Politique de confidentialité
La présente politique décrit les modalités de collecte, de traitement et de protection de vos données personnelles lors de l'utilisation de PhiePlanning, conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679).
1. Responsable de traitement et sous-traitant
Modèle de responsabilité
Chaque pharmacie utilisant PhiePlanning agit en qualité de responsable de traitement au sens du RGPD : c'est l'employeur (le titulaire) qui décide des finalités du traitement des données de ses employés.
PhiePlanning (édité par PhieCare, entreprise en cours d'immatriculation) agit en qualité de sous-traitant (processor) : nous traitons les données personnelles pour le compte de la pharmacie, selon ses instructions et dans le cadre de notre contrat de service.
Contact
PhieCare — PhiePlanning
Entreprise en cours d'immatriculation
Email : contact@phieplanning.fr
Référent protection des données : contact@phieplanning.fr
2. Données collectées
| Catégorie | Données | Obligatoire | Base légale |
|---|---|---|---|
| Identité employé | Nom, prénom, initiales | Oui | Contrat |
| Contact employé | Email, téléphone | Oui | Contrat |
| Contrat | Type (CDI/CDD/etc.), heures hebdo, date embauche, date fin | Oui | Obligation légale |
| Catégorie professionnelle | Pharmacien, préparateur, apprenti, étudiant, conditionneur | Oui | Obligation légale |
| Horaires | Shifts planifiés (date, heures début/fin), horaires récurrents | Oui | Contrat + Obligation légale |
| Congés | Type, dates, jours ouvrés, solde | Oui | Obligation légale |
| Gardes | Dates, heures de compensation | Oui | Obligation légale (Code de la santé publique) |
| Disponibilités | Créneaux disponibles par jour | Oui (si horaires variables) | Contrat |
| Préférences | Type de shift préféré, jours off souhaités, max consécutifs | Non | Intérêt légitime |
| Connexion | Email, hash du mot de passe, date dernière connexion | Oui | Contrat + Sécurité |
| Notifications | Titre, message, statut lu/non-lu | Automatique | Intérêt légitime |
| Audit | Actions effectuées, horodatage | Automatique | Intérêt légitime + Obligation légale |
3. Finalités du traitement
Vos données sont traitées pour les finalités suivantes :
- Planification des horaires de travail de la pharmacie
- Gestion des congés et absences
- Conformité avec le Code du travail, la convention collective de la pharmacie d'officine et le Code de la santé publique
- Export des données pour le calcul de la paie
- Notifications liées à l'activité planning (shifts, gardes, congés)
- Amélioration du service et statistiques anonymisées
4. Bases légales du traitement
Exécution du contrat (art. 6.1.b RGPD) : le traitement est nécessaire à la fourniture du service SaaS souscrit par la pharmacie.
Obligation légale (art. 6.1.c RGPD) : conformité avec le Code du travail (durée maximale, repos obligatoires), la convention collective de la pharmacie d'officine et le Code de la santé publique (présence obligatoire d'un pharmacien).
Intérêt légitime (art. 6.1.f RGPD) : amélioration du service, statistiques anonymisées, gestion des préférences employés pour optimiser le planning.
5. Destinataires des données
Vos données sont accessibles aux personnes suivantes :
- Manager et adjoint de votre pharmacie : accès au planning, aux congés et aux informations contractuelles
- Employés : accès à leurs propres données via le portail employé
- Sous-traitants techniques : voir section 6 ci-dessous
Vos données ne sont jamais vendues ni communiquées à des tiers à des fins commerciales.
6. Sous-traitants et transferts hors UE
| Sous-traitant | Usage | Localisation | Garanties |
|---|---|---|---|
| Hostinger | Hébergement application et base de données | UE (Lituanie / Pays-Bas) | Données dans l'UE |
| Stripe | Paiement et facturation | USA | Clauses Contractuelles Types (SCC) |
| Resend | Emails transactionnels | USA | Clauses Contractuelles Types (SCC) |
7. Durée de conservation
| Type de données | Durée | Justification |
|---|---|---|
| Données actives (compte, planning, congés) | Durée de l'abonnement + 12 mois | Exécution du contrat |
| Données supprimées | 30 jours (purge définitive) | Droit à l'effacement |
| Logs d'audit | 3 ans | Obligation comptable |
| Données de paie | 5 ans | Obligation sociale (Code du travail) |
8. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès (art. 15) : obtenir une copie de vos données personnelles
- Droit de rectification (art. 16) : corriger des données inexactes
- Droit à l'effacement (art. 17) : demander la suppression de vos données
- Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré (export disponible dans le portail employé)
- Droit d'opposition (art. 21) : vous opposer au traitement fondé sur l'intérêt légitime
- Droit à la limitation (art. 18) : restreindre le traitement dans certains cas
Comment exercer vos droits : les droits d'accès, de rectification et d'effacement s'exercent en priorité auprès de votre pharmacie (responsable de traitement). Vous pouvez également contacter PhiePlanning à dpo@phieplanning.fr.
Export RGPD : une fonction d'export de vos données est disponible directement dans le portail employé de l'application.
9. Droit de réclamation
Si vous estimez que le traitement de vos données ne respecte pas la réglementation, vous pouvez introduire une réclamation auprès de la CNIL :
Commission Nationale de l'Informatique et des Libertés
3 Place de Fontenoy, TSA 80715
75334 Paris Cedex 07
www.cnil.fr
10. Cookies
PhiePlanning utilise uniquement un cookie de session (Auth.js) strictement nécessaire au fonctionnement de l'authentification. Ce cookie technique ne requiert pas de consentement préalable (art. 82 de la loi Informatique et Libertés, transposition de la directive ePrivacy).
Aucun cookie publicitaire, de tracking ou d'analyse n'est utilisé par PhiePlanning.
11. Décisions automatisées
PhiePlanning propose un algorithme de génération automatique de planning qui suggère des affectations de créneaux en fonction des contraintes légales, des disponibilités et des préférences.
Il s'agit d'une aide à la décision : le planning généré est toujours soumis à la validation du manager avant publication. Aucune décision finale n'est prise de manière exclusivement automatisée au sens de l'article 22 du RGPD.
12. Mesures de sécurité
PhiePlanning met en œuvre les mesures techniques et organisationnelles suivantes :
- Chiffrement des communications (HTTPS/TLS)
- Hachage des mots de passe (bcrypt)
- Isolation multi-tenant (chaque pharmacie n'accède qu'à ses propres données)
- Contrôle d'accès par rôle (manager, adjoint, employé)
- Journalisation des actions (audit logs)
- Protection contre les attaques par force brute (rate limiting)