Notice d'information aux salaries

1. Qui est responsable de vos donnees

Le responsable du traitement est votre employeur. C'est lui qui a souscrit MYCOM, qui parametre les modules utilises et qui decide des donnees collectees pour la gestion de votre contrat de travail.

HAPICS SAS, editeur de MYCOM, intervient en qualite de sous-traitantau sens de l'article 28 du RGPD : HAPICS heberge et opere la plateforme, mais n'agit que sur instructions de l'employeur et ne consulte jamais le contenu de vos donnees metier (sauf necessite technique tracee de support).

• HAPICS SAS — SIREN 803 138 577 — 34 rue du Docteur Abel, 26000 Valence
• DPO HAPICS : Philippe JONDET — dpmockup@gmail.com

Pour exercer vos droits, contactez en priorite votre employeur(votre service RH ou le DPO designe par votre entreprise). HAPICS SAS peut relayer votre demande au besoin.

2. Quelles donnees sont collectees

Selon votre role et les modules actives par votre employeur :

• Identification : nom, prenom, email, photo de profil, telephone, adresse
• Compte utilisateur: identifiant, mot de passe haché (jamais en clair), role, magasin de rattachement, date d'embauche
• Temps de travail : pointages horaires (entree, sortie, pause), methode (QR code ou saisie manuelle), adresse IP au moment du pointage
• Plannings : shifts assignes, indisponibilites declarees, voeux exprimes
• Demandes RH: conges, absences, acomptes, heures supplementaires, avec justificatifs (PDF, photos) — pouvant inclure des donnees de sante au sens de l'article 9 du RGPD si vous joignez un certificat medical, dont l'acces est strictement limite
• Communications : notes/messages internes dont vous etes destinataire
• Missions et activite : taches assignees, points cumules
• Entretiens individuels et annuels : objectifs, ressentis, points abordes (article L.6315-1 du Code du travail)
• Profil DISC (psychometrie) : uniquement si vous donnez votre consentement explicite. Retirable a tout moment sans consequence sur votre situation professionnelle.

3. Pourquoi ces donnees sont collectees (bases legales)

4. Combien de temps vos donnees sont conservees

• Pendant votre emploi : pour toute la duree du contrat
• Apres votre depart :
  • Pointages, demandes RH : 5 ans (prescription Code du travail)
  • Entretiens annuels : 5 ans
  • Compte utilisateur : 3 ans apres derniere connexion, puis anonymisation
  • Profil DISC : supprime immediatement sur votre demandeou a votre depart

5. Qui peut acceder a vos donnees

• Vous-meme : vous accedez a toutes vos donnees depuis votre espace personnel sur MYCOM
• Votre manager : pour les besoins managériaux (plannings, pointages, demandes RH)
• Les autres managers de votre etablissement : pour la consultation collective des demandes RH (workflow de validation)
• Si votre magasin appartient a un reseau de franchise: le siege du reseau peut acceder a un sous-ensemble de donnees defini par convention (vous serez informe separement si c'est le cas)
• Le service comptable / paie de votre employeur (calcul de la paie)
• L'Inspection du travail, l'URSSAF : sur demande legale (controle)
• L'editeur HAPICS / MYCOM : son equipe accede uniquement aux journaux techniques anonymises pour resoudre des incidents, et jamais au contenu de vos donnees metier (isolation stricte multi-tenant verrouillee au niveau du code applicatif)

6. Vos donnees sont-elles transferees hors de l'Union Europeenne ?

L'hebergement principal de vos donnees est en France ou dans l'Union Europeenne.

Certains services techniques d'intelligence artificielle (Anthropic Claude, Google Gemini) et de CDN (Cloudflare) sont bases aux Etats-Unis. Les transferts sont encadres par le EU-US Data Privacy Framework(decision d'adequation UE 2023/1795 du 10 juillet 2023) et les clauses contractuelles types de la Commission europeenne.

Le detail des sous-traitants concernes est presente sur la page sous-traitants.

7. Vos droits RGPD

Conformement aux articles 15 a 22 du RGPD, vous pouvez a tout moment :

• Acceder a vos donnees (art. 15) — export auto-service au format JSON depuis votre Profil sur MYCOM
• Faire rectifier vos donnees (art. 16) — modification directe dans votre Profil ou demande a votre manager / service RH
• Demander l'effacement (art. 17) — sous reserve des durees de conservation legales applicables (Code du travail, paie)
• Limiter le traitement (art. 18) — demande a votre DPO
• Vous opposer au traitement(art. 21) — notamment pour les traitements bases sur l'interet legitime
• Retirer votre consentement(art. 7 §3) — a tout moment, sans justification, en particulier pour le DISC (self-service depuis votre Profil). Le retrait n'affecte pas la liceite des traitements anterieurs.
• Portabilite(art. 20) — export JSON inclus dans l'export auto-service
• Decisions automatisees (art. 22) — aucune decision automatisee bloquante ne vous est appliquee. Vous pouvez toujours demander une revue humaine d'une suggestion algorithmique.

8. Securite

HAPICS et votre employeur appliquent ensemble des mesures techniques fortes pour proteger vos donnees. Le detail figure dans la section 10 de la politique de confidentialite: chiffrement, authentification a deux facteurs obligatoire pour les comptes a privilege, WAF, audit logs, sauvegardes testees, monitoring temps reel, plan de reponse aux incidents avec notification CNIL sous 72h, test d'intrusion externe annuel.

9. Comment exercer vos droits

En priorite, contactez votre employeur :

• Votre service RH ou votre manager direct
• Le DPO interne de votre entreprise si elle en a designe un

Si vous n'obtenez pas de reponse satisfaisante, contactez l'editeur :

• Philippe JONDET — DPO HAPICS — dpmockup@gmail.com

Vous pouvez egalement deposer une reclamation aupres de la CNIL : 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — formulaire en ligne sur cnil.fr/fr/plaintes.