Politique de confidentialite

Avertissement. Ce document est un modèle de travail rédigé selon les usages des SaaS B2B français et le RGPD. Il doit être relu et validé par un conseil juridique avant publication, et toutes les mentions [À COMPLÉTER] doivent être renseignées.

Version 1.0 — Dernière mise à jour : 24 juin 2026

1. Préambule

La présente politique de confidentialité décrit la manière dont Jalons RH SAS (ci-après « Jalons RH », « nous ») collecte, utilise, conserve et protège les données à caractère personnel dans le cadre de la fourniture de sa plateforme de pilotage de la conformité des Entretiens de Parcours Professionnels (ci-après le « Service »).

Nous attachons une importance particulière à la protection des données, conformément au Règlement (UE) 2016/679 (ci-après le « RGPD ») et à la loi n°78-17 du 6 janvier 1978 modifiée (« Informatique et Libertés »).

2. Identité du responsable de traitement

  • Éditeur : Jalons RH SAS
  • Forme juridique et capital social : [À COMPLÉTER]
  • Siège social : [À COMPLÉTER]
  • SIRET / RCS : [À COMPLÉTER]
  • Directeur de la publication : [À COMPLÉTER]
  • Contact : contact@jalons-rh.fr
  • Délégué à la protection des données (DPO) : [À COMPLÉTER — nom et email du DPO, le cas échéant]

3. Double rôle de Jalons RH

Selon les traitements concernés, Jalons RH agit sous deux qualités distinctes :

  • Responsable de traitement pour les données nécessaires à la gestion de la relation client : comptes utilisateurs, authentification, facturation, support et communications relatives au Service.
  • Sous-traitant (au sens de l'article 28 du RGPD) pour les données des salariés de nos clients (employeurs) traitées dans la plateforme. Dans ce cas, le client est responsable de traitement : il définit les finalités, informe ses salariés et détermine la base légale du traitement. Jalons RH traite ces données uniquement sur instruction documentée du client, dans le cadre du contrat.

4. Données collectées et finalités

4.1 En tant que responsable de traitement (données des utilisateurs clients)

Catégorie de donnéesFinalitéBase légale
Identité et coordonnées (nom, prénom, email professionnel)Création et gestion du compte, authentificationExécution du contrat
Données de connexion et journaux techniquesSécurité, prévention de la fraude, traçabilitéIntérêt légitime
Données de facturation (raison sociale, adresse, moyen de paiement via notre prestataire)Gestion des abonnements et de la facturationExécution du contrat / Obligation légale
Échanges avec le support et formulaires de contactAssistance et relation clientIntérêt légitime
Données de prospection (si vous laissez vos coordonnées)Réponse à votre demande, information commercialeConsentement / Intérêt légitime

4.2 En tant que sous-traitant (données des salariés de nos clients)

Pour le compte de ses clients employeurs, Jalons RH traite notamment : identité des salariés, données de poste et d'ancienneté, dates et contenus des entretiens professionnels, documents et comptes rendus, signatures électroniques, et éléments nécessaires au calcul de conformité (cycle 1-4-8, seuils d'âge, périodes d'absence). La finalité et la base légale de ces traitements relèvent du client responsable de traitement (généralement l'obligation légale de l'employeur et son intérêt légitime).

Ces données ne sont jamais utilisées par Jalons RH à ses propres fins ni revendues.

5. Destinataires et sous-traitants ultérieurs

Vos données sont accessibles à nos équipes habilitées et aux prestataires techniques strictement nécessaires au fonctionnement du Service. Chaque sous-traitant est lié par un accord de traitement des données (DPA) conforme à l'article 28 du RGPD :

  • Convex (Convex, Inc.) — hébergement de la base de données et du back-end applicatif — données hébergées dans l'Union européenne (région UE configurée).
  • Cloudflare (Cloudflare, Inc.) — stockage des fichiers et documents PDF (service R2) — juridiction de stockage Union européenne.
  • Stripe (Stripe Payments Europe, Ltd.) — traitement des paiements et de la facturation des abonnements — entité établie dans l'Union européenne.
  • Resend (Resend, Inc.) — envoi des emails transactionnels (convocations, alertes, notifications).
  • VoidSign ([À COMPLÉTER — société éditrice]) — service de signature électronique conforme au règlement eIDAS et constitution du dossier de preuve — données hébergées exclusivement en France (serveurs OVHCloud, stockage et emails Scaleway).
  • API « Recherche d'entreprises » (DINUM, service public — recherche-entreprises.api.gouv.fr) — résolution du numéro SIRET vers l'effectif et la convention collective (IDCC) lors de l'onboarding. Seules des données d'entreprise (SIRET) sont transmises, pas de donnée personnelle de salarié.

Nous pouvons également communiquer des données aux autorités administratives ou judiciaires lorsque la loi nous y oblige.

6. Hébergement et localisation des données

Les données du Service sont hébergées au sein de l'Union européenne. Nos comptes prestataires sont configurés pour un stockage en région UE.

7. Transferts hors Union européenne

Certains de nos prestataires sont édités par des sociétés établies hors de l'Union européenne tout en hébergeant les données en UE. Lorsqu'un transfert hors UE est susceptible d'intervenir, il est encadré par les garanties appropriées prévues par le RGPD : clauses contractuelles types de la Commission européenne, et/ou décision d'adéquation. Vous pouvez nous demander une copie de ces garanties.

8. Durées de conservation

  • Compte et données utilisateur : pendant toute la durée du contrat, puis suppression dans un délai raisonnable après la résiliation (sauf obligation légale de conservation).
  • Données des salariés et entretiens : conservées selon les instructions du client. Les documents signés, bilans et journaux de conformité sont archivés de façon immuable pendant 13 ans (8 ans au titre de l'EPP + 5 ans de prescription Prud'hommes).
  • Journal d'audit : 13 ans (registre immuable).
  • Données de facturation : 10 ans au titre des obligations comptables.
  • Prospects et formulaires de contact : 3 ans à compter du dernier contact.
  • Cookies et traceurs : 13 mois maximum.

9. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles adaptées : chiffrement des données en transit (TLS), contrôle d'accès par rôle (admin RH, manager, salarié, propriétaire), cloisonnement par organisation, journalisation des accès et archivage immuable des documents sensibles. Aucun système n'étant infaillible, nous nous engageons à notifier toute violation de données dans les conditions prévues par le RGPD.

10. Vos droits

Conformément au RGPD, vous disposez des droits d'accès, de rectification, d'effacement, de limitation, d'opposition et de portabilité de vos données, ainsi que du droit de définir des directives relatives à leur sort après votre décès.

  • Données utilisateur (compte, facturation) : exercez vos droits auprès de contact@jalons-rh.fr.
  • Données de salarié saisies par un employeur client : adressez votre demande directement à votre employeur (responsable de traitement). Jalons RH relaiera toute demande reçue à son client.

Vous pouvez à tout moment introduire une réclamation auprès de la CNIL (www.cnil.fr).

11. Cookies

Le Service utilise des cookies strictement nécessaires à son fonctionnement (authentification, sécurité). Les éventuels cookies de mesure d'audience ou non essentiels ne sont déposés qu'avec votre consentement, que vous pouvez retirer à tout moment.

12. Modifications

Nous pouvons modifier la présente politique pour refléter les évolutions légales ou techniques. La version applicable est celle publiée à la date de votre utilisation du Service ; la date de dernière mise à jour figure en tête de ce document.

13. Contact

Pour toute question relative à la présente politique ou à vos données personnelles : contact@jalons-rh.fr.