Politique de confidentialité

Le responsable du traitement des données personnelles collectées via la plateforme RegiShift est :

S'agissant d'une micro-entreprise de moins de 250 salariés, MujiLab n'est pas tenu de désigner un Délégué à la Protection des Données (DPO). Le responsable ci-dessus assure directement cette fonction.

RegiShift collecte et traite des données personnelles pour les finalités suivantes :

• Authentification et gestion des accès aux trois portails (administration, production, agent)
• Gestion opérationnelle des prestations de ventousage, gardiennage et plateau
• Géolocalisation ponctuelle lors du pointage (preuve de présence sur site)
• Capture d'une photographie de l'environnement de travail (preuve de mise en place du dispositif)
• Facturation et tenue des pièces comptables
• Sécurité de la plateforme et prévention des fraudes
• Conformité avec les obligations légales et réglementaires

Le traitement des données repose sur les bases légales suivantes (article 6 RGPD) :

• Exécution du contrat (art. 6.1.b) : pour les données nécessaires à la fourniture du service
• Intérêt légitime (art. 6.1.f) : pour la géolocalisation au pointage, justifiée par la nécessité de prouver l'exécution de la prestation sur un site distant
• Obligation légale (art. 6.1.c) : pour la conservation des pièces comptables et l'émission des factures
• Consentement (art. 6.1.a) : recueilli auprès de l'agent avant le premier pointage

Les données personnelles traitées par RegiShift sont :

• Identification : prénom, nom, identifiant de connexion
• Coordonnées : téléphone, email (optionnel pour les agents)
• Données d'activité : horaires de pointage, missions effectuées, heures prévues et réelles
• Géolocalisation : coordonnées GPS captées uniquement au moment du pointage (arrivée et départ)
• Photographie : image de l'environnement de travail (rue, dispositif, plots), prise avec la caméra arrière du téléphone. Aucune photographie de l'agent lui-même n'est collectée.
• Données techniques : adresse IP, user-agent, logs de connexion

Les données personnelles sont accessibles exclusivement à :

• Les utilisateurs de la plateforme, selon leur rôle (admin, production, agent) et dans la limite du principe d'isolation
• Les sous-traitants techniques listés ci-dessous, liés par des clauses de confidentialité et de traitement conforme au RGPD
• Les autorités publiques dans le cadre d'une obligation légale ou d'une réquisition judiciaire

Les données ne font l'objet d'aucune commercialisation ni cession à des tiers.

RegiShift s'appuie sur les sous-traitants suivants, tous conformes au RGPD (article 28) :

Les données peuvent transiter par les infrastructures de Cloudflare et Resend, dont certains serveurs sont situés hors de l'Union européenne (notamment aux États-Unis). Ces transferts sont encadrés par :

• Les clauses contractuelles types (CCT) approuvées par la Commission européenne
• L'adhésion au Data Privacy Framework (DPF) UE–États-Unis pour les sous-traitants concernés

Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :

• Droit d'accès : obtenir une copie de vos données (article 15)
• Droit de rectification : corriger une donnée inexacte (article 16)
• Droit à l'effacement : faire supprimer vos données, dans les limites des obligations légales de conservation (article 17)
• Droit à la limitation : restreindre certains traitements (article 18)
• Droit à la portabilité : recevoir vos données dans un format structuré et lisible (article 20)
• Droit d'opposition : vous opposer à un traitement fondé sur l'intérêt légitime (article 21)
• Droit de retrait du consentement à tout moment, sans remettre en cause la licéité des traitements antérieurs

Pour exercer l'un de vos droits, adressez votre demande à :

Indiquez vos nom, prénom, identifiant RegiShift et la nature précise de votre demande. Un justificatif d'identité peut vous être demandé en cas de doute raisonnable sur votre identité.

Nous nous engageons à répondre dans un délai maximum de 30 jours, éventuellement prolongé de 60 jours supplémentaires pour les demandes complexes.

Si vous estimez, après nous avoir contactés, que vos droits en matière de protection des données ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL :

MujiLab met en œuvre les mesures techniques et organisationnelles suivantes :

• Chiffrement des communications (HTTPS / TLS 1.3 minimum)
• Hachage des mots de passe (algorithme bcrypt ou équivalent)
• Journalisation des accès et audit trail complet
• Limitation du nombre de tentatives de connexion (rate limiting)
• Sauvegardes automatiques quotidiennes de la base de données
• Contrôle d'accès par rôle (admin, production, agent) avec isolation des données
• Purge automatique des données de géolocalisation et photographies après 12 mois

En cas de violation de données personnelles susceptible d'engendrer un risque pour les droits et libertés, la CNIL sera notifiée dans les 72 heures conformément à l'article 33 RGPD.

RegiShift utilise uniquement des cookies strictement nécessaires au fonctionnement du service (authentification, session, protection CSRF). Ces cookies sont exemptés de consentement selon la recommandation CNIL du 17 septembre 2020.

Aucun cookie de mesure d'audience, de publicité ou de traceur tiers n'est utilisé.

RegiShift n'effectue aucune décision individuelle automatisée ni profilageau sens de l'article 22 du RGPD. Les décisions importantes relatives aux agents (assignation, modification, sanction) restent de la responsabilité humaine exclusive de l'administration.

La présente politique peut être modifiée à tout moment, notamment en cas d'évolution réglementaire. La version en vigueur est celle affichée sur le site. Les utilisateurs sont invités à consulter régulièrement cette page.