligation de résultat selon la jurisprudence constante de la Cour de cassation).
- Article R.4323-95 du Code du travail : les EPI doivent faire l'objet de vérifications périodiques par des personnes qualifiées.
- Article R.4323-104 du Code du travail : ces vérifications sont effectuées par des personnes qualifiées et désignées par l'employeur.
- Norme NF EN 365 : impose un contrôle au minimum annuel des EPI antichute, formalisé par un compte rendu écrit signé par le contrôleur, archivé et tenu à la disposition de l'inspection du travail.
- Recommandations CNAM R408, R457, R478 : encadrent le travail en hauteur, le montage des échafaudages et les ancrages.
En cas d'accident grave ou mortel, l'employeur doit pouvoir produire la traçabilité complète de l'EPI impliqué, la preuve que le contrôleur était habilité et la preuve que le salarié a été informé du résultat du contrôle. L'absence de ces éléments expose à une qualification de faute inexcusable (art. L.452-1 CSS), voire à des poursuites pénales pour mise en danger d'autrui (art. 223-1 du Code pénal) ou homicide involontaire (art. 221-6 du Code pénal).
6.2. Photos d'équipements et de contrôle
Finalité. Les photos prises lors d'un contrôle EPI servent à prouver l'état réel de l'équipement au moment de la vérification : identification visuelle d'un défaut (couture rompue, marquage effacé, déformation d'un mousqueton, oxydation, etc.), confirmation du numéro de série, archivage de l'état général.
Métadonnées EXIF. L'application mobile conserve les métadonnées EXIF : date et heure de prise de vue, modèle d'appareil, coordonnées GPS si la géolocalisation est activée. Cette conservation est nécessaire pour ancrer juridiquement la date et le lieu du contrôle. Sans ces métadonnées, une photo perd l'essentiel de sa valeur probatoire.
Stockage non destructif. Les photos sont stockées sans compression destructive, afin de préserver leur intégrité comme élément de preuve.
Cas particulier — photo du salarié portant l'EPI. Une telle photo n'est pas requise par défaut par la norme EN 365 et ne doit pas être collectée systématiquement. Si elle est prise (par exemple pour documenter le mauvais ajustement d'un harnais), elle nécessite alors :
- le consentement explicite du salarié,
- une information préalable par l'employeur (panneau d'affichage, livret d'accueil, note de service).
Le contrôleur est invité, par défaut, à cadrer ses photos sur l'équipement seul.
6.3. Signatures contradictoires
La norme EN 365 impose une signature contradictoire sur le rapport de contrôle, recouvrant deux actes juridiques distincts :
Signature du contrôleur (acte professionnel). Le contrôleur engage sa responsabilité professionnelle en attestant du résultat du contrôle (CONFORME / À REFORMER / NON CONFORME). Cette signature constitue un acte professionnel relevant de son habilitation, et n'est pas révocable au sens du consentement RGPD.
Signature du salarié (attestation contradictoire — pas un consentement). La signature du salarié utilisateur n'est pas un consentement au sens du RGPD : c'est une attestation de prise de connaissance du résultat du contrôle de l'EPI qui lui est attribué. Elle ne peut donc pas être retirée rétroactivement.
Dissensus accepté. Le salarié reste libre de refuser de signer ou d'annoter le rapport pour exprimer un désaccord. Ce dissensus est enregistré tel quel dans le rapport. Il ne remet pas en cause la validité juridique du contrôle, mais peut être déterminant en cas d'accident ultérieur.
Base légale. Obligation légale (art. 6.1.c RGPD) — Code du travail art. R.4323-95 et R.4323-104, norme EN 365.
6.4. Géolocalisation lors des contrôles
Finalité strictement limitée. La géolocalisation captée par l'application mobile a pour seul objectif l'ancrage juridique du lieu de contrôle.
Ce que la Plateforme NE FAIT PAS :
- aucun suivi en continu du salarié ni du contrôleur ;
- aucun traçage des déplacements entre deux contrôles ;
- aucune agrégation comportementale (temps passé sur site, itinéraires, etc.) ;
- aucune remontée GPS en arrière-plan lorsque l'application n'est pas activement utilisée pour un contrôle.
Mécanisme technique. La position GPS est captée au moment précis où le contrôleur prend une photo d'inspection (métadonnées EXIF) et/ou enregistre l'inspection (champ inspection.location). Elle est ensuite stockée dans l'enregistrement d'inspection correspondant, et nulle part ailleurs.
