VACHAFA, éditeur de solutions logicielles SaaS de gestion destinées aux professionnels de la sécurité privée et de l'exploitation, dont le siège social est situé 1, rue Pierre et Marie Curie, 69700 Givors, attache une grande importance à la protection des données à caractère personnel qu'elle est amenée à collecter et à traiter dans le cadre de son activité.
VACHAFA a désigné un référent interne à la protection des données, joignable à : [email protected].
Dans le cadre de ses Produits ou Services, VACHAFA peut être considérée comme :
- Responsable du traitement — pour les données de ses clients, prospects et utilisateurs directs (Partie A) ;
- Sous-traitant — pour les données des salariés et agents des entreprises clientes utilisant la Plateforme (Partie B).
- Données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable.
- Personne(s) concernée(s) : toute personne physique pouvant être identifiée, directement ou indirectement.
- Responsable du traitement : la personne qui détermine les finalités et les moyens du traitement.
- Sous-traitant : la personne qui traite des données pour le compte du Responsable du traitement.
- Plateforme : la plateforme SaaS Vachafa, accessible via
https://[client].vachafa.fr/. - Sites : l'ensemble des pages accessibles à https://vachafa.fr/ et sous-domaines associés.
Sommaire
- A.1 — Engagements de VACHAFA
- A.2 — Catégories de données collectées
- A.3 — Moyens de collecte
- A.4 — Finalités et bases juridiques
- A.5 — Durées de conservation
- A.6 — Destinataires et hébergement
- A.7 — Vos droits
- A.8 — Sécurité informatique
- A.9 — Cookies
- A.10 — Liens vers des sites tiers
- B — VACHAFA en qualité de Sous-traitant
A — VACHAFA EN QUALITÉ DE RESPONSABLE DU TRAITEMENT
Données des clients, prospects et utilisateurs directs de VACHAFA
VACHAFA s'engage à respecter les principes suivants :
- Licéité, loyauté et transparence — traitement conforme à la loi et transparent ;
- Limitation des finalités — données collectées pour des finalités déterminées et légitimes ;
- Minimisation des données — données limitées à ce qui est nécessaire ;
- Exactitude — données exactes et tenues à jour ;
- Limitation de la conservation — données conservées le temps nécessaire ;
- Intégrité et confidentialité — sécurité appropriée garantie.
VACHAFA applique les principes de Privacy by Design et Privacy by Default (article 25 du RGPD).
| Catégorie | Exemples de données |
|---|---|
| Données d'identification | Civilité, nom, prénom, date de naissance, photographie |
| Données de contact | Téléphone fixe ou portable, adresse postale, adresse email |
| Données professionnelles | Société, fonction, poste occupé |
| Données de connexion | Adresses IP, logs de connexion, identifiants utilisateurs |
| Données de candidature | CV, lettre de motivation (le cas échéant) |
Les données sont collectées notamment lors de :
- la navigation sur les Sites de VACHAFA ;
- la création d'un compte utilisateur sur la Plateforme ;
- le remplissage de formulaires de contact ou de souscription ;
- tout contact avec VACHAFA (email, téléphone, courrier).
| Base légale | Finalités |
|---|---|
| Exécution contractuelle (art. 6.1.b) | Gestion des comptes utilisateurs, fourniture des services, suivi des échanges, facturation |
| Consentement (art. 6.1.a) | Newsletters, services facultatifs, gestion des candidatures, cookies soumis à consentement |
| Obligations légales (art. 6.1.c) | Réponses aux autorités, obligations comptables et fiscales, demandes d'exercice de droits |
| Intérêt légitime (art. 6.1.f) | Amélioration des services, sécurité, prospection B2B, gestion administrative, cookies strictement nécessaires |
| Finalité | Durée en base active | Archivage intermédiaire |
|---|---|---|
| Relation client | Durée de la relation contractuelle | 5 ans (prescription civile) |
| Prospection commerciale | 3 ans après le dernier contact actif | — |
| Candidatures | 2 ans après le dernier contact | — |
| Logs de connexion | 1 an (obligations légales) | — |
| Cookies | 13 mois maximum | — |
| Données comptables | Durée de la relation contractuelle | 10 ans (obligations comptables) |
Des copies de sauvegarde technique sont conservées sur AWS eu-west-3 (Paris) pendant 6 mois maximum, exclusivement à des fins de plan de reprise d'activité, avant suppression définitive.
