Mentions RGPD - Auto-diagnostic Annuaire RFE
Cette notice explique comment les informations saisies dans l’outil d’auto-diagnostic Annuaire RFE peuvent être traitées lorsque l’outil est utilisé en mode connecté avec authentification et sauvegarde des réponses.
Information courte
Les réponses saisies dans l’outil peuvent être enregistrées afin de permettre la reprise, la modification et l’export du diagnostic. Il est recommandé de ne pas saisir de données personnelles nominatives, données sensibles, informations RH, données fournisseurs confidentielles ou informations contractuelles non nécessaires au diagnostic.
1. Responsable du traitement et rôle de Kaora Partners
Kaora Partners est propriétaire de l’outil Auto-diagnostic Annuaire RFE et en assure la mise à disposition, l’administration technique et l’hébergement applicatif sur ses serveurs.
Lorsque l’outil est mis à disposition d’un client dans un environnement dédié, les réponses saisies par les utilisateurs du client sont rattachées à l’organisation cliente concernée. Selon le cadre contractuel retenu avec le client, Kaora Partners peut intervenir comme sous-traitant pour les données de diagnostic du client, et comme responsable de traitement pour les traitements liés à la gestion de l’outil, des comptes utilisateurs, de la sécurité et de l’administration de la plateforme.
Opérateur de l’outil : Kaora Partners.
Contact privacy / DPO : support-it@kaora-partners.com
2. Finalités du traitement
Les données saisies sont utilisées pour les finalités suivantes :
- permettre à l’utilisateur de réaliser un diagnostic de structuration de l’annuaire RFE ;
- enregistrer les réponses afin de reprendre ou modifier le diagnostic ultérieurement ;
- générer une synthèse, un plan d’action, une préconisation de paramétrage et un export PDF ;
- administrer techniquement l’outil et sécuriser l’accès aux diagnostics enregistrés ;
- rattacher chaque utilisateur à son organisation afin de garantir l’étanchéité des environnements clients.
3. Données susceptibles d’être traitées
| Catégorie | Exemples |
|---|---|
| Compte utilisateur | Identifiant de connexion, adresse email professionnelle, organisation, rôles ou droits d’accès. |
| Réponses au diagnostic | Réponses au questionnaire, flux métier renseignés, outils ou PA mentionnés, besoins de routage, commentaires opérationnels. |
| Organisation de rattachement | Nom de l’organisation cliente, environnement dédié, domaine email utilisé pour déterminer le rattachement à l’organisation. |
| Données techniques | Identifiant du diagnostic, dates de création et modification, traces techniques nécessaires à la sécurité et au fonctionnement. |
| Exports | Synthèse copiée ou PDF généré à partir des réponses saisies. |
Certaines zones libres peuvent contenir des informations saisies par l’utilisateur. Il est demandé aux utilisateurs de ne pas saisir de noms de personnes, données RH, données sensibles, informations fournisseurs confidentielles ou informations contractuelles non nécessaires au diagnostic.
4. Base légale
La base légale définitive doit être validée avant la mise en production, en cohérence avec le contrat conclu entre Kaora Partners et le client.
À ce stade, les bases légales généralement envisagées sont l’exécution du contrat pour la mise à disposition de l’outil aux clients et utilisateurs autorisés, et l’intérêt légitime pour la sécurité, l’administration technique et la traçabilité strictement nécessaire.
Base légale définitive retenue : exécution du contrat pour l’usage client de l’outil ; intérêt légitime pour la sécurité, l’administration technique et la traçabilité strictement nécessaire.
5. Destinataires
Les données peuvent être accessibles, selon les droits définis, aux destinataires suivants :
- l’utilisateur connecté ayant créé ou complété le diagnostic ;
- les utilisateurs habilités de la même organisation cliente, selon les droits configurés ;
- les administrateurs techniques strictement habilités pour l’exploitation, la maintenance et la sécurité de l’outil ;
- les prestataires techniques intervenant pour l’hébergement, la maintenance ou la sécurité, dans la limite de leurs missions ;
- le cas échéant, personnes à qui l’utilisateur choisit de transmettre un export PDF ou une synthèse.
Kaora Partners ne consulte pas les résultats des diagnostics clients sans autorisation du client concerné, sauf nécessité strictement technique, de sécurité ou d’assistance expressément demandée.
6. Durée de conservation
Les données ne doivent pas être conservées indéfiniment. La durée doit être proportionnée à la finalité de reprise et d’exploitation du diagnostic.
Durée de conservation des diagnostics : 12 mois.
Suppression : les diagnostics sont supprimés à l’issue de la durée de conservation ou sur demande autorisée du client.
6 bis. Hébergement
L’outil est hébergé sur des serveurs opérés par Kaora Partners. L’hébergement est réalisé en France ou dans l’Union européenne.
7. Droits des personnes
Selon le cadre applicable, les personnes concernées peuvent disposer d’un droit d’accès, de rectification, d’effacement, de limitation, d’opposition et, le cas échéant, de portabilité.
Pour exercer ces droits, contactez : support-it@kaora-partners.com.
Vous pouvez également introduire une réclamation auprès de la CNIL : www.cnil.fr.
8. Sécurité et confidentialité
L’accès à l’outil est protégé par un mécanisme d’authentification. Les comptes utilisateurs sont nominatifs et créés sur invitation contrôlée par Kaora Partners. Il n’existe pas d’auto-inscription publique.
Chaque client peut disposer d’un environnement dédié. Les organisations sont étanches : un utilisateur rattaché à une organisation ne peut pas accéder aux entités, diagnostics, réponses ou données d’une autre organisation. Cette isolation est imposée côté base de données.
Le rattachement d’un nouvel utilisateur à son organisation peut être déterminé automatiquement à partir du nom de domaine de son adresse email professionnelle.
- authentification par compte utilisateur nominatif ;
- invitation contrôlée par Kaora Partners ;
- rattachement automatique à une organisation via le domaine email ;
- isolation stricte des organisations côté base de données ;
- gestion des droits d’accès par organisation ;
- journalisation technique adaptée ;
- protection des échanges réseau par HTTPS ;
- mesures de sauvegarde et de restauration adaptées ;
- suppression ou anonymisation selon la durée de conservation définie.
9. Exports PDF et partage
Les exports PDF et les synthèses copiées peuvent contenir les réponses saisies dans l’outil. Avant toute diffusion interne ou externe, l’utilisateur doit vérifier que le contenu ne contient pas de données personnelles ou confidentielles non nécessaires.