Politique de confidentialite

Derniere mise a jour : 5 juin 2026

1. Responsable du traitement et roles RGPD

MRH SAS, societe par actions simplifiee au capital de 1 500 €, dont le siege est situe au 5 rue Carnot, 54300 Luneville, immatriculee au RCS de Nancy sous le numero 105 321 806 (ci-apres « MRH » ou « l'Editeur »), est responsable des traitements decrits dans la presente politique pour les donnees collectees via le site easypointage.fr et la plateforme Pointeo.

Concernant les donnees de pointage des Employes des Entreprises clientes, MRH agit en qualite de sous-traitant au sens de l'article 28 du RGPD, l'Entreprise cliente etant le responsable de traitement vis-a-vis de ses propres Employes. La presente politique vaut accord de sous-traitance entre MRH et l'Entreprise cliente.

2. Donnees collectees

Nous collectons uniquement les donnees strictement necessaires au fonctionnement du Service :

  • Donnees d'identification : nom, prenom, adresse email, role (Administrateur ou Employe), entreprise de rattachement
  • Donnees de pointage : horodatage d'entree/sortie, methode de pointage (QR code, kiosque, web), site de rattachement
  • Donnees de geolocalisation : coordonnees GPS au moment du pointage, uniquement si la fonctionnalite est activee par l'Administrateur et avec le consentement explicite de l'Employe
  • Donnees techniques : adresse IP, user-agent, empreinte de l'appareil (hash) — utilisees pour la securite, la lutte contre la fraude et les logs
  • Donnees de facturation : raison sociale, adresse, n° SIRET (pour les Administrateurs souscrivant a un plan payant)

Les donnees bancaires (numero de carte, IBAN) ne sont jamais collectees ni stockees par MRH : elles sont traitees exclusivement par Stripe (voir article 7).

3. Finalites et base legale du traitement

  • Execution du contrat (art. 6.1.b RGPD) : fourniture du Service de pointage, gestion des abonnements, support client
  • Obligation legale (art. 6.1.c RGPD) : conservation des donnees de pointage 5 ans (article D. 3171-16 du Code du travail), facturation et obligations comptables
  • Interet legitime (art. 6.1.f RGPD) : securite du Service (detection d'intrusion, lutte contre la fraude au pointage), amelioration du produit, communications transactionnelles non commerciales
  • Consentement (art. 6.1.a RGPD) : cookies analytiques (PostHog), geolocalisation des Employes, communications commerciales facultatives

4. Duree de conservation

  • Donnees de pointage : 5 ans a compter de leur creation (obligation legale, article D. 3171-16 Code du travail)
  • Comptes utilisateurs : duree de la relation contractuelle, puis 3 ans pour archivage (prescription civile)
  • Donnees de facturation : 10 ans (obligation comptable, article L. 123-22 Code de commerce)
  • Logs de securite et adresses IP : 12 mois
  • Empreintes d'appareil pour anti-fraude : 30 jours glissants
  • Cookies analytiques : 13 mois maximum apres la derniere visite

5. Droits des personnes concernees

Conformement aux articles 15 a 22 du RGPD, vous disposez des droits suivants :

  • Droit d'acces : obtenir une copie de vos donnees personnelles
  • Droit de rectification : faire corriger des donnees inexactes
  • Droit a l'effacement (« droit a l'oubli ») : demander la suppression de vos donnees, sous reserve des obligations legales de conservation
  • Droit a la limitation : suspendre temporairement le traitement de vos donnees
  • Droit a la portabilite : recevoir vos donnees dans un format structure (JSON) reutilisable
  • Droit d'opposition : vous opposer au traitement base sur l'interet legitime
  • Droit de retirer votre consentement a tout moment, sans remettre en cause les traitements anterieurs
  • Droit de definir des directives post-mortem sur le sort de vos donnees

Pour exercer ces droits, l'Administrateur peut utiliser les fonctionnalites d'export et de suppression integrees a l'application, ou ecrire a dpo@easypointage.fr. Une reponse est apportee dans un delai d'un mois (extensible a trois mois pour les demandes complexes).

