Politique de
Confidentialité

La répartition des rôles dépend de la finalité du traitement. Le client est responsable du traitement des données RH introduites dans la plateforme. KronoApp agit comme sous-traitant au sens de la LPD et traite ces données uniquement selon les instructions documentées du client.

KronoApp agit comme responsable du traitement pour les données nécessaires à la gestion de ses propres clients, obligations légales, sécurité, facturation, support et exploitation du service.

Dans le cadre du fonctionnement de KronoApp, les données sont traitées selon la répartition suivante entre les différents rôles de traitement.

• ✓ Données traitées pour le compte des clients (KronoApp sous-traitant) : données d'identification professionnelle (nom, prénom, adresse email), pointages, heures d'entrée et de sortie, horodatages, demandes et soldes d'absence, données RH selon les fonctionnalités activées (numéro AVS, documents contractuels).
• ✓ Ces données RH sont fournies, contrôlées et administrées par le client, lequel détermine les finalités et les moyens essentiels du traitement, notamment pour la gestion du personnel, l'organisation du travail et l'administration RH.
• ✓ Données traitées par KronoApp comme responsable : données de facturation et de gestion contractuelle, données relatives aux comptes administrateurs, gestion des accès, support, communication opérationnelle et relation client.
• ✓ Ces traitements sont nécessaires à l'exécution du contrat, à la gestion de la relation commerciale et au respect des obligations légales applicables.
• ✓ Données techniques et logs de sécurité : logs de connexion, logs d'accès, actions sensibles, données techniques de sécurité et de journalisation.
• ✓ Ces données techniques sont traitées par KronoApp comme responsable du traitement, exclusivement pour la sécurité de la plateforme, la prévention des abus, la détection des incidents, la traçabilité des opérations et le respect des obligations légales en matière de sécurité informatique. Elles ne sont pas utilisées pour la gestion RH des clients.

L'intégralité des données métiers (RH, pointages, absences, documents) est hébergée en Suisse par Infomaniak Network SA (certifié ISO 27001:2022, non soumis au Cloud Act). Chaque client bénéficie d'une isolation totale de ses données grâce à l'architecture multi-tenant de KronoEngine.

Certains traitements techniques limités peuvent impliquer des prestataires externes :

• ℹ️ Métriques de télémétrie : données techniques de disponibilité et performance transmises à Bleemeo, fournisseur français de solution de monitoring, à des fins de surveillance technique de la plateforme. Aucune donnée RH ou contenu métier n'est transmis à Bleemeo.
• ℹ️ Emails automatiques : notifications système et confirmations envoyées via l'API Resend (prestataire externe d'envoi d'emails). Même lorsqu'aucune donnée RH n'est incluse dans le corps des messages, des métadonnées techniques peuvent être traitées (adresse email, horodatage, appartenance à une organisation cliente). Lorsque ce traitement implique un transfert hors de Suisse ou de l'EEE, KronoApp l'encadre par des garanties contractuelles appropriées, notamment un DPA et des clauses contractuelles types (CCT) lorsque requis.

KronoApp ne partage vos données avec aucun tiers à des fins commerciales. Les sous-traitants techniques sont strictement limités aux services suivants :

• ✓ Stripe Inc. — paiement sécurisé (conformité PCI-DSS) · ne reçoit aucune donnée RH ou de pointage
• ✓ Infomaniak Network SA — hébergement suisse (ISO 27001:2022) · héberge l'intégralité des données métiers
• ✓ Resend — API d'envoi des emails automatiques · traite les adresses email, horodatages et métadonnées nécessaires à la délivrabilité des notifications · transfert hors Suisse/EEE encadré par les garanties contractuelles appropriées lorsque requis
• ✓ Bleemeo — fournisseur français de monitoring de disponibilité et télémétrie technique · ne reçoit aucune donnée RH ou contenu métier

Un Accord de Traitement des Données (DPA) est conclu avec chaque client lors de la souscription. Le DPA est consultable en ligne et téléchargeable en PDF depuis la page dédiée.

• ✓ Données de compte actif : conservées pendant toute la durée de l'abonnement
• ✓ Après résiliation : données exportables pendant 90 jours, puis suppression définitive
• ✓ Logs de connexion : 12 mois
• ✓ Données de facturation : 10 ans (obligation légale CO)

Conformément à la LPD et au RGPD, vous disposez des droits suivants :

• → Droit d'accès à vos données personnelles
• → Droit de rectification des données inexactes
• → Droit à l'effacement (droit à l'oubli)
• → Droit à la portabilité (export CSV/JSON)
• → Droit d'opposition au traitement
• → Droit de retirer votre consentement à tout moment

Les plateformes de la Suite KronoApp utilisent uniquement les cookies strictement nécessaires au fonctionnement du service :

• ✓ krono_token : cookie d'authentification (HttpOnly, Secure, SameSite=Lax) — durée : 8h

Aucun cookie de tracking, publicitaire ou analytique tiers n'est utilisé sur l'application.

KronoApp se réserve le droit de mettre à jour cette Politique de Confidentialité pour refléter des évolutions légales ou techniques. Toute modification substantielle sera notifiée par email aux utilisateurs actifs 15 jours avant son entrée en vigueur.