Politique de confidentialité

Cette page décrit comment NOVASLAN SAS collecte et traite les données personnelles via son site novaslan.fr et son application mobile NOVYSTA QSE (iOS / Android). Le traitement des données au sein de la plateforme web NOVYSTA QHSE relève d’un encadrement contractuel séparé prévu dans nos CGV.

Responsable du traitement

Les données collectées sont traitées par NOVASLAN SAS, 14 avenue de Benagues, 09100 Saint-Jean-du-Falga (SIREN 939 876 876). Pour toute demande relative à la protection de vos données, vous pouvez nous contacter à contact@novaslan.fr. Pour le support technique de l’application mobile, l’adresse dédiée est support@novaslan.fr.

Données collectées

Via le formulaire de contact (site web)

Nom, fonction, nom de l’entreprise, adresse électronique, numéro de téléphone et contenu du message. Ces informations sont collectées uniquement pour traiter votre demande et, le cas échéant, assurer le suivi commercial.

Via la navigation (site web)

Nous mesurons l’audience du site à l’aide d’un outil auto-hébergé sur notre propre infrastructure. Aucun cookie n’est déposé, aucune adresse IP n’est conservée en clair, aucune donnée n’est transmise à un tiers. Seules des statistiques agrégées (pages consultées, navigateur, pays) sont produites.

Via l’application mobile NOVYSTA QSE

L’application est un outil professionnel destiné aux entreprises clientes de NOVASLAN ayant souscrit un abonnement. Aucune inscription publique n’est possible depuis l’application : les comptes utilisateurs sont créés et gérés par l’administrateur de votre organisation depuis la plateforme web NOVYSTA.

Compte et profil utilisateur : adresse e-mail professionnelle, mot de passe (haché), nom, prénom, fonction, service, société d’appartenance, numéro de téléphone professionnel. Ces données sont nécessaires à l’identification et à l’attribution des actions QSE.

Notifications push : afin de vous délivrer les alertes métier (audit planifié, non-conformité assignée, action correctrice, etc.), nous collectons avec votre consentement explicite (permission OS) : un jeton push Expo, le type de plateforme (iOS ou Android), un identifiant interne de l’appareil, la version du système d’exploitation et la version de l’application. Ces informations servent exclusivement à l’acheminement des notifications. Le jeton push peut être révoqué à tout moment en désactivant l’autorisation correspondante dans les réglages de votre système d’exploitation, et est invalidé lorsque le service de notification détecte qu’il n’est plus utilisable.

Photos et signatures : lorsque vous documentez un audit ou une non-conformité, l’application accède à l’appareil photo de votre terminal (via la permission OS dédiée) pour capturer les preuves visuelles. Les signatures électroniques de l’auditeur et de la personne auditée sont recueillies sous forme de tracés vectoriels. L’application n’accède pas à votre pellicule, à votre galerie photo, à vos contacts, à votre calendrier ni à votre position GPS. Seules les photos prises directement depuis l’application sont transmises.

Données métier QSE saisies : dans le cadre normal d’utilisation, l’application enregistre les données que vous y saisissez volontairement : informations d’audits (modèle, dates, durée, scores, commentaires), non-conformités (titre, description, photos, responsable, causes, dates), actions correctives ou préventives (libellé, priorité, statut, acteurs assignés, échéances), événements de sécurité, et données de référence (sites, zones, matériel, ressources humaines de votre organisation). Ces données sont fournies par vous-même ou par l’administrateur de votre organisation.

Données de diagnostic anonymisées : afin de détecter et corriger rapidement les anomalies, l’application transmet de manière automatique des journaux d’erreurs et des mesures de performance (traces techniques, breadcrumbs, temps de démarrage) au service Sentry, hébergé en Allemagne. Aucun contenu d’audit, aucune photo, aucune donnée métier saisie n’est incluse dans ces journaux.

Données NON collectées

Pour transparence, l’application ne collecte pas : la position GPS de votre téléphone, le contenu de votre microphone, votre carnet d’adresses, votre calendrier système, votre galerie photo, vos données de navigation web. L’application n’utilise aucun outil d’analyse comportementale (pas de Google Analytics, Mixpanel, PostHog, Amplitude ou équivalent) et aucun cookie tiers.

Bases légales du traitement

Conformément à l’article 6 du RGPD, chaque traitement repose sur une base légale identifiée :

• Exécution d’un contrat (art. 6.1.b) : gestion du compte utilisateur, authentification, exécution des opérations métier QSE (audits, non-conformités, actions correctives), traitement des demandes commerciales adressées via le formulaire de contact.
• Consentement (art. 6.1.a) : notifications push (permission accordée au niveau du système d’exploitation), accès à l’appareil photo de votre terminal mobile.
• Intérêt légitime (art. 6.1.f) : mesure d’audience anonymisée du site, suivi de la relation commerciale, sécurité des systèmes, journaux d’erreurs anonymisés pour la détection et la correction d’anomalies.
• Obligation légale (art. 6.1.c) : conservation de certaines données QSE nécessaires au respect des obligations issues du Code du travail (notamment en matière de prévention des risques professionnels).

Utilisation des données

Les données personnelles collectées sont utilisées exclusivement pour :

• répondre à vos demandes d’information, de démonstration ou de devis (site web) ;
• assurer le suivi de la relation commerciale (site web) ;
• améliorer le contenu et le fonctionnement du site (site web) ;
• permettre votre authentification et l’accès aux fonctionnalités de l’application mobile (NOVYSTA QSE) ;
• exécuter les opérations métier QSE pour lesquelles vous utilisez l’application (audits, suivi des non-conformités, gestion des actions) ;
• vous notifier des événements professionnels qui vous concernent (notifications push) ;
• assurer la sécurité de nos systèmes et corriger les anomalies techniques.