Les Employes des Entreprises clientes exercent en priorite leurs droits aupres de leur employeur (responsable de traitement). MRH les assiste si la demande necessite une intervention technique (export, suppression).

6. Cookies et traceurs

Le site et l'application utilisent :

  • Cookies strictement necessaires (session, authentification, preferences linguistiques) — exemptes de consentement conformement aux recommandations CNIL
  • Cookies analytiques (PostHog) — deposes uniquement apres consentement explicite via la banniere cookies, avec adresse IP anonymisee, donnees hebergees dans l'UE

Le consentement peut etre retire a tout moment via le lien « Gerer les cookies » accessible en pied de page.

7. Sous-traitants et destinataires des donnees

Pour fournir le Service, MRH a recours aux sous-traitants suivants, tous engages par contrat a respecter le RGPD :

  • Scaleway SAS (8 rue de la Ville l'Eveque, 75008 Paris) — hebergement et stockage (donnees applicatives dans la region FR-PAR Paris, sauvegardes chiffrees repliquees sur NL-AMS Amsterdam)
  • Stripe Payments Europe Ltd. (Dublin, Irlande) — traitement des paiements (certification PCI DSS niveau 1)
  • Resend (San Francisco, US — Data Processing Addendum + Clauses Contractuelles Types) — envoi des emails transactionnels (creation de compte, notifications, factures)
  • PostHog (UE, region eu.i.posthog.com) — analytiques de produit, IP anonymisee au niveau du SDK (option ip: false), session recording desactive
  • Sentry (US — Clauses Contractuelles Types) — monitoring d'erreurs applicatives, traces serveur a 5% d'echantillonnage en production. Les donnees collectees sont les piles d'erreurs, identifiants techniques et metadonnees de requete ; les payloads sensibles (mots de passe, tokens) sont redacted en amont par notre middleware Pino.

Les donnees ne sont jamais cedees ou louees a des tiers a des fins commerciales. Les transferts hors UE (le cas echeant pour Resend) sont encadres par les Clauses Contractuelles Types adoptees par la Commission europeenne.

8. Securite

MRH met en oeuvre des mesures techniques et organisationnelles pour proteger vos donnees :

  • Chiffrement des donnees en transit (TLS 1.3) et au repos (AES-256)
  • Authentification par mot de passe haches en bcrypt + JWT RS256 a duree limitee
  • Authentification a deux facteurs (TOTP) obligatoire pour les comptes Super Administrateur de MRH
  • Controle d'acces base sur les roles (RBAC) cloisonnant chaque Entreprise cliente (tenant isolation)
  • Rate limiting, protection contre la force brute, journaux de securite
  • Sauvegardes chiffrees quotidiennes
  • Mises a jour de securite suivies via des audits de dependances continus

9. Violation de donnees

En cas de violation de donnees a caractere personnel susceptible d'engendrer un risque pour les droits et libertes des personnes concernees, MRH s'engage a :

  • Notifier la CNIL dans un delai de 72 heures (article 33 RGPD)
  • Informer sans delai les Entreprises clientes concernees, qui informeront leurs Employes le cas echeant (article 34 RGPD)
  • Documenter la violation, ses effets et les mesures prises

10. Delegue a la protection des donnees (DPO)

Au sein de MRH SAS, la fonction de Delegue a la protection des donnees est exercee par :

Monsieur Hugo MANGINOT, Directeur general et responsable technique de la plateforme Pointeo.
Email dedie : dpo@easypointage.fr

Cette designation est volontaire : MRH ne depasse pas les seuils rendant la nomination d'un DPO obligatoire au sens de l'article 37 du RGPD. Le DPO est neanmoins joignable a tout moment pour repondre aux demandes des personnes concernees et de la CNIL.

11. Contact et reclamation

Pour toute question relative a la protection de vos donnees personnelles :

Email : dpo@easypointage.fr
Courrier : MRH SAS — A l'attention du DPO Hugo MANGINOT, 5 rue Carnot, 54300 Luneville

Si vous estimez que vos droits ne sont pas respectes, vous pouvez introduire une reclamation aupres de la CNIL :
Commission Nationale de l'Informatique et des Libertes — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr