Politique de confidentialité

Skeldy SAS (Skeldy SAS, 12 rue de la Paix, 75002 Paris, France) est responsable du traitement des données personnelles collectées via Skeldy. Société immatriculée en France, RCS Paris (numéro à confirmer lors de l'immatriculation).

Pour toute question relative à la confidentialité : [email protected]. Pour le Délégué à la Protection des Données (DPO) : [email protected].

Nous collectons le strict minimum nécessaire au fonctionnement du service. Les catégories sont :

• Données de compte — nom, e-mail, rôle, appartenance organisationnelle.
• Données de planning — shifts, sections, qualifications, disponibilités, préférences.
• Communications — messages, commentaires, traductions de broadcasts au sein du produit.
• Données de facturation — gérées par Stripe ; nous ne recevons que des métadonnées non sensibles (4 derniers chiffres de la carte, pays).
• Analytics produit — pages vues, clics, usage. Collectés uniquement avec votre consentement explicite.
• Données techniques — adresse IP, user agent, journaux de requêtes (conservés 30 jours pour la sécurité).

Chaque traitement repose sur une finalité précise et une base légale au sens de l'article 6 du RGPD :

Fournir le service

Exécution du contrat (Art. 6.1.b). Inclut la création de compte, le planning, la reconfiguration assistée par IA, la traduction de broadcasts et les contrôles de conformité.

Facturation et fiscalité

Obligation légale (Art. 6.1.c) et exécution du contrat.

Sécurité et lutte contre les abus

Intérêt légitime (Art. 6.1.f). Inclut les journaux d'audit (mutations privilégiées), la limitation de débit et la détection de fraude.

Analytics et amélioration produit

Consentement (Art. 6.1.a). Vous pouvez retirer votre consentement à tout moment via le bandeau cookies ou /cookies.

Support client

Exécution du contrat et intérêt légitime.

Le produit est hébergé sur une infrastructure européenne. Les données de production résident en eu-central-1 (Francfort). Nos sous-traitants :

• Supabase (base de données, authentification, stockage) — eu-central-1.
• Vercel (hébergement web) — régions UE, configuration Vercel Pro EU.
• Resend (e-mails transactionnels) — région UE.
• Stripe (paiements) — UE et États-Unis, Clauses Contractuelles Types en place.
• Google LLC (API Google AI — inférence LLM, texte et vision) — infrastructure mondiale ; résidence des données UE non garantie contractuellement. Conditions : business.safety.google/sar/
• Sentry (supervision d'erreurs) — instance UE.
• PostHog (analytics produit, opt-in uniquement) — eu.posthog.com.
• Plain (chat de support intégré) — les opérateurs traitent les conversations de support que vous initiez via le widget intégré ou [email protected].

Lorsqu'un transfert hors UE/EEE est inévitable, nous nous appuyons sur les Clauses Contractuelles Types (Décision 2021/914) et des mesures supplémentaires (chiffrement en transit et au repos, accès basé sur les rôles, journalisation d'audit sur les mutations privilégiées).

⚠ Note : L'API Google AI (aistudio.google.com) ne garantit pas contractuellement la résidence des données dans l'UE. Les données traitées par l'assistant de planification IA peuvent être traitées sur l'infrastructure mondiale de Google. Cela diffère de notre précédent accord Vertex AI europe-west4. Nous évaluons un retour à une infrastructure IA dans la région UE. Si cela affecte vos exigences de conformité, contactez-nous à [email protected].

• Données de compte — pour la durée de l'abonnement, plus 30 jours après résiliation.
• Données de planning — pour la durée de l'abonnement, plus 30 jours ; export possible à tout moment via l'endpoint RGPD.
• Journaux d'audit — 13 mois (sécurité et résolution de litiges) ; appliqué par une tâche quotidienne en base.
• Pièces de facturation — 10 ans (Code de commerce français).
• Photos de l'Audit Conformité Gratuit — chiffrées et supprimées automatiquement après 1 heure.
• Événements analytics — 12 mois, uniquement avec consentement.

Vous disposez d'un droit d'accès, de rectification, d'effacement, de limitation, de portabilité et d'opposition au traitement de vos données personnelles, ainsi que du droit de retirer votre consentement à tout moment, sans affecter la licéité du traitement antérieur.

Vous pouvez exercer ces droits depuis votre compte, via les endpoints RGPD en libre-service (/api/gdpr/export fournit une archive JSON de vos données ; /api/gdpr/delete planifie la suppression sous réserve des exceptions de conservation légale), ou en écrivant à [email protected]. Nous répondons dans un délai d'un mois, prolongeable de deux mois supplémentaires pour les demandes complexes avec notification.

Vous pouvez introduire une réclamation auprès de la CNIL (France, www.cnil.fr) ou auprès de l'autorité de contrôle de votre lieu de résidence habituel, lieu de travail, ou lieu de l'infraction présumée — par exemple AEPD (Espagne), BfDI (Allemagne), Garante (Italie) ou Information Commissioner's Office (Royaume-Uni).

Si votre Directeur Général ou votre Manager de Section vous invite sur Skeldy, nous recevons votre nom, e-mail, rôle et affectation de service de leur part plutôt que directement de vous (Art. 14 RGPD). La base légale est l'intérêt légitime de l'organisation à exploiter son planning, mis en balance avec vos intérêts via la présente information et les droits ci-dessous. Vous pouvez vous opposer à tout moment en contactant votre Directeur Général ou en nous écrivant.

Les fonctionnalités IA de Skeldy (vérification de conformité, reconfiguration de planning, diffusion multilingue, OCR photo pour l'Audit Conformité Gratuit) proposent des résultats ; elles n'appliquent jamais automatiquement de modifications affectant vos shifts. Un Directeur Général ou un Manager de Section examine et confirme toujours avant publication. Vous n'êtes pas soumis à une décision fondée exclusivement sur un traitement automatisé au sens de l'Art. 22(1) RGPD.

Si vous estimez qu'une suggestion de l'IA appliquée par votre manager vous a injustement affecté, vous avez le droit d'obtenir une explication, de contester la décision et de demander un réexamen humain. Contactez d'abord votre Directeur Général ; si la situation reste non résolue, écrivez-nous.

Skeldy est une plateforme B2B de gestion d'équipe et n'est pas destinée aux enfants. Lorsque des collaborateurs mineurs sont planifiés (le plus souvent des apprentis de 16-17 ans), le Directeur Général est responsable de confirmer l'autorisation parentale lorsqu'elle est requise par la législation nationale. Le moteur de conformité de Skeldy applique automatiquement les restrictions par pays pour les mineurs (pas de shifts de nuit, repos obligatoire, plafonds hebdomadaires). Nous ne collectons pas sciemment de données personnelles d'enfants en dessous de l'âge national de consentement numérique sans autorisation parentale.

Chiffrement en transit (TLS 1.2+) et au repos (AES-256). Sécurité au niveau ligne (RLS) sur chaque table. Contrôle d'accès basé sur la hiérarchie (Directeur Général, Manager de Section, Équipier). Journaux d'audit sur les mutations privilégiées (shifts, règles, équipe, établissements, abonnements, invitations, imports), conservation 13 mois. Tests d'intrusion annuels. Démarche SOC 2 Type 1 en cours.

Les vulnérabilités présumées peuvent être signalées de manière confidentielle à [email protected].

Nous notifions les clients par e-mail au moins 14 jours avant toute modification substantielle. La date d'effet en haut de page reflète la version actuellement en vigueur.