Politique de confidentialité
Comment svdy collecte, utilise, partage et protège vos données personnelles — rédigée selon le standard d'information de l'article 13/14 du RGPD et alignée sur le CCPA/CPRA. Langage clair, engagements concrets et liens vers les mécanismes opérationnels qui les soutiennent.
1. Ce que nous collectons
Nous collectons trois catégories de données personnelles :
• Données de compte que vous fournissez : nom, e-mail professionnel, nom de l'organisation, fonction, téléphone (facultatif), contact de facturation. Fournies par vous ou l'administrateur de votre organisation lors de l'inscription.
• Données opérationnelles générées par l'usage : pointages (horodatages d'entrée/sortie + coordonnées GPS si le geofencing est activé), plannings, demandes de congé, soumissions de formulaires de processus, messages in-app, journaux d'audit des actions administratives.
• Télémétrie technique : adresse IP, type de navigateur/appareil, horodatages de session, traces d'erreur (échantillonnées). Utilisées pour la surveillance de sécurité et la fiabilité produit — jamais pour le ciblage publicitaire.
Nous n'achetons pas de données personnelles à des courtiers, n'exécutons pas de SDK d'analytics partageant des données avec des réseaux publicitaires tiers, et ne vendons pas de données personnelles au sens du CCPA §1798.140(t).
2. Comment nous utilisons vos données
Nous traitons les données personnelles uniquement aux fins suivantes :
• Fourniture du service — exécution des fonctionnalités d'attendance, de planning et de workflow souscrites par votre organisation. Base contractuelle au sens de l'article 6, 1, b du RGPD.
• Amélioration du service — statistiques d'usage agrégées et désidentifiées pour identifier les goulots de performance et les demandes de fonctionnalités. Ne peuvent pas être ré-identifiées vers un collaborateur. Intérêt légitime au sens de l'article 6, 1, f du RGPD.
• Sécurité et prévention de la fraude — détection d'accès non autorisés, de schémas d'abus et d'attaques de plateforme. Intérêt légitime au sens de l'article 6, 1, f du RGPD, équilibré avec votre vie privée par la minimisation des données et une rétention courte.
• Conformité légale — réponse aux assignations, ordonnances judiciaires et demandes réglementaires légitimes. Article 6, 1, c du RGPD.
• Communications — annonces de service (toujours), onboarding pendant la période d'essai (essai uniquement), mises à jour produit (désinscription via les Paramètres de notification).
Nous N'utilisons PAS vos données pour entraîner de grands modèles de langage, ne les partageons pas avec des réseaux publicitaires et n'enrichissons pas vos données collaborateurs avec des sources externes.
3. Comment nous protégeons vos données
Contrôles de sécurité concrets en place aujourd'hui :
• Chiffrement au repos : AES-256 sur l'ensemble des données client stockées (RDS / S3 / EBS).
• Chiffrement en transit : TLS 1.2+ sur chaque endpoint exposé au client et à chaque saut interne entre services.
• Contrôle d'accès : contrôle d'accès basé sur les rôles au niveau applicatif ; AWS IAM moindre privilège au niveau infrastructure ; authentification multifactorielle obligatoire pour tout accès administrateur des employés.
• Journaux d'audit : chaque action administrative est enregistrée avec acteur, horodatage et cible. Rétention 7 jours (Free) / 1 an (Starter+) / 3 ans (Pro+).
• Réseau : déploiement AWS Multi-AZ en us-east-1 ; pas d'endpoints de base de données publics ; ingress des security groups limité aux load balancers.
• Secrets : identifiants de production dans AWS Secrets Manager ; jamais dans les variables d'environnement ou le code source.
Pour l'architecture de sécurité en direct et la chronologie SOC 2, voir /trust et /trust/soc2.
4. Vos droits
Quel que soit votre lieu de résidence, vous disposez des droits suivants sur vos données personnelles :
• Droit d'accès — obtenir une copie des données que nous détenons à votre sujet. Exportation disponible dans les paramètres de votre compte ; nous répondrons aux demandes directes dans les 30 jours.
