Information des personnes · Article 13 RGPD
Politique de confidentialité
Ce document décrit quelles données sont traitées par l’application mobile Portail Salarié du Pôle Interm’aide, à quelles fins, pendant combien de temps, et quels sont vos droits. Il s’applique aux versions iOS et Android.
01 — Responsable du traitement
Le traitement des données personnelles des salarié·es et des personnes en parcours d’insertion via l’application mobile Portail Salarié est réalisé sous la responsabilité conjointe des cinq structures du Pôle Interm’aide.
- Entité juridique principale
- Association Interm’aide
- Structures du Pôle
-
Interm’aide Interval Aliaje Inter’active Inéa
- Adresse du siège
- 5 rue Jules Ferry 59139 Wattignies
- SIRET
- 34494157000022
- Contact délégué·e à la protection des données
- [email protected]
Champ d’application La présente politique porte sur l’application mobile Portail Salarié et le service backend qu’elle interroge (intranet.pole-intermaide.fr). Elle ne couvre pas les traitements RH réalisés par d’autres outils de l’association.
02 — Données collectées
L’application collecte uniquement les données strictement nécessaires à la gestion de votre espace personnel RH. Aucune donnée n’est revendue, louée, ou utilisée à des fins publicitaires.
Données d’identité et de contact professionnel
| Catégorie | Données |
|---|---|
| Identité | Nom, prénom, matricule, photographie (facultative, consentement annuaire) |
| Contact professionnel | Adresse e-mail, téléphone professionnel |
| Organisation | Structure d’appartenance, service, poste, nom du ou de la manager |
| Type de contrat | Permanent (CDI, CDD, CDDI, Alternance) ou non-permanent (parcours d’insertion) |
Données liées à l’authentification
| OTP e-mail | Hash SHA-256 du code à 6 chiffres (durée de vie : 5 minutes) |
| OTP SMS | Numéro de téléphone portable (uniquement pour les salarié·es Inéa ayant opté pour le SMS) |
| Jeton de session mobile | Bearer token aléatoire (30 minutes ou 15 jours si « Se souvenir ») |
| SSO Office 365 | Identifiant Azure Active Directory (si l’utilisateur·rice choisit ce mode de connexion) |
| Traces techniques | Adresse IP, identifiant d’appareil, horodatage des connexions, type d’appareil et version OS |
Données liées aux demandes RH
| Congés | Dates, type (CP, RTT, congé exceptionnel, ancienneté), demi-journées, motif éventuel, signature électronique, compteurs CP N-1 / CP N / RTT |
| Acomptes | Montant, mois de versement, motif, commentaire |
| Notes de frais | Dates, descriptions des dépenses, montants TTC et HT, photos de justificatifs (factures, tickets), kilométrages et trajets |
| Historique et statuts | Cycle de vie des demandes (soumission, validation manager, validation comptabilité, remboursement, refus éventuel) |
Données que l’application ne collecte pas
- Aucune géolocalisation, aucune donnée de localisation précise ou approximative
- Aucun accès au répertoire de contacts, au calendrier, aux photos de la pellicule (hors sélection manuelle pour joindre un justificatif)
- Aucun identifiant publicitaire (IDFA, AAID)
- Aucun traceur analytique tiers (Google Analytics, Facebook SDK, Firebase Analytics, etc.)
- Aucune donnée biométrique — si vous utilisez Face ID ou Touch ID pour déverrouiller l’app, cette vérification reste intégralement sur votre appareil et nous n’y avons pas accès
03 — Finalités du traitement
Les données décrites ci-dessus sont traitées pour les finalités suivantes, et uniquement celles-ci :
- Authentification et gestion de session sur l’application mobile (OTP par e-mail ou SMS, SSO Office 365 ou identifiants WordPress)
- Gestion administrative des demandes de congés, calcul des compteurs, circuit de validation manager
- Gestion des demandes d’acomptes sur salaire et transmission au service comptabilité
- Gestion des notes de frais : saisie, validation manager puis comptabilité, remboursement
- Consultation de l’annuaire professionnel interne et de l’organigramme (pour les personnes ayant donné leur consentement à y figurer)
- Notifications applicatives (rappels de validation, alertes d’acceptation ou de refus — facultatives, désactivables dans les réglages de l’app)
- Journalisation de sécurité pour détecter et prévenir les tentatives d’accès non autorisées (traçabilité, lutte contre la fraude)
- Analyse automatisée des justificatifs de notes de frais par intelligence artificielle (facultative, l’utilisateur·rice saisit manuellement si souhaité)
Pas de décision automatisée Aucune décision produisant des effets juridiques (acceptation ou refus d’une demande, par exemple) n’est prise de manière entièrement automatisée. Un·e manager humain·e valide systématiquement les demandes.