Les données peuvent être communiquées au personnel habilité de VACHAFA, à ses sous-traitants et prestataires, et aux autorités publiques habilitées sur demande.
| Prestataire | Service | Localisation |
|---|---|---|
| Railway | Hébergement de la Plateforme (production) | EU West – Amsterdam, Pays-Bas (UE) |
| Amazon Web Services (AWS) | Sauvegarde et plan de reprise d'activité | eu-west-3 – Paris, France (UE) |
Conformément au RGPD (articles 15 à 22) et à la loi Informatique et libertés, vous disposez des droits suivants :
Par email : [email protected]
Par courrier : VACHAFA – Protection des données – 1, rue Pierre et Marie Curie, 69700 Givors
Réponse sous 1 mois, prolongeable de 2 mois en cas de complexité.
Réclamation auprès de la CNIL :
3, place de Fontenoy – TSA 80715 – 75334 Paris Cedex 07 | Tél : 01 53 73 22 22 | www.cnil.fr
VACHAFA met en œuvre les mesures suivantes :
- Chiffrement des données en transit (TLS/SSL) et au repos ;
- Gestion des accès selon le principe du moindre privilège ;
- Isolation des données entre les différents sous-domaines clients ;
- Journalisation des accès et des actions (audit logs) ;
- Sauvegardes régulières sur AWS eu-west-3 (Paris) ;
- Réalisation de tests de sécurité périodiques.
Les Personnes concernées sont invitées à ne pas communiquer leurs mots de passe, à utiliser des mots de passe robustes et à se déconnecter systématiquement après chaque session.
Les Sites de VACHAFA peuvent contenir des liens hypertextes vers des sites tiers. VACHAFA décline toute responsabilité quant au traitement des données personnelles par ces sites et recommande aux Personnes concernées de consulter leurs politiques de confidentialité respectives.
B — VACHAFA EN QUALITÉ DE SOUS-TRAITANT
Données des salariés et agents des entreprises clientes utilisant la Plateforme Vachafa
Le présent chapitre définit les conditions dans lesquelles VACHAFA, en qualité de Sous-traitant au sens de l'article 28 du RGPD, traite les données pour le compte de ses clients (ci-après le « Client »).
Les dispositions détaillées sont formalisées dans l'Accord sur le Traitement des Données (DPA) conclu entre VACHAFA et chacun de ses Clients.
Nature des opérations :
- L'intégration de données (éventuellement issues de logiciels tiers) et l'hébergement sur l'infrastructure Railway (Amsterdam, Pays-Bas) ;
- Le traitement et le stockage des données nécessaires au fonctionnement de la Plateforme Vachafa (gestion RH, planning, conformité réglementaire) ;
- La sauvegarde des données sur AWS eu-west-3 (Paris, France) ;
- La transmission de données à des prestataires tiers désignés par le Responsable du traitement (emails transactionnels, génération de PDF, stockage de fichiers médias).
Finalités : Permettre la gestion opérationnelle des entreprises de sécurité privée — gestion des ressources humaines, planification des vacations, suivi de la conformité réglementaire (CNAPS, DPAE).
Catégories de données traitées :
- Données d'état civil : nom, prénom, date et lieu de naissance, numéro de sécurité sociale (NIR) ;
- Coordonnées : adresse postale, adresse email, numéro de téléphone ;
- Données professionnelles : poste occupé, qualification, numéro de carte professionnelle, dates de contrat ;
- Données de connexion : adresses IP, logs de connexion, identifiants utilisateurs ;
- Documents administratifs : copies de pièces d'identité, contrats de travail.
