Cette page traite d'un sujet juridique. Elle est en cours de validation par notre caution juridique. Le contenu est susceptible de précisions.
Politique de confidentialité
Mise à jour le 23 mai 2026. Cette politique décrit les traitements de données personnelles mis en œuvre par Ekipal, en application du Règlement (UE) 2016/679 (RGPD) et de la loi Informatique et Libertés modifiée.
1. Architecture des responsabilités
Vous restez responsable de traitement de vos données RH ; Ekipal agit comme sous-traitant, dans le cadre d'un accord de sous-traitance (DPA) signé à la création de votre compte.
Concrètement : vous (l'entreprise cliente) êtes responsable de traitement des données RH de vos salariés. Ekipal est sous-traitant au sens de l'article 28 du RGPD : nous traitons les données pour votre compte et sur vos instructions, dans le cadre du DPA signé à la création de votre compte (voir /dpa).
En revanche, Ekipal est responsable de traitement pour les données strictement nécessaires à l'exécution du Service : compte responsable RH (email, mot de passe haché), facturation Stripe, logs de connexion, mesure d'audience (anonymisée).
2. Données traitées
2.1 - Données du compte responsable RH (Ekipal RT)
- Identité : prénom, nom, email.
- Authentification : mot de passe haché (jamais en clair), token de session.
- Facturation : gérée par Stripe - Ekipal ne stocke aucune coordonnée bancaire.
- Logs techniques : date/heure de connexion, adresse IP, user-agent.
2.2 - Données des salariés (vous RT, Ekipal ST)
- État civil : prénom, nom, email, date de naissance, matricule.
- Contrat de travail : dates d'entrée/sortie, type, temps de travail, fonction, service.
- Hiérarchie : lien manager (interne ou externe).
- Historique des entretiens : convocations envoyées, préparations rédigées, comptes-rendus signés, audit trail SES (date, IP).
3. Finalités et bases légales
- Suivi des entretiens professionnels obligatoires (vous RT) : obligation légale, article L. 6315-1 du Code du travail.
- Production de la preuve de conformité (vous RT) : intérêt légitime à pouvoir démontrer le respect de cette obligation en cas de contrôle URSSAF / inspection du travail.
- Exécution du contrat d'abonnement (Ekipal RT) : art. 6.1.b RGPD.
- Sécurité du Service (Ekipal RT) : intérêt légitime - détection des accès anormaux, prévention des abus.
4. Durées de conservation
Conformément au référentiel CNIL « Gestion des ressources humaines » (délibération n° 2026-031 du 29 janvier 2026) et à l'article 2224 du Code civil :
- Les comptes-rendus d'entretien de parcours professionnel sont conservés 6 ans à compter de leur signature (référentiel CNIL « Gestion des ressources humaines », délibération n° 2026-031 du 29 janvier 2026).
- Les bilans récapitulatifs sont conservés 8 ans à compter de leur signature, en cohérence avec la périodicité de l'article L. 6315-1 du Code du travail réformé par la loi n° 2025-989 du 24 octobre 2025.
- Données du compte responsable RH : durée de l'abonnement + 3 ans (prescription commerciale). Les comptes inactifs sans campagne active depuis 12 mois reçoivent un préavis de 30 jours avant suppression.
- Logs techniques : 1 an glissant.
- Données de facturation : 10 ans (obligation comptable art. L. 123-22 du Code de commerce).
5. Destinataires
- Sous-traitants techniques d'Ekipal - détail dans le DPA (Supabase pour l'hébergement des données, Mailjet pour l'envoi d'emails, Stripe pour le paiement).
- Salariés concernés : chaque salarié accède à ses propres données via un lien sécurisé (préparation, relecture du compte-rendu).
- Tiers en cas d'obligation légale : autorités URSSAF, inspection du travail, sur réquisition.
Aucune transmission à des tiers à des fins commerciales, publicitaires, ou d'analyse non nécessaire au Service.
6. Hébergement et transferts
Les données applicatives sont hébergées en France (AWS eu-west-3, Paris) via Supabase. Le site marketing https://ekipal.com est hébergé par Netlify (États-Unis) - il ne traite que des données techniques anonymes (mesure d'audience). Aucune donnée personnelle de salarié n'est transférée hors UE dans le cadre du Service.
7. Vos droits (et ceux de vos salariés)
7.1 - Côté entreprise cliente (compte responsable RH)
Vous disposez d'un droit d'accès, de rectification, d'effacement, de limitation, d'opposition et de portabilité de vos données de compte. Adressez votre demande à contact@ekipal.com.
7.2 - Côté salariés de votre entreprise
En tant que responsable de traitement, vous êtes le premier point de contact de vos salariés pour l'exercice de leurs droits RGPD. Ekipal vous fournit deux outils dans l'application :
- un export individuel (JSON) des données d'un salarié, sur la fiche salarié, pour répondre à une demande d'accès art. 15 ;
- une action « Anonymiser » qui remplace les données personnelles par des placeholders neutres, pour répondre à une demande d'effacement art. 17. Les comptes-rendus signés et leur audit trail restent conservés (ils constituent une preuve légale dont la conservation est requise).
8. Sécurité
- Chiffrement TLS 1.3 de toutes les communications.
- Cloisonnement multi-tenant strict par Row Level Security PostgreSQL.
- Mots de passe stockés avec hachage bcrypt (jamais en clair).
- Sauvegardes chiffrées quotidiennes, rétention 30 jours.
- Audit de sécurité automatisé (Semgrep SAST + audit dépendances).
9. Cookies
Le site https://ekipal.com et l'application https://app.ekipal.com n'utilisent aucun cookie de tracking publicitaire ni de profilage. Seuls des cookies strictement nécessaires sont posés (session authentifiée, préférences linguistiques). Aucun consentement n'est requis pour ces cookies (CNIL, ligne directrice du 17 septembre 2020).
10. Réclamation CNIL
Si vous estimez qu'un traitement n'est pas conforme au RGPD, vous pouvez introduire une réclamation auprès de la CNIL - 3 Place de Fontenoy, 75007 Paris - cnil.fr/fr/plaintes .
Contact protection des données : contact@ekipal.com.