Politique de confidentialité
Dernière mise à jour : 25 mai 2025
1. Responsable du traitement
Le responsable du traitement des données personnelles collectées via la Plateforme Nexus est :
- Quartz SAS, Paris, France
- Email DPO : assistance.quartzbase@mail.fr
2. Données collectées
Dans le cadre de l'utilisation de la Plateforme, nous collectons les catégories de données suivantes :
2.1 Données d'identification
- Nom, prénom
- Adresse e-mail professionnelle
- Numéro de téléphone (optionnel)
- Poste et type de contrat
2.2 Données de gestion RH
- Plannings et horaires de travail
- Enregistrements de présence (pointages)
- Demandes de congés et absences
- Retards et justifications associées
- Contrats et dates d'échéance
2.3 Données techniques
- Adresse IP
- Données de connexion et logs d'accès
- Préférences d'interface (thème)
3. Finalités et bases légales
| Finalité | Base légale |
|---|---|
| Gestion de la relation employeur-employé (planning, présences, congés) | Exécution du contrat (Art. 6.1.b RGPD) |
| Conformité légale (droit du travail, obligations sociales) | Obligation légale (Art. 6.1.c RGPD) |
| Amélioration de la Plateforme, sécurité, logs techniques | Intérêt légitime (Art. 6.1.f RGPD) |
| Envoi de notifications par email (planning, alertes) | Exécution du contrat (Art. 6.1.b RGPD) |
4. Durée de conservation
- Données RH actives : durée de la relation contractuelle + 5 ans (prescription de droit commun)
- Bulletins de salaire et documents de paie : 5 ans
- Données de présence et pointages (badgeuse) : 3 ans
- Logs techniques et journal d'audit : 12 mois glissants
- Données d'un employé archivé : 3 ans après archivage, puis suppression automatique
5. Destinataires des données
Les données personnelles sont accessibles aux personnes suivantes :
- Équipe Quartz SAS — administration technique de la Plateforme
- Managers et superviseurs de votre établissement — dans le cadre de leurs missions
- L'employé concerné — pour ses propres données (planning, congés, présences)
Nous faisons appel aux sous-traitants suivants :
- Supabase Inc. — stockage des données (serveurs en région UE, eu-west-3 Paris)
- Vercel Inc. — hébergement de l'application (340 Pine Street, San Francisco)
- Anthropic PBC — traitement IA (génération de planning, assistant RH) — données anonymisées, non stockées
- Resend Inc. — envoi des emails transactionnels
Aucune donnée n'est vendue ni cédée à des tiers à des fins commerciales.
6. Transferts hors UE
Certains sous-traitants (Vercel, Resend, Anthropic) sont établis aux États-Unis. Ces transferts sont encadrés par des clauses contractuelles types (CCT) approuvées par la Commission européenne, conformément à l'article 46 du RGPD. Les données transmises à Anthropic pour les fonctions IA sont limitées au strict nécessaire et ne sont pas conservées à des fins d'entraînement.
7. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès (Art. 15) — obtenir une copie de vos données
- Droit de rectification (Art. 16) — corriger des données inexactes
- Droit à l'effacement (Art. 17) — demander la suppression de vos données
- Droit à la portabilité (Art. 20) — recevoir vos données dans un format structuré
- Droit d'opposition (Art. 21) — vous opposer à certains traitements
- Droit à la limitation (Art. 18) — restreindre temporairement un traitement
Pour exercer ces droits, contactez notre DPO à assistance.quartzbase@mail.fr. Nous répondons dans un délai maximum de 30 jours.
En cas de réponse insatisfaisante, vous pouvez introduire une réclamation auprès de la CNIL (www.cnil.fr).
8. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données : chiffrement TLS en transit, chiffrement au repos, authentification sécurisée via JWT, contrôle d'accès basé sur les rôles (RLS Supabase), sauvegardes régulières.
9. Modifications
Quartz SAS se réserve le droit de modifier la présente politique à tout moment. Toute modification substantielle sera notifiée par email aux utilisateurs actifs au moins 15 jours avant son entrée en vigueur.