Politique de confidentialite
Derniere mise a jour : mai 2026.
La presente politique de confidentialite decrit la maniere dont HAPICS SAS, editeur de la plateforme MYCOM (ci-apres « MYCOM » ou « nous »), traite les donnees a caractere personnel collectees aupres des utilisateurs du site mycom-app.fr et de la plateforme MYCOM (ci-apres « les Utilisateurs »).
Elle est etablie en application du Reglement (UE) 2016/679 du 27 avril 2016 (ci-apres « RGPD »), de la loi n° 78-17 du 6 janvier 1978 modifiee dite « Informatique et Libertes », ainsi que des recommandations de la Commission Nationale de l'Informatique et des Libertes (CNIL).
1. Responsable du traitement
HAPICS SAS, SAS au capital de 10 000 €, immatriculee au RCS de Romans-sur-Isere sous le numero 803 138 577, dont le siege social est situe au 34 rue du Docteur Abel, 26000 Valence, France.
Representant legal : M. Christophe JONDET, President.
2. Delegue a la protection des donnees (DPO)
HAPICS SAS a designe un delegue a la protection des donnees joignable :
M. Philippe JONDET — Adresse : 34 rue du Docteur Abel, 26000 Valence
Email : dpmockup@gmail.com
3. Categories de donnees collectees
Les categories de donnees suivantes sont collectees, selon les fonctionnalites utilisees :
- Donnees d'identification : nom, prenom, adresse email, numero de telephone, photo de profil
- Donnees professionnelles : poste, magasin de rattachement, employeur (raison sociale), role (manager, employe, super-administrateur)
- Donnees de connexion et techniques(article L.34-1 du CPCE) : adresse IP, identifiants de session, journaux d'evenements, type de navigateur et systeme d'exploitation, horodatage des actions
- Donnees relatives aux ressources humaines(modules RH) : plannings, demandes de conge / acompte / heures supplementaires, missions attribuees et resultats, evaluations annuelles, comptes rendus d'entretien, resultats des tests de personnalite (DISC) si activation par le Client employeur
- Documents professionnels(module RH) : justificatifs soumis par le salarie (pieces d'identite, justificatifs medicaux, attestations) — donnees pouvant relever de l'article 9 du RGPD (categories particulieres) lorsqu'elles concernent la sante
- Photographies et metadonnees(modules Etiquettes / Expertise / Verif) : photos d'articles, contenu textuel descriptif, eventuelles donnees de geolocalisation associees aux fichiers soumis
- Donnees de paiement: coordonnees de facturation, historique des transactions. Les coordonnees bancaires (numero de carte, cryptogramme) sont collectees et stockees exclusivement par notre prestataire Stripe ; MYCOM n'y a pas acces.
- Donnees relatives au chatbot commercial (site vitrine) : messages echanges, page consultee, identifiant visiteur anonyme, eventuelles coordonnees laissees volontairement (email)
4. Finalites des traitements et bases legales
| Finalite | Base legale (art. 6 RGPD) | Duree de conservation |
|---|---|---|
| Creation et gestion du compte utilisateur, fourniture du Service | Execution du contrat (art. 6 §1.b) | Duree de l'abonnement + 3 ans (prescription civile et commerciale) |
| Facturation, comptabilite et obligations fiscales | Obligation legale (art. 6 §1.c — articles L.123-22 du Code de commerce et L.102 B du Livre des procedures fiscales) | 10 ans |
| Journalisation technique, cybersecurite, lutte contre la fraude | Interet legitime (art. 6 §1.f) | 12 mois maximum (decret n° 2021-1363 du 20 octobre 2021) |
| Modules RH — gestion plannings, missions, conges, entretiens annuels | Execution du contrat (Client employeur — art. 6 §1.b) ; bases legales du Code du travail pour le Client employeur | 5 ans apres la fin de la relation de travail (article L.1471-1 Code du travail) |
| Test de personnalite DISC et entretiens IA | Interet legitime (art. 6 §1.f) avec test de mise en balance documente ; ou consentement explicite separable (art. 6 §1.a) selon la configuration retenue par le Client employeur | 12 mois apres la passation, sauf opposition du salarie ou demande d'effacement |
| Modules d'analyse algorithmique (Etiquettes / Expertise / Verif de produits) | Execution du contrat (art. 6 §1.b) | 10 ans pour les rapports d'authentification (incluant prompts, reponses brutes des modeles, hash SHA-256 des photos analysees, versions des modeles utilises — tracabilite forensique en cas de contestation contractuelle B2B) ; 12 mois pour les analyses ponctuelles non emises en rapport |
| Communications transactionnelles (notifications, reset mot de passe) | Execution du contrat (art. 6 §1.b) | Duree de l'abonnement |
| Prospection commerciale / chatbot site vitrine / nurture emails | Consentement (art. 6 §1.a) ; interet legitime pour les clients existants (lignes directrices CNIL prospection 2020) | 3 ans a compter du dernier contact effectif |
| Cookies non essentiels et traceurs analytiques | Consentement (art. 6 §1.a + article 82 loi I&L) | 13 mois maximum |
5. Decisions automatisees et profilage (article 22 du RGPD)
Plusieurs modules de la plateforme MYCOM mettent en oeuvre des traitements algorithmiques utilisant des modeles d'intelligence artificielle (Anthropic Claude, Google Gemini). Conformement a l'article 22 du RGPD, MYCOM precise ce qui suit :
- Module Verif d'objets de luxe: le verdict algorithmique ne produit pas d'effet juridique a l'egard de la personne concernee au sens de l'article 22 §1 ; il constitue une aide a la decisiondestinee au professionnel (le Client) qui conserve la decision finale. Le rapport peut etre conteste a l'adressedpmockup@gmail.com. MYCOM s'engage a fournir une revue humaine sous 5 jours ouvres en cas de demande motivee. Les details sur le fonctionnement de la decision et sur la logique sous-jacente sont decrits a l'article 7.