• Droit de rectification — corriger des données personnelles inexactes. En libre-service dans les paramètres de compte, ou par e-mail.
• Droit à l'effacement (« droit à l'oubli ») — supprimer vos données lorsqu'aucune raison commerciale légitime ne justifie leur conservation. Note : votre employeur (le responsable du traitement) peut devoir conserver les enregistrements d'attendance pour la conformité au droit du travail ; en tant que sous-traitant, notre rôle est de suivre ses instructions.
• Droit à la limitation du traitement — suspendre l'utilisation de vos données pendant le règlement d'un différend.
• Droit à la portabilité des données — obtenir vos données dans un format lisible par machine (CSV / JSON).
• Droit d'opposition — refuser le traitement fondé sur l'intérêt légitime, par exemple les analytics d'amélioration du service.
• Droit de retirer le consentement — pour le pointage par reconnaissance faciale biométrique (article 9, 2, a du RGPD) et tout autre traitement fondé sur le consentement.
• Droit de réclamation — auprès de votre autorité de protection des données locale. Résidents de l'UE : votre DPA nationale. Résidents britanniques : ICO. Résidents californiens : California Privacy Protection Agency.
Pour exercer l'un de ces droits, écrivez à legal@svdy.com. Nous répondons dans les 5 jours ouvrés ; résolution complète dans les 30 jours selon l'article 12, 3 du RGPD.
5. Cookies et technologies similaires
Nous utilisons un ensemble minimal de cookies. Nous N'utilisons PAS de cookies publicitaires tiers, de pixels traceurs ni de fingerprinting.
• Cookies strictement nécessaires (pas d'opt-out, pas d'objectif de tracking) : ID de session pour l'authentification, jeton CSRF pour la sécurité.
• Cookies fonctionnels (vous pouvez les désactiver dans le navigateur) : préférence de langue, choix de mise en page du tableau de bord.
• Cookies analytiques : AUCUN sur les sous-domaines tenant exposés au client (qutime.com / pureoa.com). svdy.com (ce site marketing) n'exécute actuellement aucun SDK d'analytics. Les futures analyses seront sans cookie (agrégation côté serveur uniquement) conformément à notre engagement de ne pas recourir à la publicité tierce.
Les cookies sont limités au premier domaine (svdy.com / qutime.com / pureoa.com / id.svdy.com). Nous n'intégrons pas de iframes tierces qui chargent des cookies de tracking.
6. Contact, notification de violation et mises à jour
Contact protection des données : legal@svdy.com — équipe disponible aux heures de bureau US, réponse aux demandes générales sous 5 jours ouvrés et sous 24 heures pour les demandes urgentes (objet contenant « urgent » ou « breach »).
Notification de violation : si un incident de sécurité affecte vos données personnelles, nous notifions le DPO désigné de votre organisation dans les 72 heures suivant la prise de connaissance (article 33, 1 du RGPD), avec la portée, la cause suspectée, les mesures correctives et toute action requise de votre part.
Sous-traitants ultérieurs : nous partageons des données uniquement avec les services tiers listés sur /trust/sub-processors (AWS, Stripe, Amazon SES, Expo, Cloudflare DNS). Chacun opère sous son propre DPA référencé sur cette page. Nous notifions les clients 30 jours avant l'ajout ou le retrait d'un sous-traitant ultérieur.
Transferts internationaux : les données client sont stockées dans AWS us-east-1 (États-Unis). Les transferts UE → US sont couverts par les Clauses Contractuelles Types (SCCs, version 2021) incluses dans notre DPA sur /trust/dpa. Les transferts UK ajoutent l'UK Addendum aux SCCs.
Mises à jour de cette politique : nous publions les changements substantiels 30 jours avant leur prise d'effet, avec un journal des modifications en haut. La date de dernière mise à jour est indiquée ci-dessus. La version courante vit toujours à svdy.com/privacy.
Une question sur le traitement de vos données ou souhaitez-vous exercer vos droits RGPD/CCPA (accès, suppression, portabilité) ? Écrivez à legal@svdy.com — nous répondons sous 5 jours ouvrés.
