Conformité RGPD

WorkTime One est entièrement conforme au Règlement Général sur la Protection des Données (RGPD) de l'UE. Découvrez vos droits et comment nous protégeons vos données personnelles.

Dernière mise à jour : 18 novembre 2025

Conforme au RGPD depuis 2018
Centres de données UE disponibles
Clauses contractuelles types

Table des matières

1. Aperçu du RGPD

Le Règlement Général sur la Protection des Données (RGPD) est une loi complète sur la protection des données entrée en vigueur le 25 mai 2018 dans toute l'Union européenne et l'Espace économique européen. Il établit des exigences strictes sur la façon dont les organisations collectent, traitent, stockent et protègent les données personnelles des résidents de l'UE.

Qu'est-ce qu'une donnée personnelle?

Selon le RGPD, les données personnelles sont toutes informations relatives à une personne physique identifiée ou identifiable. Cela comprend:

  • Identité de base : Nom, adresse, adresse e-mail, numéro de téléphone
  • Informations professionnelles : ID employé, titre de poste, département, salaire
  • Données techniques : Adresses IP, IDs d'appareil, empreintes de navigateur
  • Données de localisation : Localisation géographique depuis les serrures intelligentes
  • Données biométriques : Empreintes digitales utilisées pour l'authentification des serrures intelligentes
  • Données comportementales : Heures de travail, modèles de présence, enregistrements de suivi du temps

Principes clés du RGPD

WorkTime One respecte les sept principes du RGPD:

1. Licéité, loyauté et transparence

Données traitées de manière licite, loyale et transparente avec des avis de confidentialité clairs

2. Limitation des finalités

Données collectées uniquement pour des finalités spécifiques et légitimes

3. Minimisation des données

Collecte uniquement des données nécessaires à la finalité déclarée

4. Exactitude

Maintenir les données personnelles exactes et à jour

5. Limitation de la conservation

Conserver les données uniquement aussi longtemps que nécessaire

6. Intégrité et confidentialité

Protéger les données avec des mesures de sécurité appropriées

7. Responsabilité

Démontrer la conformité par la documentation et les politiques

2. Notre rôle selon le RGPD

Responsable du traitement vs. Sous-traitant

WorkTime One agit selon différentes capacités selon le contexte :

WorkTime One en tant que responsable du traitement

Pour les données du compte de votre organisation (nom de l'entreprise, informations de facturation, utilisateurs administrateurs), nous sommes le responsable du traitement. Nous déterminons comment et pourquoi ces données sont traitées.

Exemples : Inscription au compte, facturation, support client, communications de service

WorkTime One en tant que sous-traitant

Pour les données de suivi du temps des employés que vous téléchargez et gérez, nous sommes le sous-traitant. Vous (le client) êtes le responsable du traitement et déterminez les finalités et les moyens du traitement.

Exemples : Noms des employés, heures de travail, registres de présence, données biométriques, données de localisation

Vos responsabilités en tant que responsable du traitement

Lors de l'utilisation de WorkTime One pour suivre le temps des employés, vous êtes le responsable du traitement et êtes responsable de :

  • Obtenir une base légale pour le traitement des données des employés (par exemple, consentement, contrat, intérêt légitime)
  • Fournir aux employés des avis de confidentialité expliquant la collecte et l'utilisation des données
  • Obtenir le consentement explicite pour la collecte de données biométriques (empreintes digitales)
  • Répondre aux demandes d'exercice des droits des personnes concernées des employés
  • Mettre en œuvre des mesures techniques et organisationnelles appropriées
  • Se conformer aux lois du travail locales et aux réglementations sur la surveillance des employés
  • Effectuer des analyses d'impact sur la protection des données (AIPD) lorsque requis

3. Base juridique du traitement

Le RGPD exige une base juridique pour le traitement des données personnelles. WorkTime One s'appuie sur les bases légales suivantes :

Contrat (Article 6(1)(b))

Traitement nécessaire pour fournir nos services conformément à nos Conditions de service. Cela s'applique à la gestion du compte, à la facturation et aux fonctionnalités de service de base.

