RGPD
Politique de confidentialité
Comment Kipla traite vos données personnelles et celles de vos salarié·es. En langage simple, sans jargon inutile.
Dernière mise à jour : 17 avril 2026
1. Responsable du traitement
Kipla, représenté par Anaïs Sparesotto, est responsable du traitement des données personnelles collectées via le site kipla.fr et l'application Kipla.
Contact : contact@kipla.fr
2. Données collectées
Pour faire fonctionner le service, Kipla collecte et traite les données suivantes :
- Données du compte :email, mot de passe (hashé), nom de l'organisation.
- Données des salarié·es :nom, prénom, email (optionnel), heures contractuelles hebdomadaires, poste, service, date d'embauche.
- Données de planning : créneaux de travail (date, heure début/fin), absences (type, dates, notes).
- Données de pointage :horodatages d'arrivée et de départ, source du pointage (tablette, téléphone, saisie manuelle), code PIN (hashé), signatures hebdomadaires.
- Données techniques : cookie de session (
kipla_session).
Ce que Kipla ne collecte pas : données bancaires (traitées exclusivement par Stripe), numéro de sécurité sociale, données de santé, données de géolocalisation, cookies publicitaires ou analytiques.
3. Finalités et bases légales
| Finalité | Base légale (RGPD) |
|---|---|
| Création et gestion des plannings | Exécution du contrat (art. 6.1.b) |
| Pointage et signature des heures | Obligation légale de l'employeur (art. 6.1.c) |
| Facturation et gestion de l'abonnement | Exécution du contrat (art. 6.1.b) |
| Réponse aux demandes de support | Intérêt légitime (art. 6.1.f) |
Aucune revente de données, aucun profilage publicitaire, aucun partage avec des tiers à des fins commerciales.
4. Durée de conservation
- Pendant l'abonnement : les données sont conservées pour le fonctionnement du service.
- À la résiliation : vous disposez de 30 jours pour exporter toutes vos données (plannings, salarié·es, pointages, export Excel). Passé ce délai, les données sont supprimées définitivement de nos serveurs.
- Données archivées :les données d'un·e salarié·e archivé·e sont conservées 3 ans maximum (obligation de conservation des documents relatifs au temps de travail, art. L3171-3 du Code du travail), puis purgées automatiquement.
- Suppression RGPD :vous pouvez supprimer définitivement les données d'un·e salarié·e depuis la page Équipe. Cette action est irréversible — un export est proposé avant confirmation.
5. Sous-traitants
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Render Services, Inc. | Hébergement de l'application (API et frontend) | Francfort, Allemagne (UE) |
| Supabase, Inc. | Hébergement de la base de données PostgreSQL | Francfort, Allemagne (UE) |
| Stripe | Traitement des paiements par carte | Irlande (UE) — certifié SOC 2 / PCI DSS |
| Brevo (ex-Sendinblue) | Envoi des emails transactionnels (accès salarié·es, réinitialisation de mot de passe) | Paris, France (UE) |
Aucun transfert de données en dehors de l'Espace économique européen (EEE).
6. Vos droits
Conformément au RGPD (articles 15 à 22), vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès : savoir quelles données nous détenons sur vous.
- Droit de rectification : corriger des données inexactes.
- Droit d'effacement : demander la suppression de vos données.
- Droit à la portabilité : recevoir vos données dans un format structuré (export Excel).
- Droit d'opposition :vous opposer à un traitement basé sur l'intérêt légitime.
- Droit de limitation :demander la suspension d'un traitement.
Pour exercer ces droits, écrivez à contact@kipla.fr. Réponse sous 1 mois maximum (RGPD art. 12). En cas de non-réponse ou de réponse insatisfaisante, vous pouvez introduire une réclamation auprès de la CNIL.
7. Sécurité
- Mots de passe et codes PIN hashés (bcrypt)
- Sessions expirables avec cookie httpOnly + sameSite
- Signatures hebdomadaires horodatées et hashées (SHA-256) pour garantir l'intégrité des données de temps de travail
- Communications chiffrées (HTTPS/TLS)
- Accès aux données restreint par rôle (Admin, Manager, Salarié·e)
8. Cookies
Kipla dépose un unique cookie de session technique (kipla_session), strictement nécessaire au fonctionnement de l'authentification. Aucun cookie publicitaire, analytique ou tiers n'est utilisé. Ce cookie est exempt de consentement conformément à l'article 82 de la loi Informatique et Libertés.
9. Modification de cette politique
Cette politique peut être mise à jour pour refléter des évolutions du service ou de la réglementation. La date de dernière mise à jour est indiquée en haut de page. En cas de changement substantiel, les utilisateurs connectés seront informés par un bandeau dans l'application.