Conformité RGPD
Responsable de traitement
Le responsable du traitement des données personnelles est :
Raison sociale : [TODO: Nom de la société]
Adresse : [TODO: Adresse du siège social]
Représentant légal : [TODO: Nom du représentant légal]
Délégué à la Protection des Données (DPO)
Un Délégué à la Protection des Données a été désigné conformément à l'article 37 du RGPD :
Nom : [TODO: Nom du DPO]
Email : [TODO: email du DPO]
Adresse : [TODO: adresse postale du DPO]
Registre des traitements
Conformément à l'article 30 du RGPD, nous tenons un registre des activités de traitement. Les principaux traitements sont :
| Traitement | Finalité | Base légale | Durée |
|---|---|---|---|
| Gestion des comptes consultants | Accès à la plateforme | Contrat | Durée du contrat + 3 ans |
| Suivi des bilans de compétences | Réalisation des bilans | Contrat | Durée du bilan + 1 an |
| Tests psychométriques (RIASEC) | Évaluation des compétences | Consentement | Durée du bilan + 1 an |
| Synthèses et documents | Restitution au bénéficiaire | Obligation légale | 1 an après remise |
| Logs de connexion | Sécurité | Intérêt légitime | 12 mois |
Base légale des traitements
Les traitements de données personnelles mis en oeuvre par Bilan de Compétences reposent sur les bases légales suivantes :
- Exécution du contrat (Art. 6.1.b) : gestion des comptes, suivi des bilans, fonctionnement de la plateforme
- Consentement (Art. 6.1.a) : passation des tests psychométriques, traitement des données sensibles liées à l'orientation professionnelle
- Obligation légale (Art. 6.1.c) : conservation des documents de synthèse conformément au Code du travail
- Intérêt légitime (Art. 6.1.f) : sécurité de la plateforme, lutte contre la fraude
Sous-traitants
Les données personnelles peuvent être traitées par les sous-traitants suivants, dans le cadre de contrats conformes à l'article 28 du RGPD :
- [TODO: Hébergeur] : hébergement des données — Localisation : France
- [TODO: Service email] : envoi des notifications — Localisation : [TODO: pays]
Transferts hors Union Européenne
Les données personnelles sont hébergées et traitées au sein de l'Union Européenne (France). Aucun transfert de données vers des pays tiers n'est effectué.
Si un transfert devait être nécessaire, il serait encadré par les garanties prévues par le RGPD (clauses contractuelles types, décision d'adéquation, etc.).
Mesures de sécurité
Bilan de Compétences met en oeuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données personnelles :
- Chiffrement des données en transit (TLS/SSL) et au repos
- Authentification sécurisée avec hachage des mots de passe (bcrypt)
- Contrôle d'accès basé sur les rôles (consultant, bénéficiaire)
- Journalisation des accès et actions sensibles
- Sauvegardes régulières et plan de reprise d'activité
- Hébergement en France auprès d'un prestataire certifié
Droits des personnes concernées
Conformément aux articles 15 à 22 du RGPD, toute personne concernée dispose des droits suivants :
- Droit d'accès (Art. 15) : obtenir la confirmation du traitement et une copie des données
- Droit de rectification (Art. 16) : corriger des données inexactes ou incomplètes
- Droit à l'effacement (Art. 17) : obtenir la suppression des données sous conditions
- Droit à la limitation (Art. 18) : obtenir la limitation du traitement
- Droit à la portabilité (Art. 20) : recevoir les données dans un format structuré et lisible
- Droit d'opposition (Art. 21) : s'opposer au traitement pour motifs légitimes
Ces droits peuvent être exercés en contactant le DPO par email à [TODO: email du DPO]. Une réponse sera apportée dans un délai d'un mois.
En cas de désaccord, vous pouvez introduire une réclamation auprès de la CNIL : www.cnil.fr
Violation de données
Conformément aux articles 33 et 34 du RGPD, en cas de violation de données personnelles :
- La CNIL sera notifiée dans les 72 heures suivant la prise de connaissance de la violation, si celle-ci est susceptible d'engendrer un risque pour les droits et libertés des personnes
- Les personnes concernées seront informées dans les meilleurs délais si la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés
- Toutes les violations sont documentées dans un registre interne, quelle que soit leur gravité