Intérêt légitime (Article 6(1)(f))

Traitement pour la sécurité, la prévention de la fraude et l'amélioration du service. Nous équilibrons nos intérêts avec vos droits et libertés.

Consentement (Article 6(1)(a))

Les communications marketing et les fonctionnalités optionnelles nécessitent votre consentement explicite. Vous pouvez retirer votre consentement à tout moment.

Obligation légale (Article 6(1)(c))

Traitement requis par la loi, tel que les dossiers fiscaux, la conformité financière et la réponse aux demandes légales.

Données de catégorie spéciale (Biométrie)

Les données biométriques (empreintes digitales) sont considérées comme des données de « catégorie spéciale » selon l'article 9 du RGPD et nécessitent une protection supplémentaire. Le traitement est licite en vertu de :

  • Consentement explicite (Article 9(2)(a)) : Vous devez obtenir le consentement explicite et éclairé des employés pour la collecte d'empreintes digitales
  • Contexte d'emploi (Article 9(2)(b)) : Le traitement peut être nécessaire pour les obligations d'emploi en vertu du droit national
  • Mesures de sécurité : Les données biométriques sont hachées, cryptées et stockées séparément des autres données personnelles
  • Droit de retrait : Les employés peuvent retirer leur consentement et demander la suppression des données biométriques à tout moment

4. Vos droits en tant que personne concernée

En vertu du RGPD, vous disposez de droits complets concernant vos données personnelles :

Droit d'accès (Article 15)

Vous avez le droit d'obtenir confirmation que nous traitons vos données personnelles et d'accéder à ces données.

Comment exercer ce droit :

  • Connectez-vous à votre compte et accédez à Paramètres → Exportation de données
  • Exportez vos données au format CSV, JSON ou Excel
  • Envoyez un e-mail à [email protected] pour les demandes d'accès complètes aux données
  • Nous répondrons dans les 30 jours (gratuitement)

Droit de rectification (Article 16)

Vous avez le droit de faire corriger ou compléter les données personnelles inexactes.

Comment exercer ce droit :

  • Mettez à jour vos informations de compte directement dans les Paramètres
  • Les administrateurs peuvent mettre à jour les informations des employés dans la section Gestion des employés
  • Pour les corrections nécessitant notre assistance, contactez [email protected]
  • Nous corrigerons les inexactitudes dans les 30 jours

Droit à l'effacement / Droit à l'oubli (Article 17)

Vous avez le droit de demander la suppression de vos données personnelles dans certaines circonstances.

Comment exercer ce droit :

  • Fermez votre compte via Paramètres → Compte → Supprimer le compte
  • Les employés peuvent demander la suppression en contactant leur employeur (responsable du traitement)
  • Envoyez un e-mail à [email protected] pour les demandes de suppression
  • Données supprimées dans les 30 jours (hors exigences de conservation légale)
  • Sauvegardes purgées dans les 90 jours

Remarque : Nous pouvons conserver certaines données lorsque la loi l'exige (par exemple, dossiers fiscaux pendant 7 ans)

Droit à la limitation du traitement (Article 18)

Vous pouvez demander que nous limitions la manière dont nous traitons vos données dans certaines situations.

Quand disponible :

  • Vous contestez l'exactitude des données (pendant la vérification)
  • Le traitement est illicite mais vous ne souhaitez pas la suppression
  • Nous n'avons plus besoin des données mais vous en avez besoin pour des réclamations légales
  • Vous vous êtes opposé au traitement (en attente de vérification des motifs légitimes)

Droit à la portabilité des données (Article 20)

Vous avez le droit de recevoir vos données personnelles dans un format structuré et lisible par machine et de les transmettre à un autre responsable du traitement.

Formats pris en charge :

  • CSV (Valeurs séparées par des virgules)
  • JSON (JavaScript Object Notation)
  • Excel (.xlsx)
  • Transfert direct via API vers un autre service (contactez-nous pour assistance)

Droit d'opposition (Article 21)

Vous avez le droit de vous opposer au traitement basé sur des intérêts légitimes ou pour le marketing direct.

