← Retour

Registre des traitements

Article 30 RGPD — Document interne confidentiel

📋

Document interne — usage exclusivement professionnel

Ce registre recense l'ensemble des activités de traitement de données personnelles menées par la SARL SCODELLER, conformément à l'article 30 du Règlement (UE) 2016/679 (RGPD). Il doit être tenu à jour et présenté à la CNIL sur demande.

Responsable du traitement

Organisme
SARL SCODELLER
Représentant légal
KORKUT Aurélien — Gérant
Siège social
870 rue de la Briqueterie, 62580 Thélus
SIRET
340 518 919 000 14

Activités de traitement

1

Gestion du temps de travail et des pointages

Enregistrement et suivi des heures, présences et absences des salariés

Finalité Suivi du temps de travail, calcul des heures supplémentaires, indemnités de zone et panier, gestion des congés et absences, édition de rapports pour la paie
Base légale Art. 6.1.b — Exécution du contrat de travail Art. 6.1.c — Obligation légale (Code du travail)
Personnes concernées Salariés de la SARL SCODELLER
Catégories de données Identité (nom, prénom) Poste occupé Dates et heures de travail Lieu de travail (chantier, adresse) Zone de déplacement Arrêts maladie Congés payés Absences Heures supplémentaires Remarques libres
Destinataires Gérant SARL SCODELLER · Cabinet comptable / gestionnaire de paie (sur export)
Durée de conservation 5 ans à compter de la date du pointage (art. L3243-4 Code du travail) — purge automatique activée
Transferts hors UE Railway Corp. (hébergeur, USA) — clauses contractuelles types de la Commission Européenne. Recommandation : activer la région EU sur Railway.

Mesures techniques et organisationnelles

  • Authentification par token unique par salarié (lien personnel non partageable)
  • Chaque salarié n'accède qu'à ses propres données (contrôle serveur)
  • Accès admin protégé par mot de passe haché (bcrypt, coût 12)
  • Sessions JWT avec expiration 12 heures
  • Transport chiffré TLS obligatoire (HTTPS)
  • Purge automatique quotidienne des données expirées
2

Authentification et contrôle d'accès

Gestion des accès sécurisés à l'application

Finalité Vérifier l'identité des utilisateurs, restreindre l'accès aux seules personnes habilitées, prévenir les accès non autorisés
Base légale Art. 6.1.f — Intérêt légitime (sécurité du système)
Personnes concernées Salariés (accès mobile) · Administrateur (accès tableau de bord)
Catégories de données Token d'accès salarié (32 caractères hex aléatoires) Token JWT admin (signé, expiration 12h) Hash bcrypt du mot de passe admin
Destinataires SARL SCODELLER uniquement · MongoDB Atlas (stockage)
Durée de conservation Token salarié : durée du contrat de travail, révocable à tout moment par l'admin · JWT admin : 12 heures
Transferts hors UE Railway Corp. (hébergeur, USA) — clauses contractuelles types

Mesures techniques et organisationnelles

  • Tokens générés par crypto.randomBytes (entropie élevée)
  • Mot de passe admin jamais stocké en clair (bcrypt coût 12)
  • JWT signé avec secret ≥ 32 caractères (vérifié au démarrage)
  • Limitation de débit : 10 tentatives / 15 minutes sur le login admin
3

Journal d'audit de sécurité

Traçabilité des actions sensibles pour la conformité RGPD

Finalité Détecter les accès non autorisés, démontrer la conformité RGPD, assurer la traçabilité des opérations sensibles (suppressions, exports)
Base légale Art. 6.1.f — Intérêt légitime (sécurité et conformité)
Personnes concernées Salariés (accès consignés) · Administrateur (actions consignées)
Catégories de données Date et heure de l'action Type d'action (connexion, suppression…) Nom de l'acteur Description non confidentielle de la cible Adresse IP
Destinataires Gérant SARL SCODELLER uniquement (onglet Journal dans l'interface admin)
Durée de conservation 1 an (purge automatique quotidienne, AUDIT_RETENTION_DAYS=365 — conforme à la doctrine CNIL sur les journaux) · Suppression manuelle possible depuis l'interface admin
Transferts hors UE Railway Corp. (hébergeur, USA) — clauses contractuelles types

Mesures techniques et organisationnelles

  • Aucun mot de passe ou token n'est enregistré dans le journal
  • Accès au journal réservé à l'administrateur authentifié
  • Les logs ne contiennent pas de données de santé

Sous-traitants et transferts (Art. 28 & 46 RGPD)

Railway Corp. Hébergement de l'application et de la base de données · USA · Mécanisme : clauses contractuelles types (SCCs) · Recommandation : activer la région europe-west
MongoDB Atlas Base de données cloud (via Railway) · Région : à configurer en EU · TLS activé
Resend, Inc. Envoi d'e-mails transactionnels (rapport de surveillance quotidien contenant des extraits du journal d'audit — noms, adresses IP — et formulaire de contact) · USA · Mécanisme : clauses contractuelles types (SCCs)
Stripe, Inc. Traitement des paiements et données de facturation des clients (e-mail, raison sociale, SIRET, coordonnées bancaires côté Stripe uniquement) · USA · Mécanisme : EU-US Data Privacy Framework + SCCs

Exercice des droits des personnes concernées

Droit d'accès Export JSON individuel disponible dans l'interface admin (bouton 📥 par salarié) · Délai de réponse : 1 mois
Droit de rectification Modification possible via l'interface admin (onglet Employés + modification des pointages)
Droit à l'effacement Suppression individuelle ou en masse des pointages / suppression du profil salarié dans l'interface admin · Limité par les obligations légales de conservation
Droit à la portabilité Export JSON structuré (Art. 15) via le bouton 📥 Export dans l'onglet Employés
Point de contact SARL SCODELLER — 870 rue de la Briqueterie, 62580 Thélus · Gérant : KORKUT Aurélien

Registre établi le avril 2026 — à mettre à jour à chaque nouveau traitement ou sous-traitant
🚨 Plan de réponse aux violations de données (Art. 33 & 34 RGPD)