Avenant de Traitement de Données

Le présent avenant régit le traitement par Skeldy des Données Personnelles Client pour le compte du client. Le client est responsable du traitement ; Skeldy SAS est sous-traitant.

• Personnes concernées — équipiers, managers et utilisateurs autorisés du client.
• Catégories — identification (nom, e-mail), métadonnées d'emploi (rôle, section, qualifications), données de planning, communications dans le produit, journaux d'audit (mutations privilégiées, conservation 13 mois) et journaux de sécurité.
• Aucune catégorie particulière (Art. 9 RGPD) n'est traitée par défaut. Les données de santé, telles que les motifs d'arrêt maladie, ne doivent pas être saisies dans Skeldy.

Le traitement dure pendant l'abonnement, plus la fenêtre de suppression décrite ci-dessous. Skeldy traite les données uniquement sur instructions documentées du client, y compris les instructions données via l'interface produit et l'API.

Skeldy utilise les sous-traitants listés dans la Politique de confidentialité. Nous notifions les clients de tout nouveau sous-traitant au moins 30 jours à l'avance. Les clients peuvent s'y opposer pour motif raisonnable ; en l'absence de résolution, le client peut résilier le service concerné.

Les données de production résident en UE. Lorsque des transferts hors EEE sont nécessaires (ex. Stripe), nous nous appuyons sur les Clauses Contractuelles Types (Décision 2021/914) ainsi que des mesures techniques supplémentaires. Le module pertinent des CCT est intégré par référence au présent avenant.

• Chiffrement — TLS 1.2+ en transit, AES-256 au repos.
• Accès — accès au moindre privilège basé sur les rôles ; MFA disponible pour les comptes administrateurs.
• Base de données — politiques RLS sur chaque table reflétant la hiérarchie.
• Journalisation — mutations privilégiées tracées via triggers en base, conservation 13 mois.
• Sauvegardes — Point-in-Time Recovery activé, restauration testée au moins annuellement.
• Pen-test — test indépendant au moins annuel ; remédiation des findings critiques et élevés avant lancement.
• Personnel — engagements de confidentialité, formation sécurité annuelle.

Skeldy fournit des endpoints d'export et de suppression en libre-service. Lorsqu'une assistance complémentaire est nécessaire, nous l'apportons sous 30 jours. Contact : [email protected].

Nous notifions le client sans retard injustifié, au plus tard sous 72 heures à compter de la connaissance d'une violation affectant les Données Personnelles Client, avec les éléments nécessaires aux obligations RGPD du client (Art. 33 / 34).

Les clients peuvent demander des informations d'audit une fois par période de 12 mois, satisfaites par les rapports SOC 2, les synthèses de pen-test ou les réponses à un questionnaire sécurité. Les audits sur site sont disponibles lorsque la loi l'exige, aux frais de la partie demanderesse.

À la résiliation, le client peut exporter ses données pendant 30 jours. Passé ce délai, Skeldy supprime les Données Personnelles Client dans un délai de 30 jours supplémentaires, sauf conservation imposée par la loi (ex. pièces de facturation).