Comment exercer ce droit :

  • Opposition au marketing : Lien de désabonnement dans les e-mails ou Paramètres → Notifications
  • Opposition au profilage : Contactez [email protected]
  • Opposition au traitement fondé sur un intérêt légitime : Nous cesserons sauf si nous démontrons des motifs légitimes impérieux

Droits relatifs à la prise de décision automatisée (Article 22)

Vous avez le droit de ne pas faire l'objet de décisions fondées uniquement sur un traitement automatisé qui vous affectent de manière significative.

Position de WorkTime One : Nous ne prenons pas de décisions automatisées qui produisent des effets juridiques ou vous affectent de manière similaire de manière significative. Les calculs de paie et les évaluations de pénalités sont basés sur des règles transparentes que vous (l'employeur) définissez et peuvent être examinées et ajustées manuellement.

5. Mesures de protection des données

Nous mettons en œuvre des mesures techniques et organisationnelles complètes pour assurer une sécurité appropriée :

Mesures techniques

  • Chiffrement : Chiffrement AES-256 pour les données au repos, TLS 1.3 pour les données en transit
  • Pseudonymisation : Dans la mesure du possible, nous pseudonymisons les données pour réduire les risques pour la vie privée
  • Contrôles d'accès : Contrôle d'accès basé sur les rôles (RBAC) avec principe du moindre privilège
  • Authentification à deux facteurs : 2FA obligatoire disponible pour tous les utilisateurs
  • Sauvegardes automatisées : Sauvegardes chiffrées régulières avec redondance géographique
  • Détection d'intrusion : Surveillance 24h/24 et 7j/7 des menaces de sécurité
  • Gestion des vulnérabilités : Tests de sécurité réguliers et gestion des correctifs

Mesures organisationnelles

  • Politiques de protection des données : Politiques et procédures internes complètes
  • Formation des employés : Formation régulière en matière de confidentialité et de sécurité pour tout le personnel
  • Accords de confidentialité : Tous les employés signent des NDA et des accords de confidentialité
  • Révisions d'accès : Révisions trimestrielles des autorisations d'accès des employés
  • Plan de réponse aux incidents : Procédures documentées pour la réponse aux violations de données
  • Analyses d'impact sur la protection des données : AIPD effectuées pour le traitement à haut risque
  • Gestion des fournisseurs : Diligence raisonnable sur tous les sous-traitants

Protection de la vie privée dès la conception et par défaut

  • Considérations relatives à la vie privée intégrées au développement de produits dès le départ
  • Les paramètres par défaut donnent la priorité à la protection de la vie privée
  • Minimisation des données intégrée dans la conception du système
  • Examens réguliers de la vie privée tout au long du cycle de vie du produit

6. Transferts internationaux de données

WorkTime One peut transférer vos données personnelles en dehors de l'Espace économique européen (EEE). Nous veillons à ce que des garanties appropriées soient en place :

Emplacements de stockage des données

  • Stockage principal : Centres de données basés dans l'UE (Allemagne, Belgique, Pays-Bas) via Google Cloud Platform
  • Sauvegardes : Répliquées dans plusieurs régions de l'UE
  • Option de stockage uniquement dans l'UE : Les clients entreprise peuvent demander une résidence des données uniquement dans l'UE

Mécanismes de transfert

Clauses contractuelles types (CCT)

Nous utilisons les clauses contractuelles types (CCT) approuvées par l'UE pour les transferts de données vers des pays sans décisions d'adéquation. Nos CCT intègrent les exigences du jugement Schrems II.

Décisions d'adéquation

Dans la mesure du possible, nous transférons des données vers des pays bénéficiant de décisions d'adéquation de l'UE (par exemple, Royaume-Uni, Suisse, Canada sous certaines conditions).

Mesures supplémentaires

Nous mettons en œuvre des mesures techniques supplémentaires (chiffrement, pseudonymisation) pour protéger les données transférées en dehors de l'UE.