Information transparente. L'application mobile affiche une mention claire au contrôleur lors de l'activation de la géolocalisation, et la finalité reste consultable dans les paramètres.
6.5. Habilitations des contrôleurs (certifications)
Pour garantir que seul un contrôleur dûment habilité peut valider une inspection, la Plateforme traite : type d'EPI certifié, organisme certificateur, certificat PDF, date d'obtention et date d'expiration, statut (VALID, EXPIRED, REVOKED).
Une inspection ne peut être validée informatiquement que si le contrôleur possède l'attribut canControlPPE = true et une certification correspondante au statut VALID. Cette règle est bloquante dans l'application.
Base légale : obligation légale (R.4323-104 Code du travail). Conservation : durée de validité de la certification + 5 ans après expiration.
6.6. Conséquences d'un refus de fournir certaines données
| Situation | Conséquence |
|---|---|
| Salarié refusant de signer un rapport de contrôle | Le dissensus est enregistré. L'inspection reste juridiquement valable : l'employeur a satisfait à son obligation de vérification |
| Salarié refusant d'être pris en photo | Acceptable — la photo du salarié n'est pas systématique et doit être évitée par défaut |
| Contrôleur refusant de fournir une certification valide | Impossibilité technique de valider une inspection : la sécurité juridique de l'employeur ne peut être assurée |
| Refus d'activer la géolocalisation sur l'application contrôleur | Le contrôle reste possible mais perd l'ancrage GPS — recommandation forte de l'activer pour la valeur probatoire |
6.7. Articulation avec le DUERP et l'information des salariés
Les données collectées alimentent directement la documentation obligatoire de l'employeur : DUERP (Document Unique d'Évaluation des Risques Professionnels — art. R.4121-1 du Code du travail), livret d'accueil sécurité, fiches d'exposition, rapports remis à l'inspection du travail ou à la CARSAT.
L'obligation d'informer les salariés sur les traitements de données les concernant incombe à l'employeur (Client final de la Plateforme), en sa qualité de responsable de traitement. Cette information doit prendre la forme :
- d'une note de service ou d'un avenant au livret d'accueil sécurité ;
- d'une information du CSE (art. L.2312-8 et L.2312-38 du Code du travail) ;
- d'un affichage dans les locaux concernés lorsque des photos peuvent être prises.
Notice-type fournie par l'Éditeur. L'Éditeur met à disposition de chaque Client une notice d'information modèle, téléchargeable depuis l'espace administrateur, à adapter et diffuser auprès des salariés. L'Éditeur ne se substitue en aucun cas à l'employeur dans cette obligation d'information.
7. Durées de conservation
Les durées correspondent à la conservation en base active, suivie le cas échéant d'un archivage intermédiaire à accès restreint (délibération CNIL n° 2005-213 sur les archives).
| Catégorie de données | Base active | Archivage intermédiaire | Justification réglementaire |
|---|---|---|---|
| Compte utilisateur actif | Durée de la relation contractuelle | + 5 ans après résiliation | Prescription civile (art. 2224 C. civ.) |
| Compte inactif | 3 ans après dernière connexion → suppression / anonymisation | — | Recommandation CNIL |
| Données salariés (fiches, affectations EPI) | Durée du contrat de travail | + 5 ans après départ | Prescription prud'homale (art. L.1471-1 C. trav.) |
| EPI (cycle de vie) | Durée d'utilisation jusqu'à décommission | + 5 ans après mise au rebut | Traçabilité matériels de sécurité |
| Inspections / preuves de contrôle | Durée d'utilisation de l'EPI | + 5 ans après fin de vie de l'EPI | Code du travail art. L.4711-1 et suivants — éléments de prévention santé/sécurité, prescription en matière d'accident du travail |
| Photos EXIF (géoloc) + signatures contradictoires | Idem inspection associée | + 5 ans après décommission EPI | Aligné sur la durée des inspections — valeur probatoire |
| Certifications contrôleurs | Durée de validité | + 5 ans après expiration | Preuve d'habilitation post-contrôle |
Logs d'audit History | 1 an minimum | jusqu'à 6 ans maximum | Recommandation CNIL — équilibre sécurité / minimisation |
| Logs de connexion (IP, user-agent) | 1 an | — | LCEN art. 6-II |
| Tokens JWT / refresh token | JWT : 15 min (mémoire) — Refresh : 30 j (rotation) | — | Strictement nécessaire à l'authentification |
| Codes MFA / tokens trusted device | Durée de validité (5 min OTP — 30 jours trusted device) | Purge à expiration | Sécurité du SI |
| Tokens d'invitation / reset password | Durée de validité (24 à 72 h) | Purge automatique | Sécurité du SI |
| Tokens d'inspection externe | 48 h | Purge automatique | Strictement nécessaire à la finalité |
| Cookies fonctionnels / analytiques | 13 mois maximum (info collectée : 25 mois max) | — | Délibération CNIL n° 2020-091 |
| Factures / pièces comptables | 10 ans | — | Code de commerce art. L.123-22 |
| Données traitées au titre d'un litige | Jusqu'à épuisement des voies de recours | — | Intérêt légitime — défense en justice |
| Sauvegardes techniques | Rotation glissante de 30 jours | — | Sécurité (PRA) — non accessible en exploitation |
Anonymisation. À l'échéance des durées, les données sont supprimées ou anonymisées de manière irréversible. Les données anonymisées peuvent être conservées à des fins statistiques.