- Modules Etiquettes et Expertise: les suggestions algorithmiques peuvent etre librement modifiees par l'utilisateur avant validation. Aucune decision automatisee individuelle n'est rendue.
- Module Entretiens annuels / Test DISC: lorsque le Client employeur active ces fonctionnalites, le scoring algorithmique constitue egalement une aide a la decision RH. Le salarie dispose : (i) du droit d'etre informe prealablement (article L.1222-3 et L.1222-4 du Code du travail), (ii) du droit d'obtenir une intervention humaine, (iii) du droit d'exprimer son point de vue et de contester la decision (article 22 §3 RGPD). Le Client employeur a l'obligation prealable d'informer les representants du personnel (CSE) en application de l'article L.2312-38 du Code du travail.
6. Transparence intelligence artificielle (Reglement UE 2024/1689 — « AI Act »)
En application de l'article 50 du Reglement (UE) 2024/1689 du Parlement europeen et du Conseil du 13 juin 2024 etablissant des regles harmonisees concernant l'intelligence artificielle :
- Les Utilisateurs interagissant avec un module integrant un systeme d'IA en sont informes a l'ecran (badge « Analyse generee par IA »).
- Les rapports d'authentification, suggestions d'etiquettes et comptes rendus d'entretien generes par les modeles d'IA portent une mention explicite indiquant leur origine algorithmique.
- MYCOM n'est pas fournisseur d'un modele d'IA a usage general (GPAI) ; MYCOM est deployeurdes modeles fournis par Anthropic PBC (Claude) et Google LLC (Gemini) au sens de l'article 3 §4 du Reglement.
7. Logique des traitements algorithmiques (Module Verif)
Pour repondre a l'exigence d'information utile sur la logique sous-jacente (art. 13 §2.f, art. 14 §2.g et art. 15 §1.h du RGPD) :
Le module Verif soumet les photographies de l'article et le contexte declaratif (marque, modele, accessoires, numero de serie) en parallele a deux modeles d'intelligence artificielle distincts (Anthropic Claude et Google Gemini). Chacun retourne un avis, un indice de confiance et une liste de criteres observes. Un algorithme deterministe combine les deux avis : un avis d'authenticite favorable n'est rendu que si les deux modeles convergent et que la confiance moyenne et la confiance plancher depassent des seuils predefinis. Trois iterations photographiques au maximum sont autorisees par dossier. L'ensemble des prompts, reponses et verdicts est journalise au registre RGPD.
8. Destinataires et sous-traitants ulterieurs
Les donnees sont accessibles, dans la stricte mesure necessaire a leur mission :
- aux personnels habilites de HAPICS SAS (support, technique, direction)
- au Client employeur, dans le cadre de l'execution du contrat de travail (modules RH)
- aux sous-traitants ulterieurs listes nominativement sur la page Liste des sous-traitants (1&1 IONOS SE, Sendinblue SAS / Brevo, Stripe Payments Europe Ltd, Cloudflare Inc., Anthropic PBC, Google LLC)
- aux autorites administratives et judiciaires sur reserve d'une demande legitime
HAPICS SAS ne procede a aucune cession ni location de donnees personnelles a des tiers a des fins commerciales.
9. Transferts hors Union europeenne
Certains sous-traitants (Anthropic PBC, Google LLC, Stripe Inc., Cloudflare Inc.) sont etablis aux Etats-Unis. Les transferts vers ces destinataires sont realises sur le double fondement :
- de la decision d'adequation (UE) 2023/1795 du 10 juillet 2023 relative au EU-US Data Privacy Framework, lorsque l'importateur est certifie ;
- en complement, des clauses contractuelles typesadoptees par la Commission europeenne le 4 juin 2021 (decision 2021/914), accompagnees d'une analyse d'impact des transferts (TIA) annuelle.
Le detail des sous-traitants concernes, des donnees transferees et des garanties est presente sur la page Liste des sous-traitants.
10. Securite
HAPICS SAS met en oeuvre des mesures techniques et organisationnelles appropriees au sens de l'article 32 du RGPD.