Sous-traitants

Nous utilisons les sous-traitants suivants qui peuvent traiter des données personnelles de l'UE :

Sous-traitant Objectif Emplacement Garanties
Google Cloud Platform Hébergement, Base de données UE (principal) CCT, ISO 27001
Firebase (Google) Authentification, Base de données UE (principal) CCT, ISO 27001
SendGrid Livraison d'e-mails USA CCT, PCI DSS
API TTLock Intégration de serrure intelligente Chine CCT, Chiffrement

7. Accord de traitement des données (DPA)

Comme l'exige l'article 28 du RGPD, nous fournissons un accord de traitement des données à tous les clients qui utilisent WorkTime One pour traiter les données des employés.

Qu'est-ce qu'un DPA ?

Un accord de traitement des données (DPA) est un contrat juridiquement contraignant entre un responsable du traitement (vous) et un sous-traitant (nous) qui régit la manière dont les données personnelles sont traitées. Il garantit notre conformité au RGPD lors du traitement de vos données.

Notre DPA comprend

  • Objet et durée : Suivi du temps et gestion de la présence pour la durée de votre abonnement
  • Nature et finalité : Traitement des données de suivi du temps des employés pour fournir nos services
  • Types de données personnelles : Noms, ID d'employés, heures de travail, données biométriques, données de localisation
  • Catégories de personnes concernées : Vos employés et sous-traitants
  • Vos obligations : Vos responsabilités en tant que responsable du traitement
  • Nos obligations : Nos responsabilités en tant que sous-traitant
  • Mesures de sécurité : Mesures techniques et organisationnelles que nous mettons en œuvre
  • Sous-traitance : Liste des sous-traitants autorisés
  • Droits des personnes concernées : Notre assistance pour les demandes des personnes concernées
  • Audits et inspections : Votre droit d'auditer notre conformité
  • Notification de violation de données : Notre obligation de vous informer des violations
  • Transferts internationaux : CCT et mécanismes de transfert
  • Suppression et restitution : Traitement des données à la fin du contrat

Comment y accéder : Notre DPA standard est incorporé dans nos Conditions de service. Les clients entreprise peuvent demander un DPA personnalisé en contactant [email protected]

8. Notification de violation de données

En vertu des articles 33 et 34 du RGPD, nous avons des obligations strictes concernant la notification de violation de données :

Nos obligations

  • Notification à l'autorité de contrôle : Nous notifions l'autorité de contrôle compétente dans les 72 heures suivant la prise de connaissance d'une violation affectant les résidents de l'UE
  • Notification aux clients : Nous notifions les clients concernés (responsables du traitement) sans délai injustifié, généralement dans les 24 à 48 heures
  • Notification aux personnes concernées : Si la violation présente un risque élevé pour les individus, nous vous aidons à notifier les personnes concernées
  • Documentation des violations : Nous conservons des enregistrements de toutes les violations, y compris les faits, les effets et les mesures correctives

Ce que nous vous dirons

  • Nature de la violation (ce qui s'est passé)
  • Catégories et nombre approximatif de personnes et d'enregistrements concernés
  • Conséquences potentielles de la violation
  • Mesures que nous avons prises ou proposons de prendre pour remédier à la violation
  • Mesures visant à atténuer les effets négatifs potentiels
  • Coordonnées pour plus d'informations

Vos obligations en tant que responsable du traitement

Si nous vous notifions une violation affectant les données de vos employés, vous devrez peut-être :

  • Évaluer si la violation présente un risque élevé pour vos employés
  • Notifier votre autorité de contrôle nationale (si requis)
  • Notifier les employés concernés (si la violation présente un risque élevé pour leurs droits et libertés)
  • Documenter votre réponse à la violation et vos décisions

9. Délégué à la protection des données (DPD)

En vertu de l'article 37 du RGPD, nous avons nommé un délégué à la protection des données pour superviser notre stratégie de protection des données et assurer la conformité.