04 — Base légale
Conformément à l’article 6 du RGPD, le traitement repose sur les bases légales suivantes :
- Exécution du contrat de travail
- Congés, acomptes, notes de frais, compteurs et historique (art. 6.1.b RGPD)
- Obligation légale
- Conservation des pièces justificatives comptables, archivage des bulletins, traçabilité sécurité (art. 6.1.c RGPD)
- Intérêt légitime
- Sécurité du système d’information, journalisation, détection d’intrusion (art. 6.1.f RGPD)
- Consentement
- Présence dans l’annuaire professionnel, photographie, notifications push, utilisation de l’IA pour analyser un justificatif (art. 6.1.a RGPD) — consentement retirable à tout moment
05 — Destinataires et tiers
Les données ne sont communiquées qu’aux personnes et sous-traitants strictement nécessaires à l’exécution des finalités décrites.
Destinataires internes
- Le ou la salarié·e concerné·e (ses propres données)
- Son ou sa manager direct·e, et les personnes ayant reçu une délégation de sa part
- Le service Ressources humaines et le service Comptabilité, dans la limite de leurs missions
- Les administrateur·rices du système d’information, pour la seule maintenance technique
Sous-traitants et tiers techniques
| Service | Rôle | Localisation |
|---|---|---|
| OVHcloud (Plesk) | Hébergement du serveur backend | France (UE) |
| Cloudflare | Reverse proxy, protection anti-DDoS, CDN | UE / États-Unis (DPF) |
| Twilio | Envoi des SMS OTP (Inéa uniquement) | États-Unis (DPF) |
| Microsoft Azure AD | SSO Office 365 (facultatif, sur demande de l’utilisateur·rice) | UE |
| Apple Push Notification service | Notifications push iOS (facultatives) | États-Unis (DPF) |
| Google Firebase Cloud Messaging | Notifications push Android (facultatives) | UE / États-Unis (DPF) |
| OpenAI / Anthropic | Analyse optionnelle des justificatifs de notes de frais par IA | États-Unis (DPF) |
Les sous-traitants situés hors de l’Espace économique européen (EEE) sont encadrés soit par le Data Privacy Framework (DPF) pour les États-Unis, soit par les clauses contractuelles types adoptées par la Commission européenne.
Les données ne sont jamais vendues, louées ni cédées à des tiers à des fins commerciales ou publicitaires. Aucune donnée n’est transmise à des plateformes tierces sans rapport avec les finalités énumérées au paragraphe 3.
06 — Durées de conservation
Les données sont conservées pendant la durée strictement nécessaire à la finalité, puis archivées ou supprimées selon les obligations légales applicables.
| Donnée | Durée active | Archivage légal |
|---|---|---|
| Code OTP (e-mail / SMS) | 5 minutes | Néant |
| Jeton de session mobile | 30 minutes à 15 jours | Néant |
| Journaux de sécurité (connexions, IP) | 1 an | Néant |
| Demandes de congés, acomptes, compteurs | Durée de la relation contractuelle | 5 ans après le départ de la personne (art. L3171-3 Code du travail) |
| Notes de frais et justificatifs | Durée de la relation contractuelle | 10 ans (art. L123-22 Code de commerce) |
| Photographie de profil, fiche annuaire | Durée de la relation contractuelle ou jusqu’au retrait du consentement | Suppression à la sortie des effectifs |
| Liens de validation manager par e-mail | 30 jours par défaut (extension automatique en cas de rappel) | Néant |
| Brouillons de notes de frais | 30 jours à partir de la dernière modification | Néant |
07 — Sécurité
Le Pôle Interm’aide met en œuvre des mesures techniques et organisationnelles pour protéger vos données contre l’accès non autorisé, la perte, l’altération ou la divulgation.