8. Destinataires des données
Les données sont accessibles, dans la stricte limite du besoin d'en connaître, aux destinataires suivants :
- Personnel habilité de l'Éditeur : équipes support N1/N2, ingénieurs DevOps, DPO. Chaque accès est tracé dans les logs d'audit. Les accès en mode IMPERSONATION sont signalés par un badge orange visible et journalisés systématiquement.
- Clients de la Plateforme : chaque Client (tenant) accède exclusivement à ses propres données, grâce au filtrage
tenant_idstrict appliqué par défaut. Les rôlesDEALER_ADMINaccèdent aux données des Clients finaux qui leur sont rattachés contractuellement. - Sous-traitants techniques : voir section 9.
- Autorités publiques : inspection du travail, autorités judiciaires, sur réquisition légale uniquement, avec contrôle de la régularité de la demande par le DPO.
- Tiers contractuels du Client : contrôleurs externes mandatés par le Client (accès limité par token 48 h à une inspection unique).
Aucune donnée n'est cédée, louée ou échangée à des fins commerciales avec des tiers.
9. Sous-traitants ultérieurs (art. 28 RGPD)
L'Éditeur a recours aux sous-traitants suivants, encadrés par un DPA conforme à l'article 28 du RGPD. La liste à jour est disponible sur demande auprès du DPO et notifiée aux Clients lors de toute évolution, conformément aux stipulations du DPA (droit d'objection motivée).
| Sous-traitant | Finalité | Catégories de données | Lieu d'hébergement | Transfert hors UE | Garanties |
|---|---|---|---|---|---|
| Supabase (Supabase Inc.) | Base de données PostgreSQL principale, authentification | Toutes catégories applicatives (sauf fichiers binaires) | Région UE imposée (Frankfurt eu-central-1 ou Paris) | Non si région EU configurée | DPA Supabase, chiffrement at-rest AES-256, TLS 1.3 en transit, sauvegardes chiffrées |
| AWS S3 (Amazon Web Services EMEA SARL) | Stockage des fichiers binaires : photos d'inspection, signatures, certificats PDF, rapports | Photos EXIF, signatures, PDFs | Régions UE : Paris (eu-west-3) ou Francfort (eu-central-1) | Non (région UE) — la maison-mère US reste soumise au CLOUD Act | DPA AWS, CCT UE 2021/914, chiffrement SSE-S3, contrôle d'accès IAM strict, journalisation CloudTrail |
| Sentry (Functional Software Inc.) | Monitoring d'erreurs applicatives, supervision technique | Stack traces, identifiant utilisateur pseudonymisé, user-agent, URL — scrubbing PII activé | États-Unis | Oui — États-Unis | DPA Sentry, CCT UE 2021/914, adhésion au EU-U.S. Data Privacy Framework, scrubbing automatique, rétention 90 jours |
| Expo (650 Industries Inc.) | Push notifications mobiles (proxy vers APNs et FCM), mises à jour OTA | Token push, identifiant appareil, payload notification | États-Unis | Oui — États-Unis | DPA Expo, CCT UE 2021/914, transit chiffré, pas de stockage persistant des contenus de notification |
Engagement de l'Éditeur. Privilégier systématiquement les sous-traitants hébergés dans l'UE. Tout nouveau sous-traitant fait l'objet d'une analyse préalable (et d'une AIPD si nécessaire) et est notifié aux Clients via mise à jour de la présente Politique.