Responsabilités du DPD

  • Surveiller la conformité au RGPD et aux autres lois sur la protection des données
  • Conseiller sur les analyses d'impact sur la protection des données (AIPD)
  • Coopérer avec les autorités de contrôle
  • Agir en tant que point de contact pour les personnes concernées et les autorités de contrôle
  • Former le personnel sur les obligations de protection des données
  • Effectuer des audits et évaluations internes

Contacter notre DPD

Vous pouvez contacter directement notre délégué à la protection des données pour toute question ou préoccupation liée au RGPD :

E-mail : [email protected]

Courrier : Délégué à la protection des données, WorkTime One, Inc.

Délai de réponse : Nous répondrons aux demandes adressées au DPD dans les 5 jours ouvrables

10. Droits à la vie privée des employés

Des considérations spéciales s'appliquent lors du traitement des données des employés via WorkTime One :

Obligations de l'employeur

Important : En tant qu'employeur (responsable du traitement), vous avez des obligations légales envers vos employés concernant leur vie privée.

  • Transparence : Informer les employés du suivi du temps, des données collectées et de leur utilisation
  • Base juridique : S'assurer d'avoir une base juridique (généralement contrat ou intérêt légitime) pour le suivi du temps
  • Consentement biométrique : Obtenir le consentement explicite avant de collecter des empreintes digitales ou d'autres données biométriques
  • Minimisation des données : Ne suivre que les données nécessaires à des fins commerciales légitimes
  • Droits des employés : Faciliter les demandes d'exercice des droits des personnes concernées des employés (accès, suppression, etc.)
  • Consultation du comité d'entreprise : Dans certains pays de l'UE, consulter les comités d'entreprise avant de mettre en œuvre la surveillance des employés
  • Lois nationales : Se conformer aux lois du travail nationales et aux réglementations sur la surveillance des employés

Modèle d'avis de confidentialité pour les employés

Nous fournissons un modèle d'avis de confidentialité pour les employés que vous pouvez personnaliser pour votre organisation. Cela vous aide à vous conformer aux exigences de transparence du RGPD.

Télécharger : Demandez notre modèle d'avis de confidentialité pour les employés à [email protected]

11. Plaintes auprès de l'autorité de contrôle

En vertu de l'article 77 du RGPD, vous avez le droit de déposer une plainte auprès d'une autorité de contrôle si vous estimez que nous avons violé vos droits en matière de protection des données.

Comment déposer une plainte

Vous pouvez déposer une plainte auprès de l'autorité de contrôle dans :

  • L'État membre de l'UE de votre résidence habituelle
  • L'État membre de l'UE de votre lieu de travail
  • L'État membre de l'UE où l'infraction présumée s'est produite

Autorités de contrôle de l'UE

Trouvez votre autorité locale de protection des données :

Liste à l'échelle de l'UE : Comité européen de la protection des données

Irlande (notre établissement dans l'UE) : Commission de protection des données (DPC)

E-mail : [email protected]

Site web : www.dataprotection.ie

Contactez-nous d'abord

Nous vous encourageons à nous contacter d'abord si vous avez des préoccupations concernant notre traitement des données. Nous nous engageons à résoudre les problèmes directement et travaillerons avec vous pour répondre à vos préoccupations.

12. Informations de contact

Pour les questions liées au RGPD, les demandes d'exercice des droits des personnes concernées ou d'autres préoccupations en matière de confidentialité :

Demandes RGPD : [email protected]

Délégué à la protection des données : [email protected]

Équipe de confidentialité : [email protected]

Support général : [email protected]

Représentant UE : [email protected]

Délai de réponse : Nous répondons aux demandes RGPD dans les 30 jours (comme l'exige la loi)

Notre établissement dans l'UE

Pour les questions spécifiques à l'UE, vous pouvez contacter notre représentant dans l'UE :

Représentant UE : WorkTime One Europe Ltd.

E-mail : [email protected]

Juridiction : Irlande (Autorité de contrôle chef de file : DPC irlandais)

Ressources RGPD

En savoir plus sur vos droits de protection des données et notre conformité

Politique de confidentialité

Pratiques complètes de confidentialité

Mesures de sécurité

Garanties techniques que nous mettons en œuvre

Conditions de service

Accord de service et DPA