Politique de Confidentialité

1. Préambule

YACOB NETWORK accorde une importance centrale à la confidentialité, l’intégrité et la disponibilité des données confiées par ses clients professionnels : PME, hôtels, cliniques, entreprises multi-sites et organisations disposant d’équipes en rotation.

La présente politique s’inscrit dans une démarche de conformité et de sécurité inspirée notamment de la Loi marocaine n° 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, du RGPD lorsque celui-ci est applicable, ainsi que des principes de gouvernance et de maîtrise des risques portés par ISO/IEC 27001.

2. Hébergement

YACONET RH Planner est conçu pour s’appuyer sur un hébergement professionnel chez Infomaniak, société suisse reconnue pour ses engagements en matière de souveraineté, de sécurité et de confidentialité des données.

• Les infrastructures Infomaniak sont situées en Suisse.
• Les data centers sont opérés dans un cadre suisse et européen strict.
• L’hébergement vise à offrir une protection forte contre les accès non autorisés, la perte, l’altération ou l’indisponibilité des données.

3. Certifications et référentiels

Les certifications et référentiels ci-dessous concernent l’infrastructure d’hébergement, les contrôles de sécurité du prestataire et les bonnes pratiques cloud. Ils ne constituent pas une certification autonome de l’application YACONET RH Planner.

Infomaniak publie notamment des certifications ISO 27001, ISO 9001 et ISO 14001. Les référentiels ISO/IEC 27017 et ISO/IEC 27018 sont cités comme standards de bonnes pratiques applicables aux services cloud et à la protection des données personnelles dans le cloud. Le périmètre exact de toute certification doit toujours être apprécié selon les documents officiels publiés par le prestataire d’hébergement.

Références publiques : certifications Infomaniak et centre de confiance Infomaniak.

4. Données collectées

Selon les modules activés et les droits de l’utilisateur, YACONET RH Planner peut traiter les catégories de données suivantes :

• Données utilisateurs : nom, prénom, login, adresse email, rôle, permissions.
• Données professionnelles : société, département, service, poste, planning, affectations.
• Données de pointage : dates, horaires, retards, absences, écarts, anomalies et analyses journalières.
• Logs applicatifs : identifiant utilisateur, adresse IP, date, action, module concerné, statut de l’action.
• Documents RH ou rapports générés lorsque ces fonctionnalités sont utilisées.

5. Finalités du traitement

Les données sont traitées exclusivement dans un cadre professionnel afin de permettre :

• la gestion RH opérationnelle ;
• la préparation, validation et consultation des plannings ;
• l’analyse des pointages, retards, absences et écarts horaires ;
• la production de rapports et KPI pour la direction ;
• la traçabilité des actions et la conformité interne ;
• la sécurisation des accès et la prévention des usages non autorisés.

6. Sécurité applicative

YACONET RH Planner applique des mesures techniques et organisationnelles destinées à limiter les risques de fuite, altération ou accès non autorisé aux données :

• chiffrement des échanges via HTTPS / TLS lorsque l’application est déployée en production ;
• protection CSRF sur les formulaires sensibles ;
• requêtes SQL exécutées via PDO et requêtes préparées ;
• gestion des rôles, permissions et périmètres d’accès ;
• échappement des données affichées afin de réduire le risque XSS ;
• contrôles serveur pour limiter les accès directs non autorisés ;
• journalisation des actions sensibles dans les logs ISO et journaux d’audit.

7. Confidentialité

Les données traitées dans YACONET RH Planner ne sont ni vendues, ni louées, ni exploitées à des fins publicitaires. Leur usage est strictement limité aux besoins professionnels du client et aux fonctionnalités prévues par l’application.

L’accès aux données est réservé aux utilisateurs autorisés selon leur rôle, leur société, leur département, leur service ou leur périmètre opérationnel.

8. Isolation des données

L’application est conçue avec une logique multi-société. Les données sont filtrées par société active et par périmètre utilisateur afin d’éviter les accès croisés entre clients, sociétés, départements ou services.

• Chaque employé, service, département, planning, pointage, rapport et log est rattaché à une société lorsque le module le prévoit.
• Les requêtes métiers appliquent un filtrage par company_id ou identifiant société équivalent.
• Un utilisateur non autorisé ne doit pas visualiser les données d’une autre société.

9. Logs et traçabilité

Les actions importantes peuvent être enregistrées pour garantir la traçabilité, renforcer la sécurité et faciliter les audits internes.

• identifiant utilisateur ;
• rôle ou périmètre au moment de l’action ;
• adresse IP utilisée ;
• date et heure ;
• module, action, objet concerné et statut de l’opération.

Ces journaux ne sont pas destinés à une surveillance abusive : ils servent à la sécurité, à la conformité et à la résolution d’incidents.

10. Durée de conservation

Les données sont conservées pendant la durée nécessaire aux finalités décrites ci-dessus, aux obligations légales applicables, aux besoins de preuve et aux règles internes du client.

Lorsque les données ne sont plus nécessaires, elles peuvent être supprimées, anonymisées ou archivées selon la nature des informations et les contraintes légales ou contractuelles applicables.

11. Droits des utilisateurs

Selon le cadre légal applicable, les utilisateurs peuvent disposer de droits relatifs à leurs données personnelles :

• droit d’accès ;
• droit de rectification ou modification ;
• droit de suppression lorsque les conditions légales sont réunies ;
• droit d’opposition ou de limitation dans certains cas.

Pour les salariés ou collaborateurs d’une société cliente, l’exercice de ces droits peut nécessiter une demande préalable auprès de l’employeur ou du responsable interne désigné par la société.