Chiffrement et secrets :
- TLS 1.2 ou superieur en transit pour toutes les communications
- Chiffrement AES-256-GCM au repos pour les secrets en base (jetons OAuth, secrets TOTP), avec cle dediee
ENCRYPTION_KEYdistincte deJWT_SECRETpermettant la rotation independante - Hachage bcrypt (cout 12) des mots de passe, longueur minimale 12 caracteres (recommandation CNIL 2022)
Authentification :
- Cookies de session httpOnly + Secure + SameSite, jamais accessibles depuis JavaScript
- JWT d'acces courte duree (24h), refresh tokens revocables stockes en base de donnees avec rotation a chaque utilisation
- Double authentification (2FA TOTP) obligatoire pour tous les comptes a privilege (managers et super-administrateurs)
- Procedure de reinitialisation 2FA tracee dans les journaux d'audit avec notification email a l'utilisateur concerne
Defense en profondeur :
- WAF nginx ModSecurityavec OWASP Core Rule Set 3.3 (5526 regles actives) interceptant les patterns d'attaque connus avant le backend
- Content Security Policy stricte avec whitelist explicite des sources externes autorisees
- Anti-CSRF : verification X-Requested-With + Origin whitelist sur toutes les requetes mutatives
- Rate-limiting applicatif et nginx ; fail2ban en complement
- Isolation reseau Docker, binding 127.0.0.1 sur la base de donnees, chiffrement disque cote hebergeur
- Multi-tenancy strict avec verification
storeIdsur chaque requete metier
Audit, monitoring et resilience :
- Journaux d'audit append-only (declencheurs SQL bloquant UPDATE/DELETE) sur les actions sensibles
- Scan automatique quotidien des vulnerabilites (npm audit + Trivy) avec alerte email sur tout CVE HIGH ou CRITICAL
- Sauvegardes quotidiennes automatiseesde la base de donnees avec verification d'integrite, test de restauration mensuelprouvant l'exploitabilite des sauvegardes
- Tableau de bord securite temps reel pour les super-administrateurs (WAF, tentatives de connexion echouees, statut backup, vulnerabilites)
- Procedure de reponse aux incidents documentee, avec notification CNIL sous 72h en cas de violation
- Test d'intrusion externe annuel par cabinet specialise
- Entetes HTTP de securite (HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, Content-Security-Policy)
11. Vos droits
Conformement aux articles 15 a 22 et 77 du RGPD, vous disposez des droits suivants sur vos donnees personnelles :
- Droit d'acces (art. 15) : obtenir copie des donnees vous concernant
- Droit de rectification (art. 16) : faire corriger des donnees inexactes ou incompletes — accessible directement depuis votre espace personnel
- Droit a l'effacement (art. 17) : demander la suppression de vos donnees — sous reserve des durees de conservation legales (facturation 10 ans, journaux 12 mois)
- Droit a la limitation (art. 18) : demander la suspension du traitement
- Droit a la portabilite (art. 20) : recevoir vos donnees dans un format structure, couramment utilise et lisible par machine
- Droit d'opposition (art. 21) : vous opposer au traitement, notamment a des fins de prospection
- Droit de retrait du consentement (art. 7 §3) : a tout moment, sans affecter la liceite du traitement passe
- Droit de definir des directives post-mortem (article 85 loi Informatique et Libertes)
- Droit relatif aux decisions automatisees (art. 22) : voir article 5
Pour exercer ces droits : ecrire au DPO a dpmockup@gmail.com en justifiant de votre identite. Reponse sous un mois (article 12 §3 du RGPD), prorogeable de deux mois pour les demandes complexes.
Reclamation aupres de la CNIL : 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — formulaire en ligne sur cnil.fr/fr/plaintes.
12. Information specifique aux salaries des Clients employeurs
Lorsque vous utilisez la plateforme MYCOM en tant que salarie d'un Client employeur, le responsable du traitement est principalement votre employeur ; HAPICS SAS agit en qualite de sous-traitant au sens de l'article 28 du RGPD. Votre employeur a l'obligation, en application des articles L.1222-3 et L.1222-4 du Code du travail, de vous informer individuellement des dispositifs de collecte et d'evaluation utilises (notice prevue a cet effet). Pour exercer vos droits, contactez en priorite votre employeur ; HAPICS SAS pourra, le cas echeant, lui transmettre votre demande.
Une notice dediee aux salaries (articles 12, 13 et 14 du RGPD) detaille vos droits, les donnees collectees et les bases legales applicables dans ce contexte salarie. Elle est librement consultable et peut etre integralement reprise par votre employeur dans son information aux equipes.
13. Cookies
La gestion des cookies et autres traceurs (article 82 de la loi Informatique et Libertes ; lignes directrices CNIL n° 2020-091 du 17 septembre 2020 et recommandation 2020-092) est detaillee dans la politique cookies.
14. Modifications
La presente politique peut etre modifiee a tout moment pour tenir compte des evolutions reglementaires ou de l'activite de HAPICS SAS. Toute modification substantielle sera portee a la connaissance des Utilisateurs par email et / ou notification dans la plateforme au moins 30 jours avant son entree en vigueur.