Le NIR est soumis à des mesures de protection renforcées (art. 87 du RGPD et art. 30 de la loi Informatique et libertés). Les mesures en place : accès limité aux rôles RH/Administrateur (RBAC), chiffrement en transit via TLS 1.3, journalisation de chaque consultation ou modification, masquage partiel à l'affichage dans l'interface. Des mesures complémentaires (chiffrement au niveau du champ, table dédiée) sont en cours de déploiement progressif.
Catégories de personnes concernées :
- Les salariés et agents des entreprises clientes ;
- Les responsables et administrateurs des entreprises clientes (utilisateurs de la Plateforme) ;
- Les clients et prospects des entreprises clientes, dans le cadre de la gestion commerciale.
Les prestations de sous-traitance entrent en vigueur à la date d'effet du contrat principal et sont maintenues pendant toute sa durée. Les obligations de confidentialité et de sécurité survivent à la résiliation ou l'expiration du contrat.
- B.3.1 Limitation des finalités — Le Sous-traitant traite les données uniquement pour les finalités décrites au §B.1.
- B.3.2 Cadre légal — Traitement conforme à l'article 28 du RGPD. Toute instruction constituant une violation est signalée immédiatement.
- B.3.3 Confidentialité — Le Sous-traitant garantit la confidentialité des données traitées.
- B.3.4 Personnes autorisées — Soumises à une obligation de confidentialité et formées en protection des données.
- B.3.5 Privacy by Design et by Default — Principes intégrés dès la conception (article 25 du RGPD).
- B.3.7 Information des personnes concernées — À la charge du Responsable du traitement (articles 13 et 14 du RGPD).
- B.3.8 Exercice des droits — Le Sous-traitant aide le Responsable du traitement à donner suite aux demandes.
- B.3.9 Notification des violations — Notification par email dans un délai de 72 heures, avec les informations requises par l'article 33.3 du RGPD.
- B.3.10 Assistance — Aide pour les AIPD et les consultations préalables de la CNIL.
- B.3.14 Registre — Tenu conformément à l'article 30.2 du RGPD.
- B.3.15 Documentation et audit — Documentation disponible, audits autorisés sous préavis raisonnable.
B.3.6 — Sous-traitants ultérieurs autorisés :
| Sous-traitant | Service | Localisation |
|---|---|---|
| Railway | Hébergement de la Plateforme (production) | EU West – Amsterdam, Pays-Bas (UE) |
| Amazon Web Services (AWS) | Sauvegarde / PRA | eu-west-3 – Paris, France (UE) |
En cas de recrutement de nouveaux sous-traitants ultérieurs, VACHAFA en informe préalablement le Responsable du traitement, qui dispose de 30 jours pour émettre des objections.
B.3.11 — Mesures de sécurité (article 32 du RGPD) :
- Chiffrement en transit via TLS 1.3 (géré par Cloudflare/Railway) ;
- Accès au NIR limité aux rôles RH et Administrateur (contrôle RBAC) ;
- Journalisation de chaque consultation ou modification du NIR (qui, quand, depuis quelle IP) ;
- Masquage partiel du NIR à l'affichage dans l'interface.
Des mesures complémentaires (chiffrement au niveau du champ, table dédiée) sont en cours de déploiement progressif.
B.3.12 — Sort des données au terme du contrat :
- Restitution des données dans un format structuré dans un délai de 30 jours ;
- Suppression en production dans un délai de 30 jours ;
- Conservation des backups (AWS eu-west-3, Paris) pendant 6 mois maximum, exclusivement pour le PRA ;
- Certification écrite de la suppression sur demande.
B.3.13 — Référent protection des données : [email protected]
- Fournir au Sous-traitant les données visées au §B.1 ;
- Documenter par écrit toute instruction de traitement ;
- Se conformer à la réglementation applicable ;
- Informer les personnes concernées conformément aux articles 13 et 14 du RGPD ;
- Ne pas mettre le Sous-traitant en situation de contrevenir à la réglementation.
VACHAFA se réserve le droit de modifier la présente Politique. En cas de modification substantielle, les Personnes concernées en seront informées par tout moyen approprié. La date de dernière mise à jour est indiquée en tête du document.
1, rue Pierre et Marie Curie – 69700 Givors
Email : [email protected]