10. Transferts de données hors Union européenne
Les transferts hors UE sont limités au strict nécessaire et exclusivement encadrés par les garanties suivantes (art. 44 à 49 RGPD) :
- Clauses Contractuelles Types (CCT) de la Commission européenne du 4 juin 2021 (décision 2021/914), signées avec chaque sous-traitant établi hors UE.
- EU-U.S. Data Privacy Framework (DPF) lorsque le sous-traitant est certifié auprès du Department of Commerce américain (vérification annuelle par le DPO sur le registre
dataprivacyframework.gov). - Mesures techniques complémentaires post-arrêt Schrems II (CJUE C-311/18) : chiffrement en transit (TLS 1.3) et au repos, pseudonymisation, scrubbing des données personnelles dans les outils de monitoring, minimisation des données transmises.
- Transfer Impact Assessment documenté par le DPO pour chaque sous-traitant hors UE.
L'Éditeur s'engage à privilégier l'hébergement dans l'UE pour toutes les données substantielles (base de données métier, fichiers d'inspection, photos, signatures) et à informer les Clients de toute évolution.
11. Sécurité des données (art. 32 RGPD)
L'Éditeur met en œuvre les mesures techniques et organisationnelles appropriées au risque, conformément à l'article 32 du RGPD, en s'appuyant sur les recommandations de l'ANSSI et le référentiel ISO 27001 comme cadre de référence (sans certification formelle revendiquée à ce stade).
11.1. Chiffrement en transit et au repos
- Toutes les communications sont chiffrées via TLS 1.2 minimum (HSTS activé).
- Base de données PostgreSQL : hébergée sur Supabase en région UE, chiffrement au repos activé par défaut.
- Fichiers (photos, signatures, rapports PDF) : stockés sur AWS S3 avec SSE (Server-Side Encryption) activé.
- Accès aux fichiers S3 : exclusivement via URLs signées à durée de vie limitée (typiquement quelques minutes).
11.2. Authentification et gestion des secrets
- Les mots de passe sont hashés avec bcrypt — jamais stockés en clair, jamais accessibles à un collaborateur.
- Access token JWT : durée de vie courte (15 minutes), conservé en mémoire (jamais dans
localStorage). - Refresh token : durée de vie longue (30 jours), avec stockage différencié :
- Web : cookie
httpOnly+SameSite=Strict+Secure; - Mobile : conservé dans expo-secure-store (Keychain iOS / Keystore Android, adossé à Secure Enclave / TEE).
- Web : cookie
- Protection CSRF dédiée pour les requêtes sensibles côté web.
- MFA disponible pour tous les utilisateurs, obligatoire pour les rôles
SUPER_ADMIN,DEALER_ADMIN,CLIENT_ADMIN. Codes OTP hashés en base.
11.3. Cloisonnement multi-tenant
- Filtrage
tenant_idobligatoire sur toutes les requêtes. - Guards NestJS (
AuthGuard+TenantGuard) sur l'ensemble des contrôleurs. - Row-Level Security PostgreSQL comme défense en profondeur.
- Tests d'isolation multi-tenant automatisés en intégration continue à chaque commit.
11.4. Contrôle d'accès basé sur les rôles (RBAC)
Le système repose sur un RBAC à 7 rôles : SUPER_ADMIN, DEALER_ADMIN, COMMERCIAL, TECHNICIAN, CLIENT_ADMIN, MANAGER, READ_ONLY. Principe du moindre privilège appliqué. La validation d'une inspection EPI exige en outre l'habilitation canControlPPE et une certification contrôleur valide.
11.5. Mesures spécifiques à l'application mobile
- Biométrie locale uniquement :
expo-local-authenticationdélègue la vérification au système d'exploitation. Aucune empreinte ni gabarit ne sort de l'appareil. Le mécanisme ne relève pas de l'article 9 du RGPD. - Stockage des refresh tokens dans Keychain/Keystore (hardware-backed).
- Détection de jailbreak / root et certificate pinning : progressivement déployés.
11.6. Traçabilité et audit
- Toute modification métier génère une entrée
History(entité, action, valeurs avant/après, utilisateur, modeNORMAL/IMPERSONATION, tenant impersonné, horodatage). - Le mode IMPERSONATION est systématiquement tracé et signalé par un bandeau orange permanent et obligatoire dans l'interface.
- Aucun accès anonyme aux données Client par le personnel de l'Éditeur.
