Protection des données et confidentialité

Qui fait quoi ?

Cadre expérimental : dans le cadre d’une phase d’expérimentation, l’outil est mis à disposition à titre volontaire par des organisations utilisatrices.

Organisation utilisatrice (responsable de traitement) : chaque organisation utilisatrice agit en tant que responsable de traitement pour les données qu’elle saisit et gère dans l’outil (ex: agents, plannings, affectations) et détermine les finalités et moyens du traitement.

Éditeur (prestataire technique) : l’éditeur met à disposition l’application logicielle et intervient uniquement pour l’exploitation, la maintenance, la sécurité et l’assistance technique, sans finalité propre sur les données.

Pour les demandes RGPD (droits, DPO, registre), contactez votre organisation utilisatrice. À défaut, vous pouvez contacter l’éditeur pour être orienté. Pour les questions techniques liées au service : admin@planifyto.fr

Pourquoi nous traitons vos données

• Gestion du planning et des affectations — mission d’intérêt public / organisation du service public (ou, le cas échéant, intérêt légitime de l’organisation utilisatrice)
• Envoi d’e-mails transactionnels (ex: réinitialisation de mot de passe) — exécution d’un contrat (ou, le cas échéant, intérêt légitime de l’organisation utilisatrice)
• Statistiques et tableaux de bord (calculs en temps réel, non conservés) — mission d’intérêt public (ou, le cas échéant, intérêt légitime de l’organisation utilisatrice)
• Authentification et sécurité — obligation légale (et/ou intérêt légitime selon le cadre applicable à l’organisation utilisatrice)

Les bases légales exactes dépendent du statut et des missions de l’organisation utilisatrice (ex: établissement public, structure privée, etc.).

Données que nous traitons

• Données d’identification : nom, initiale du prénom ; adresse e‑mail professionnelle (si fournie).
• Données organisationnelles : compétences/habilitations, horaires, affectations, disponibilités et indisponibilités. Les compétences/habilitations sont limitées à des informations strictement professionnelles, sans lien avec l’état de santé ou des données sensibles.
• Métadonnées techniques & journaux : journaux applicatifs et journaux serveur (ex : adresses IP) à des fins de sécurité et de diagnostic. Ces journaux ne sont accessibles qu’aux personnes habilitées et ne sont jamais utilisés à des fins de surveillance des utilisateurs.
• Exclusions : aucune donnée « sensible » au sens du RGPD (santé, opinions, etc.).

Durées de conservation

• Données de planning: Durée nécessaire à la gestion opérationnelle et à l’analyse statistique, puis anonymisation ou suppression (durée indicative maximale : 24 à 36 mois)
• Comptes/utilisateurs: 12 mois
• Logs techniques: 3 mois

Mesures de sécurité

• Chiffrement en transit (HTTPS/TLS) et contrôle d’accès basé sur rôles (RBAC).
• Les mots de passe sont stockés sous forme de hachage sécurisé conformément aux bonnes pratiques de l’état de l’art.
• Journalisation des actions et événements de sécurité (logs consultables).
• Surveillance : à ce jour, pas d’alerting automatisé (suivi via consultation des journaux).
• Sauvegardes quotidiennes ; rétention maximale 10 jours (stockage sur la même infrastructure d’hébergement).
• Principe de minimisation et cloisonnement par site/service.

Accès et partage

Accès réservé aux personnes habilitées (encadrement/administration) sur le périmètre autorisé. Les prestataires d’hébergement peuvent accéder aux journaux techniques, strictement pour maintenance.

Transferts hors UE

Aucun transfert hors Union européenne n’est recherché. Si un transfert hors UE devait être nécessaire, un encadrement adéquat (ex: Clauses Contractuelles Types — CCT) sera mis en place et documenté.

Où sont hébergées vos données ?

Hébergeur: OVHcloud — Localisation: France
Base de données: MySQL — Localisation: France

Sous-traitants principaux : OVHcloud (hébergement) ; OVHcloud (service e-mail / SMTP).

Vos droits

• Droit d’accès, de rectification, d’effacement
• Droit d’opposition et de limitation
• Droit à la portabilité

Pour exercer vos droits, contactez votre organisation utilisatrice (responsable de traitement) ou, à défaut, l’éditeur pour toute demande d’orientation.