Aucune donnée n’est revendue ni utilisée à des fins publicitaires ou de profilage.

Partage et hébergement

Les données ne sont accessibles qu’aux collaborateurs habilités de NOVASLAN SAS, dans le cadre de leurs missions et selon le principe du moindre privilège.

Nos prestataires techniques sont :

• OVH SAS (Roubaix, France) : hébergement du site novaslan.fr. Aucune donnée n’est transférée hors de l’Union européenne pour cette partie.
• Supabase Inc. (sous-traitant pour l’application mobile) : hébergement de la base de données et du stockage des fichiers (photos, signatures) sur des serveurs situés en France (région Paris). La relation est encadrée par un Data Processing Agreement (DPA) conforme à l’article 28 du RGPD, accessible à l’adresse supabase.com/legal/dpa.
• Functional Software Inc. (Sentry) : collecte et conservation des journaux d’erreurs anonymisés sur des serveurs situés en Allemagne (Union européenne).
• Expo Inc. (États-Unis) : service technique d’acheminement des notifications push (Expo Push Service). La relation est régie par les conditions et le Data Processing Agreement publiés par Expo, acceptés lors de la souscription au service et accessibles à l’adresse expo.dev/terms.
• Google LLC (Firebase Cloud Messaging, Android uniquement) et Apple Inc. (Apple Push Notification Service, iOS uniquement), situés aux États-Unis : livraison finale des notifications push sur votre appareil. Ces deux opérateurs sont certifiés au titre du EU-US Data Privacy Framework (décision d’adéquation de la Commission européenne du 10 juillet 2023). Les conditions de traitement applicables sont celles publiées par chacun des opérateurs et acceptées lors de l’inscription à leurs programmes développeurs respectifs. Seules les informations strictement nécessaires à l’acheminement (jeton push, contenu de la notification) transitent par ces services. Aucun contenu d’audit, aucune photo, aucune donnée métier ne transite par ces opérateurs.

Durée de conservation

À l’expiration de ces durées, les données sont anonymisées ou supprimées définitivement. Sur demande motivée, NOVASLAN peut procéder à une suppression anticipée, sauf obligation légale de conservation.

Cookies et stockage local

Le site novaslan.fr n’utilise aucun cookie publicitaire, aucun cookie de réseau social ni aucun traceur tiers. Seuls peuvent être déposés des cookies strictement nécessaires au fonctionnement du site (anti-spam du formulaire de contact, session des administrateurs). Vous pouvez configurer votre navigateur pour refuser ou supprimer les cookies à tout moment.

L’application mobile NOVYSTA QSE n’utilise aucun cookie. Elle utilise uniquement le stockage local sécurisé de votre appareil pour conserver votre session active (jetons d’authentification chiffrés au repos) et les brouillons d’audits en cours, afin de vous permettre de reprendre votre travail après une interruption.

Vos droits

Vous disposez d’un droit d’accès, de rectification, d’effacement, d’opposition, de limitation et de portabilité sur vos données personnelles. Vous disposez également du droit de retirer votre consentement à tout moment concernant les notifications push, en désactivant l’autorisation correspondante dans les réglages de votre système d’exploitation ou depuis l’écran Profil → Notifications de l’application.

Pour exercer ces droits, il suffit de nous écrire à contact@novaslan.fr ou par courrier à NOVASLAN SAS, 14 avenue de Benagues, 09100 Saint-Jean-du-Falga. Une réponse vous sera adressée dans un délai d’un mois.

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL.

Sécurité

Le site et l’application sont servis exclusivement en HTTPS avec chiffrement en transit conforme aux standards de l’industrie. Les données des utilisateurs de l’application mobile bénéficient d’un chiffrement au repos. Les mots de passe sont hachés à l’aide d’un algorithme cryptographique robuste avec salage et ne sont jamais stockés en clair. Les jetons d’authentification ont une durée de vie limitée et sont révoqués automatiquement à la déconnexion.

L’isolation entre organisations clientes est garantie au niveau de la base de données par un mécanisme de cloisonnement applicatif qui empêche tout accès croisé. Aucun système n’étant infaillible, nous mettons en œuvre les mesures techniques et organisationnelles appropriées pour prévenir tout accès non autorisé, perte ou altération des données.

En cas de violation de données susceptible d’engendrer un risque pour vos droits et libertés, NOVASLAN notifiera la CNIL dans les 72 heures et vous informera sans délai injustifié, conformément aux articles 33 et 34 du RGPD.

Mineurs

L’application NOVYSTA QSE est destinée à un usage strictement professionnel. Elle n’est pas conçue pour, ni dirigée vers, des personnes mineures. NOVASLAN ne collecte sciemment aucune donnée concernant des personnes de moins de 16 ans.

Modifications

Cette politique peut être modifiée pour s’adapter aux évolutions de nos outils ou de la réglementation. La date de dernière mise à jour est indiquée en haut de page. En cas de modification substantielle relative à l’application mobile, les utilisateurs en seront informés par e-mail et/ou via une notification dans l’application.

Contact

Pour toute question relative à cette politique ou au traitement de vos données personnelles :

• par e-mail : contact@novaslan.fr ;
• pour le support technique de l’application mobile : support@novaslan.fr ;
• par courrier : NOVASLAN SAS, 14 avenue de Benagues, 09100 Saint-Jean-du-Falga.

NOVASLAN SAS – 14 avenue de Benagues, 09100 Saint-Jean-du-Falga – contact@novaslan.fr