- Logs Sentry : erreurs 5xx, tentatives de connexion échouées, conservés 1 an (conforme à la LCEN).
11.7. Mesures organisationnelles
- Formation RGPD et clause de confidentialité pour tout collaborateur ayant accès aux systèmes.
- Revue régulière des habilitations (au moins annuelle).
- Procédure de gestion des incidents documentée.
- Sauvegardes chiffrées dont la restauration est testée périodiquement.
- PCA / PRA documentés.
11.8. Tests de sécurité
- Tests d'isolation multi-tenant automatisés en CI.
- Couverture de tests ≥ 80 % services backend, ≥ 70 % contrôleurs.
- Scans de vulnérabilités continus sur les dépendances (Dependabot et équivalents), avec correction selon la criticité.
- Revues de sécurité internes lors des évolutions sensibles (authentification, gestion des accès, traitement des photos et signatures).
- L'Éditeur évaluera l'opportunité d'audits externes et de tests d'intrusion (pentest) au regard de l'évolution de sa base utilisateurs et du périmètre des données traitées.
11.9. Sauvegardes et continuité
- Sauvegardes automatiques de la base de données : quotidiennes avec rétention 30 jours.
- Tests de restauration au moins annuels.
11.10. Intégrité des preuves juridiques (photos et signatures)
- Conservation sans compression destructive.
- Métadonnées EXIF (date, GPS) préservées — finalité conformité EN 365.
- Accès exclusivement via URLs S3 signées temporaires.
- Aucun partage automatique vers des tiers non habilités.
12. Violations de données (art. 33 et 34 RGPD)
Procédure
- Détection : supervision continue (Sentry, alertes infrastructures, signalements internes ou externes).
- Qualification sous 24 h : analyse de l'incident au regard de l'article 4(12) du RGPD (atteinte à la confidentialité, intégrité ou disponibilité).
- Évaluation du risque pour les droits et libertés des personnes (nature, volume, gravité, identifiabilité).
- Mesures correctives immédiates : confinement, révocation des accès compromis, rotation des secrets, restauration depuis sauvegarde si nécessaire.
Notifications
- CNIL : notification dans un délai de 72 heures après prise de connaissance, en cas de risque pour les droits et libertés (art. 33 RGPD).
- Personnes concernées : information dans les meilleurs délais en cas de risque élevé (art. 34 RGPD), en termes clairs et simples.
- Clients de la Plateforme (en qualité de responsables de traitement pour les données salariés) : notification sans délai par l'Éditeur (sous-traitant au sens de l'art. 28 RGPD) afin qu'ils puissent eux-mêmes assumer leurs obligations vis-à-vis de la CNIL et des personnes concernées.
Registre des violations
Toute violation, quelle que soit sa gravité (y compris celles ne donnant pas lieu à notification CNIL), est consignée dans un registre interne tenu à disposition de la CNIL sur demande.
13. Cookies et traceurs
Conformément à la délibération CNIL n° 2020-091 et aux lignes directrices du 17 septembre 2020 :
| Catégorie | Exemples | Consentement requis | Durée max |
|---|---|---|---|
| Strictement nécessaires | Cookie de session (session_id), jeton CSRF (csrf_token), cookie de refresh token httpOnly (web), préférence de langue | Non (art. 82 LIL) | Session ou 30 jours |
| Fonctionnels | Mémorisation du tenant actif, préférences d'affichage (mode sombre, densité de tableau) | Oui (paramétrable) | 13 mois |
| Mesure d'audience | Non utilisée sur EPI SaaS à la date de la présente Politique | — | — |
| Analytiques détaillés | Non utilisés sur EPI SaaS à la date de la présente Politique | — | — |
| Marketing / publicité | Non utilisés sur EPI SaaS | — | — |
Modalités de consentement :
- Bandeau de consentement à la première visite, distinct du bandeau CGU.
- Options « Tout accepter », « Tout refuser » et « Personnaliser » présentées sur le même niveau visuel (recommandation CNIL).
- Retrait du consentement aussi simple que son recueil, accessible depuis le pied de page (« Gérer mes cookies »).
- Aucun cookie soumis à consentement n'est déposé tant que l'utilisateur n'a pas exprimé un choix positif.
- La preuve du consentement est conservée 6 ans.
- Durée de conservation du choix : 6 mois (au-delà, le bandeau est de nouveau présenté).
