Dernière mise à jour : [date à compléter]
La présente politique décrit la manière dont la société OREXIS, éditrice du service OpusRH, traite les données à caractère personnel, conformément au Règlement (UE) 2016/679 (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée (« Informatique et Libertés »).
Les traceurs et cookies font l'objet d'une page distincte : « Confidentialité et cookies ».
Pour les traitements décrits à la section 3, le responsable de traitement est :
OREXIS, SAS au capital de 1 000 €
322 rue des Rameaux, 07430 Davézieux
R.C.S. Aubenas 991 715 210
Contact données personnelles : rgpd@jhm-it.fr
Le service OpusRH implique deux situations distinctes au sens du RGPD :
a. Demandes de contact.
Données : nom de l'entreprise, nom et prénom du demandeur, adresse e-mail, numéro de téléphone, SIREN, effectif de l'entreprise.
Finalité : répondre à la demande et, le cas échéant, établir une relation commerciale.
Base légale : mesures précontractuelles prises à la demande de la personne (art. 6.1.b) et intérêt légitime d'OREXIS à développer son activité (art. 6.1.f).
[À COMPLÉTER : le formulaire de contact est en cours de mise en place ; cette section s'applique dès sa mise en ligne.]
b. Gestion de la relation client et facturation.
OREXIS commercialise ses licences soit directement auprès d'entreprises, soit auprès de revendeurs qui les revendent ensuite à leurs propres clients. Les personnes concernées sont donc les clients directs et les revendeurs, ainsi que leurs représentants.
Données : identité et coordonnées du client ou du revendeur et de son représentant, informations d'abonnement et de paiement.
Finalité : conclusion et exécution du contrat, facturation, respect des obligations comptables et fiscales.
Base légale : exécution du contrat (art. 6.1.b) et obligation légale (art. 6.1.c).
Le traitement des paiements est assuré par Stripe (voir sections 4 et 6) ; OREXIS ne conserve pas les numéros de carte bancaire.
c. Prospection commerciale (B2B).
Données : coordonnées professionnelles (nom, fonction, e-mail professionnel, entreprise).
Finalité : démarchage commercial auprès de professionnels par voie électronique.
Base légale : intérêt légitime (art. 6.1.f). Chaque communication comporte un moyen simple de s'opposer à de nouveaux envois.
d. Support et assistance.
Données : coordonnées et contenu des échanges.
Finalité : traiter les demandes d'assistance et de support.
Base légale : exécution du contrat (art. 6.1.b) ou intérêt légitime (art. 6.1.f).
e. Sécurité et journalisation.
Données : adresse IP et informations sur l'appareil lors des connexions aux comptes et des demandes de réinitialisation de mot de passe ; journaux d'audit des actions réalisées sur la plateforme.
Finalité : sécuriser l'accès, prévenir les accès frauduleux, assurer la traçabilité.
Base légale : intérêt légitime (art. 6.1.f).
Précision technique : l'agent de mesure installé sur les postes ne collecte pas d'adresse IP.
Les données ne sont ni vendues ni cédées. Elles sont accessibles au personnel habilité d'OREXIS et aux sous-traitants techniques suivants :
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| OVH SAS | Hébergement | France (UE) |
| Gandi SAS | Envoi des e-mails (SMTP) | Union européenne |
| Stripe | Traitement des paiements | Irlande (UE) avec transfert vers les États-Unis — voir section 6 |
Pour les données de la plateforme (comptes utilisateurs, activité des salariés), OREXIS agit exclusivement sur instruction du client responsable de traitement, ne les utilise pas à d'autres fins, met en œuvre des mesures de sécurité appropriées et encadre le recours à d'éventuels sous-traitants ultérieurs. Les personnes concernées (salariés) exercent leurs droits auprès de leur employeur, responsable de traitement.
Lorsqu'un revendeur administre l'espace OpusRH de ses propres clients, il agit dans le cadre défini contractuellement. [À COMPLÉTER : le rôle exact des revendeurs à l'égard des données des clients finaux (sous-traitant ultérieur ou responsable) doit être précisé dans les contrats de revente — à cadrer avec un conseil juridique.]
L'hébergement (OVH) et l'envoi d'e-mails (Gandi) sont réalisés au sein de l'Union européenne.
Le traitement des paiements par Stripe implique un transfert de données vers les États-Unis (Stripe, LLC). Ce transfert est encadré par les garanties prévues au chapitre V du RGPD : Stripe est certifié au titre du cadre de protection des données UE–États-Unis (EU-U.S. Data Privacy Framework) et met en œuvre les clauses contractuelles types de la Commission européenne. Aucun autre transfert hors UE n'est réalisé.
| Données | Durée |
|---|---|
| Compte client et données de la plateforme, après résiliation / suspension / non-paiement | 365 jours |
| Compte resté en période d'essai sans souscription | 60 jours |
| Données d'activité des salariés | mêmes durées que ci-dessus |
| Journaux techniques et d'audit | 5 ans |
| Données de facturation et comptables | 10 ans (obligation légale) |
| Demandes de contact / prospection | 3 ans à compter du dernier contact |
OREXIS met en œuvre des mesures techniques et organisationnelles pour protéger les données : chiffrement des communications (HTTPS), stockage des mots de passe sous forme de condensats (hachage), authentification renforcée par code à usage unique, cloisonnement des données par client et journalisation des accès.
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits d'accès, de rectification, d'effacement, de limitation, d'opposition et de portabilité de vos données, ainsi que du droit de définir des directives relatives à leur sort après votre décès.
Pour les exercer, écrivez à rgpd@jhm-it.fr. (Pour les données relatives à l'activité des salariés, la demande doit être adressée à l'employeur, responsable de traitement.)
Vous disposez également du droit d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL) — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr.
La fonction de détection d'anomalies (« anti-fraude ») produit uniquement des signalements destinés à être examinés par une personne. Aucune décision produisant des effets juridiques ou affectant de manière significative une personne n'est prise de manière automatisée au sens de l'article 22 du RGPD : aucun blocage ni aucune sanction n'est déclenché automatiquement par cet outil.
Pour toute question relative à la protection de vos données, un point de contact dédié est joignable à l'adresse rgpd@jhm-it.fr.
[À COMPLÉTER — point important : la désignation d'un délégué à la protection des données (DPO) est très probablement obligatoire compte tenu de l'activité de suivi de l'activité de salariés (art. 37.1.b RGPD). Ce délégué ne peut pas être le dirigeant de la société, en situation de conflit d'intérêts au sens de l'art. 38.6 RGPD (position confirmée par la CNIL, qui cite expressément le gérant / président / directeur général) : une telle désignation serait juridiquement nulle. Le recours à un DPO externe est recommandé ; ses coordonnées seront publiées ici et déclarées à la CNIL une fois la désignation effectuée.]
La présente politique peut être mise à jour. La version applicable est celle publiée sur le site à la date de consultation.