Legal/Compliance demande : base légale et documents RODO pour Empatyzer

TL;DR: Court résumé: nous disposons d'un DPA, nous réalisons des DPIA lorsque nécessaire, hébergeons les données dans l'UE, chiffrons en transit et au repos, séparons les clients, avons une politique de rétention et des procédures pour l'exercice des droits, et interdisons l'utilisation pour les évaluations formelles.

DPA: contrat de sous-traitance et conditions de traitement pour les clients.
DPIA: évaluation d'impact lorsque le profilage ou les données sensibles présentent un risque.
Base légale: selon le scénario (intérêt légitime, exécution du contrat, parfois consentement).
Rétention: calendrier de minimisation et anonymisation, suppression de compte sur demande.
Droits des personnes: accès, rectification, effacement, limitation, portabilité, opposition, interdiction de décisions entièrement automatisées.

Empatyzer fournit un modèle de DPA précisant rôles et obligations du sous-traitant et du client, ainsi que la description des mesures techniques et organisationnelles en matière de sécurité. Pour les traitements comportant du profilage ou des données susceptibles d'avoir un impact significatif sur les droits des personnes, nous réalisons ou accompagnons la réalisation d'une DPIA et produisons un résumé des conclusions et des mesures d'atténuation. Nous hébergeons les données sur des serveurs situés dans l'UE, appliquons le chiffrement au repos et en transmission, séparons les stockages par client, auditons les accès et limitons les privilèges administrateurs. Concernant la base légale, il convient d'évaluer le scénario: les traitements agrégés et analytiques s'appuient souvent sur l'intérêt légitime, tandis que les traitements de résultats individuels ou d'analyses à visée diagnostique nécessitent l'exécution du contrat ou, selon les circonstances, le consentement en raison du déséquilibre possible entre employeur et employé. La conservation suit le principe de minimisation: les données personnelles brutes sont conservées pour une durée limitée selon un calendrier, puis anonymisées pour les rapports agrégés; la suppression d'un compte entraîne la suppression des données opérationnelles et leur retrait des statistiques agrégées conformément à la procédure. Empatyzer ne fournit pas les résultats individuels bruts au client et applique des agrégations et un seuil de taille d'échantillon dans les rapports pour réduire l'identification et les abus. Les contrats et conditions interdisent l'usage de l'outil pour l'évaluation formelle du personnel et contiennent des clauses proscrivant les usages nuisibles, mais il est essentiel que le client mette en place ses propres règles internes d'utilisation et d'escalade. La procédure d'exercice des droits décrit comment soumettre une demande, les délais de réponse, les méthodes de vérification de l'identité et les démarches de rectification, de limitation, d'effacement et de portabilité. En cas d'incident de sécurité, nous informons le client sans délai, au plus tard sous cinq jours ouvrés, et fournissons les logs et les actions correctives; le client, en tant que responsable, décide des notifications aux autorités. L'utilisation des données clients pour entraîner des modèles publics est interdite et cela est formalisé dans le contrat; les accès du fournisseur sont restreints, audités et journalisés.

Documents disponibles: DPA, modèle ou résumé de DPIA, politique de rétention, notice sur l'exercice des droits des personnes et description des mesures de sécurité et des procédures d'incident; les bases légales et les configurations d'implémentation se définissent en concertation avec chaque client.

Auteur: Empatyzer

Publié: 7.novembre (vendredi), 2025 (écoulé: 13 semaines)

Mis à jour: 7.novembre (vendredi), 2025 (écoulé: 13 semaines)