14. Droits des personnes concernées
Conformément aux articles 12 à 22 du RGPD, toute personne concernée dispose des droits suivants :
- droit d'accès (art. 15 RGPD) — confirmation que des données la concernant sont traitées et copie le cas échéant ;
- droit de rectification (art. 16 RGPD) des données inexactes ou incomplètes ;
- droit à l'effacement ou « droit à l'oubli » (art. 17 RGPD), sous réserve des obligations légales de conservation incombant à l'Éditeur ou au Client (en particulier obligations EN 365 / Code du travail) ;
- droit à la limitation du traitement (art. 18 RGPD) ;
- droit d'opposition (art. 21 RGPD), notamment pour les traitements fondés sur l'intérêt légitime ainsi que, sans condition, pour la prospection commerciale ;
- droit à la portabilité des données (art. 20 RGPD) pour les traitements fondés sur le contrat ou le consentement et mis en œuvre par procédés automatisés ;
- droit de retirer son consentement à tout moment (art. 7, 3 du RGPD), sans que ce retrait remette en cause la licéité des traitements antérieurs ;
- droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé (art. 22 RGPD).
Cas particulier des données salariés. Lorsque les données ont été collectées par le Client en qualité de responsable de traitement, la demande sera transmise au Client pour traitement ou la personne sera invitée à s'adresser directement à son employeur. Les droits à l'effacement et à l'opposition sont limités lorsque le traitement repose sur une obligation légale (par exemple, conservation des inspections EN 365).
Modalités d'exercice. Par courriel à contact@panops.fr ou par courrier postal à l'adresse du siège social de l'Éditeur, accompagnés de tout élément permettant de justifier de l'identité en cas de doute raisonnable.
Délai de réponse. Un mois à compter de la réception de la demande, susceptible d'être prolongé de deux mois compte tenu de la complexité ou du nombre de demandes (art. 12, 3 du RGPD).
Recours. Sans préjudice de tout autre recours administratif ou juridictionnel, droit d'introduire une réclamation auprès de la CNIL et droit à un recours juridictionnel effectif (art. 78 et 79 RGPD).
15. Mineurs
La Plateforme constitue un outil professionnel destiné exclusivement à un usage entre professionnels (B2B). Elle n'est en aucun cas destinée aux personnes mineures et n'a vocation à recueillir aucune donnée concernant des personnes âgées de moins de dix-huit (18) ans. L'Éditeur ne collecte sciemment aucune donnée relative à un mineur ; toute donnée de cette nature portée à sa connaissance ferait l'objet d'une suppression immédiate.
16. Décisions automatisées et profilage
L'Éditeur déclare ne mettre en œuvre, dans le cadre de la Plateforme, aucune décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques à l'égard des personnes concernées ou les affectant de manière significative, au sens de l'article 22 du RGPD.
Les fonctionnalités d'alerte de la Plateforme (signalement d'un EPI à contrôler, équipement dont la durée de vie approche, etc.) constituent de simples aides à la décision destinées à éclairer un opérateur humain habilité, qui demeure seul décisionnaire des suites à donner.
17. Mise à jour de la présente politique
L'Éditeur se réserve le droit de faire évoluer la présente Politique, notamment pour tenir compte de l'évolution de la réglementation, des recommandations des autorités de contrôle ou des fonctionnalités de la Plateforme.
En cas de modification substantielle affectant les finalités, les bases légales, les destinataires, les durées de conservation ou les droits des personnes concernées, les utilisateurs en sont informés par tout moyen approprié, et notamment par courrier électronique adressé à l'adresse associée à leur compte et par un bandeau d'information lors de leur prochaine connexion à la Plateforme, dans un délai raisonnable préalable à l'entrée en vigueur des modifications. Les modifications mineures ou purement formelles font l'objet d'une simple mise à jour de la date de version en tête de la présente Politique.
18. Contact DPO et réclamation auprès de l'autorité de contrôle
Délégué à la Protection des Données (DPO) :
- Par courriel : contact@panops.fr
- Par courrier postal : HC SOFT (Panops) — À l'attention du Délégué à la Protection des Données — 520 chemin du Voisinet, 71850 Charnay-lès-Mâcon
Autorité de contrôle compétente :
Commission Nationale de l'Informatique et des Libertés (CNIL) 3 Place de Fontenoy TSA 80715 75334 Paris Cedex 07 Téléphone : 01 53 73 22 22 Site internet : www.cnil.fr
Fait à Charnay-lès-Mâcon, le 28 mai 2026.