Confidentialité
Politique de confidentialité
Dernière mise à jour : 2 juillet 2026
La présente politique explique comment l'application Badgy (pointage des salariés par validation GPS et vérification anti-fraude) collecte, utilise, conserve et protège les données personnelles, conformément au Règlement Général sur la Protection des Données (RGPD) et aux recommandations de la CNIL.
1. Éditeur et rôles
Badgy est édité par Eden Amzallag. Pour toute question relative à vos données : amzallagmeyer@gmail.com.
Badgy est un outil B2B mis à disposition des employeurs. Dans ce cadre :
- L'entreprise employeur qui utilise Badgy est responsable de traitement des données de pointage de ses salariés (elle décide des finalités et des moyens).
- Badgy (l'éditeur) agit en tant que sous-traitant au sens de l'article 28 du RGPD : il traite ces données uniquement selon les instructions de l'employeur, pour fournir le service. Badgy est par ailleurs responsable de traitement pour les données strictement techniques (comptes, sécurité, facturation).
2. Données que nous traitons
- Identité et compte : nom, prénom, adresse e-mail, rôle (administrateur / opérateur).
- Localisation GPS : votre position sert à vérifier que vous vous trouvez dans la zone autorisée d'un site de travail — au moment du pointage, ainsi que de façon continue pendant votre service afin de détecter une éventuelle sortie de la zone. Cette géolocalisation a lieu uniquement lorsque l'application est ouverte au premier plan ; il n'y a aucun suivi en arrière-plan ni en dehors de vos périodes de service. Elle sert au contrôle de présence sur site, pas au suivi de vos déplacements.
- Photo de vérification : dans certaines situations (par exemple un doute sur l'identité ou un nouvel appareil), une photo peut être prise à des fins de prévention de la fraude, avec information de l'utilisateur au moment de la prise. Cette donnée est minimisée et conservée pour une durée courte (voir §4).
- Données de travail : pointages (arrivées, pauses, départs), plannings, tâches, demandes de congés / heures supplémentaires, signalements.
- Données techniques : jetons de notification push, journaux de connexion et d'audit, informations d'appareil nécessaires au fonctionnement.
3. Finalités et bases légales
- Suivi du temps de travail (pointage, plannings, paie) — base légale : exécution du contrat de travail / obligation légale de l'employeur.
- Validation et maintien de la présence sur site (localisation au pointage et, de façon continue, pendant le service pour détecter une sortie de zone) — base légale : intérêt légitime de l'employeur à fiabiliser le pointage, mis en œuvre de façon proportionnée (avant-plan uniquement, limité à la vérification de présence dans la zone du site).
- Prévention de la fraude (photo de vérification ponctuelle) — base légale : intérêt légitime, mise en œuvre de manière strictement minimisée et transparente (l'utilisateur est informé au moment de la prise).
- Sécurité et bon fonctionnement (comptes, notifications, journaux) — base légale : intérêt légitime.
4. Durées de conservation
Les données sont conservées uniquement le temps nécessaire, puis purgées automatiquement (une purge quotidienne est exécutée côté serveur). Principales durées :
- Pointages : 3 ans (obligation liée aux bulletins de paie — Code du travail R3243-1).
- Photos de vérification d'identité : 1 an maximum (minimisation stricte, donnée sensible).
- Journaux techniques / de présence : 6 mois à 1 an.
- Avertissements disciplinaires : 5 ans (prescription).
- Documents RH (bulletins, contrats) : 5 ans après la fin du contrat.
- Jetons de notification : 6 mois d'inactivité.
- Preuves de consentement : conservées pour la durée nécessaire à la démonstration de conformité (RGPD art. 7).
5. Hébergement et destinataires
Les données sont hébergées par Supabase dans un centre de données situé dans l'Union européenne (région Paris). Elles ne sont ni vendues, ni louées, ni cédées à des tiers à des fins commerciales.
Des prestataires techniques (sous-traitants) interviennent strictement pour faire fonctionner le service :
- Supabase — base de données, authentification, stockage (UE).
- Vercel — hébergement du tableau de bord web et du site.
- Apple / Google — acheminement des notifications push.
6. Sécurité
Les échanges sont chiffrés en transit (HTTPS). L'accès aux données est cloisonné par entreprise et par rôle au niveau de la base (Row Level Security). Les données arrivées à échéance sont supprimées automatiquement.
7. Vos droits
Conformément au RGPD, vous disposez des droits d'accès, de rectification, d'effacement (« droit à l'oubli », art. 17), de limitation, d'opposition et de portabilité.
Dans un usage professionnel, ces demandes s'exercent en priorité auprès de votre employeur (responsable de traitement). Vous pouvez également contacter l'éditeur à amzallagmeyer@gmail.com. Vous avez aussi le droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr).
8. Cookies et traceurs
L'application mobile Badgy n'utilise pas de cookies publicitaires ni de traceurs à des fins marketing. Seuls des mécanismes techniques strictement nécessaires au fonctionnement (session, notifications) sont employés.
9. Modifications
Cette politique peut évoluer. Toute modification substantielle des données traitées sera reflétée sur cette page et, le cas échéant, communiquée aux utilisateurs. La date de dernière mise à jour figure en haut du document.
10. Contact
Pour toute question relative à la protection de vos données : amzallagmeyer@gmail.com.
