Politique de confidentialité

Qui fait quoi ?
• FMT IT édite et héberge l'application (sous-traitant RGPD).
• L'assistant(e) maternel(le) utilise l'application pour gérer ses contrats (responsable de traitement).
• Les parents et leurs enfants sont les personnes concernées par les données saisies.

1. Responsables

Responsable du traitement : chaque assistant(e) maternel(le) utilisateur(rice) du service. C'est cette personne qui décide quelles données collecter et pourquoi, dans le cadre de l'exécution du contrat de garde signé avec les parents.

Sous-traitant (art. 28 RGPD) : FMT IT, qui édite et héberge l'application au nom et pour le compte des assistant(e)s maternel(le)s utilisateur(rice)s. Coordonnées dans les mentions légales.

2. Pourquoi vos données sont-elles collectées ?

Les données sont traitées pour l'exécution du contrat de garde signé entre l'assistant(e) maternel(le) et la famille employeur (base légale : article 6.1.b RGPD — exécution d'un contrat).

Concrètement, elles servent à :

établir les bulletins de salaire Pajemploi mensuels ;
suivre les congés payés et les absences ;
planifier l'accueil de l'enfant (horaires, jours fériés) ;
conserver l'historique légal des contrats.

3. Quelles données sont collectées ?

Catégorie	Données
Identité enfant	Prénom, nom, date de naissance
Identité parents	Prénom, nom, téléphone, email, adresse
Contrat	Dates, horaires, taux horaire, jours d'accueil
Suivi	Congés posés, absences, heures mensuelles
Compte assistant(e) maternel(le)	Identifiant, mot de passe hashé (argon2)
Audit technique	IP, date, action (conservation 13 mois max.)

Certains types de congés et d'absences (maladie, maternité, accident du travail) constituent des données de santé au sens de l'article 9 du RGPD. Elles sont traitées uniquement pour établir la paie et les déclarations sociales obligatoires — base légale art. 9.2.b (obligations en droit du travail et de la sécurité sociale). Elles sont minimisées (seul le type de congé/absence est enregistré, jamais de détail médical) et soumises aux mêmes mesures de sécurité et durées de conservation que les autres données. Aucune autre catégorie sensible (religion, opinions, origine, données biométriques, etc.) n'est collectée.

4. Combien de temps sont-elles conservées ?

Donnée	Durée	Motif
Données du contrat (enfant, parents, congés…)	5 ans après la fin du contrat	Obligation comptable et prud'homale
Bulletins de salaire	5 ans	Code du travail
Journal d'audit technique	13 mois	Recommandation CNIL
Compte utilisateur (assistant(e) maternel(le))	Tant que le service est utilisé ; suppression à votre demande (self-service, à tout moment depuis votre compte) ou à la fermeture définitive du service	Réversibilité du service ; droit à l'effacement (RGPD art. 17)

5. Qui a accès aux données ?

L'assistant(e) maternel(le), seul(e) utilisateur(rice) de son compte ;
FMT IT (sous-traitant), à des fins strictement techniques (maintenance, support, sauvegarde) et soumise au secret professionnel ;
L'hébergeur EU (sous-traitant ultérieur), sous contrat conforme à l'art. 28 RGPD ;
Aucun tiers commercial. Pas de publicité, pas de tracker, pas de revente de données.

6. Où vos données sont-elles stockées ?

Sur un serveur situé à Paris (France), hébergé par Scaleway SAS (cf. mentions légales). Les sauvegardes quotidiennes sont chiffrées (GPG, AES-256) et stockées chez Scaleway Object Storage (France également). Aucun transfert hors Union européenne. Aucun sous-traitant américain ou britannique.

7. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

Droit d'accès (art. 15) : obtenir une copie de vos données ;
Droit de rectification (art. 16) : corriger une information inexacte ;
Droit à l'effacement (art. 17) : demander la suppression de vos données (sous réserve des obligations légales de conservation) ;
Droit à la portabilité (art. 20) : récupérer vos données dans un format lisible (JSON) ;
Droit d'opposition (art. 21) : vous opposer au traitement pour un motif légitime ;
Droit de retirer votre consentement à tout moment quand le traitement est fondé sur le consentement.

Comment exercer ces droits ?

Si vous êtes l'assistant(e) maternel(le) utilisateur(rice) du service, les outils sont intégrés à votre interface :

Téléchargement de vos données : GET /api/me/data-export
Suppression de votre compte : DELETE /api/me/account

Si vous êtes parent ou enfant accueilli, vous devez contacter directement l'assistant(e) maternel(le) qui gère votre dossier (cette personne est responsable de traitement). À défaut de réponse, vous pouvez contacter FMT IT (cf. mentions légales) qui transmettra.

Une réponse vous sera apportée sous un mois.

Vous pouvez également déposer une réclamation auprès de la CNIL : cnil.fr/fr/plaintes.

8. Sécurité

Connexion HTTPS chiffrée (TLS 1.3) ;
Mot de passe hashé avec argon2id (OWASP 2024) ;
Cookie de session HttpOnly + Secure + SameSite ;
Rate-limiting (5 tentatives de connexion par 15 min) ;
Sauvegardes chiffrées GPG ;
Journal d'audit de toutes les écritures.

9. Cookies

Cette application dépose uniquement des cookies techniques strictement nécessaires à votre authentification et à la sécurité de votre session (exemptés de consentement au sens de l'article 82 de la loi Informatique et Libertés) :

planning_session — maintient votre session authentifiée (HttpOnly, Secure, SameSite) ;
planning_csrf — jeton anti-CSRF (double-submit) protégeant vos formulaires.

Aucun cookie publicitaire, de traçage ou de mesure d'audience n'est déposé. Vos préférences d'affichage éventuelles sont conservées localement dans votre navigateur et ne sont pas transmises au serveur.

10. Sous-traitants ultérieurs

Tous nos sous-traitants sont basés en France ou Union européenne. Aucun transfert de données hors UE.

Sous-traitant	Rôle	Pays
Scaleway SAS	Hébergement du serveur applicatif	🇫🇷 France (Paris)
Scaleway Object Storage	Stockage des sauvegardes chiffrées GPG	🇫🇷 France (Paris)
GlitchTip (auto-hébergé)	Détection d'erreurs serveur (sans données utilisateurs)	🇫🇷 France (notre VPS)
Hyperping	Surveillance de disponibilité (uptime)	🇫🇷 France
Gandi SAS	Enregistrement du nom de domaine	🇫🇷 France

11. Modifications de cette politique

Cette politique peut être mise à jour à tout moment. La date de dernière modification figure ci-dessous. En cas de modification substantielle, vous serez informée par email.

Dernière mise à jour :