- Communications chiffrées de bout en bout en HTTPS (TLS 1.3)
- Mots de passe stockés sous forme de hash irréversible
- Codes OTP stockés uniquement sous forme de hash SHA-256 avec sel serveur
- Jetons d’authentification signés par HMAC-SHA256 avec comparaison temps-constant
- Limitation du nombre de tentatives de connexion par adresse IP et par compte
- Journalisation des accès et des actions critiques, pour traçabilité
- Hébergement souverain en France (OVHcloud)
- Accès cloisonnés par rôles applicatifs (manager, RH, comptabilité, administrateur·rice)
En cas de violation Toute violation de données susceptible d’engendrer un risque pour les droits et libertés des personnes concernées fera l’objet d’une notification à la Commission nationale de l’informatique et des libertés (CNIL) dans un délai de 72 heures, conformément à l’article 33 du RGPD.
08 — Vos droits
Conformément au Règlement général sur la protection des données (RGPD) et à la Loi Informatique et Libertés, vous disposez des droits suivants sur vos données personnelles :
- Droit d’accès
- Obtenir la confirmation que vos données sont traitées et en recevoir une copie (art. 15 RGPD)
- Droit de rectification
- Faire corriger une donnée inexacte ou incomplète (art. 16 RGPD)
- Droit à l’effacement
- Demander la suppression de vos données, sous réserve des obligations légales de conservation (art. 17 RGPD)
- Droit à la limitation
- Demander la suspension temporaire d’un traitement contesté (art. 18 RGPD)
- Droit à la portabilité
- Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (art. 20 RGPD)
- Droit d’opposition
- Vous opposer à un traitement fondé sur l’intérêt légitime (art. 21 RGPD)
- Droit de retirer votre consentement
- À tout moment, sans rétroactivité, pour les traitements fondés sur celui-ci — notamment annuaire, photographie, notifications push, analyse IA des justificatifs (art. 7.3 RGPD)
- Droit de définir des directives post-mortem
- Concernant le sort de vos données après votre décès (art. 85 de la loi Informatique et Libertés)
Depuis l’application, vous pouvez également à tout moment :
- Consulter les données qui vous concernent dans votre espace personnel
- Exporter vos données au format JSON (fonctionnalité « Exporter mes données »)
- Activer ou désactiver les notifications push
- Modifier le consentement d’affichage dans l’annuaire
- Vous déconnecter de tous vos appareils
09 — Contact et exercice des droits
Pour exercer vos droits ou pour toute question relative au traitement de vos données personnelles, vous pouvez contacter le délégué·e à la protection des données du Pôle Interm’aide par l’un des moyens suivants :
Délégué·e à la protection des données
E-mail [email protected]
Courrier Association Interm’aide — Service RGPD — [adresse postale du siège à compléter]
Une réponse vous sera apportée dans le délai maximum d’un mois à compter de la réception de votre demande, conformément à l’article 12 du RGPD. Ce délai peut être prolongé de deux mois en cas de demande complexe, avec information préalable de votre part.
Si vous estimez que vos droits ne sont pas respectés, vous disposez du droit d’introduire une réclamation auprès de l’autorité de contrôle française :
CNIL — Commission nationale de l’informatique et des libertés
3 place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
Téléphone : 01 53 73 22 22
Site web : www.cnil.fr
10 — Modifications
La présente politique peut être mise à jour pour refléter des évolutions légales, réglementaires, techniques ou fonctionnelles de l’application. Toute modification substantielle sera portée à votre attention par une notification dans l’application ou par e-mail.
La version en vigueur est toujours celle accessible à l’adresse pole-intermaide.fr/confidentialite-app-mobile/ avec mention de sa date d’entrée en vigueur dans l’en-tête.
Document rédigé conformément aux exigences de l’article 13 du RGPD, de la Loi Informatique et Libertés, ainsi qu’aux Apple App Store Review Guidelines (section 5.1.1) et aux règles Google Play Data Safety.