Politique de confidentialité

⚠️ Document en cours de revue légale. Ce contenu est une version de travail rédigée par l'équipe Weloom et n'est pas opposable jusqu'à validation par un conseil juridique.

Dernière mise à jour : juin 2026

1. Identification du responsable de traitement

Le responsable de traitement de vos données personnelles dans le cadre de l'utilisation de la plateforme Weloom.ai est :

  • Société : Weloom
  • Adresse : [À compléter]
  • Contact RGPD / DPO : dpo@weloom.ai

Pour les données traitées par Weloom pour le compte d'une entreprise cliente (collaborateurs invités, parcours d'onboarding, etc.), Weloom agit en qualité de sous-traitant au sens du RGPD. Le responsable de traitement est alors l'entreprise cliente. Les modalités sont régies par l'Accord de sous-traitance (DPA).

2. Données collectées

2.1 Données d'identification

  • Nom, prénom, email professionnel
  • Rôle (RH Admin, manager, buddy, collaborateur)
  • Image de profil (optionnelle, SSO)
  • Préférence de langue
  • Dates d'embauche et de fin de contrat (pour les recrues)

2.2 Données de parcours d'onboarding

  • Avancement (modules complétés)
  • Scores aux quiz
  • Score composite (avancement, évaluations, engagement IA)
  • Feedback 360° (réponses à des questionnaires)
  • Badges obtenus, points de gamification
  • Statut d'offboarding et items validés

2.3 Données de conversation IA

  • Messages échangés avec l'assistant IA Compagnon
  • Ces messages sont stockés chiffrés (AES-256-GCM avec clé dérivée par entreprise, cf. Sécurité)
  • Un anonymisation après suppression du compte est garantie (cf. § 6)

2.4 Données techniques

  • Adresse IP (extrait de x-forwarded-for, conservée dans l'audit log)
  • User-Agent (navigateur, tronqué à 255 caractères)
  • Date et heure d'action sensible (création de compte, alerte résolue, etc.)

2.5 Données de facturation (client RH uniquement)

  • Identifiant Stripe Customer
  • Statut d'abonnement, plan souscrit
  • Aucune donnée carte bancaire n'est stockée chez Weloom (PCI-DSS hors scope — Stripe Elements iframe).

3. Finalités et bases légales

| Finalité | Base légale | |---|---| | Fourniture du service d'onboarding (compte, parcours, chat) | Exécution du contrat (Art.6.1.b) | | Personnalisation IA via persona et base de connaissance | Intérêt légitime (Art.6.1.f) — amélioration de l'expérience | | Détection d'alertes (retard, échec quiz, inactivité) | Intérêt légitime du responsable de traitement (employeur) | | Audit log des actions sensibles | Obligation légale + intérêt légitime (sécurité, preuve) | | Facturation et lutte contre la fraude | Exécution du contrat + obligation légale | | Statistiques anonymisées d'amélioration produit | Intérêt légitime | | Emails transactionnels (invitation, alerte manager, rappel J-3 essai) | Exécution du contrat |

4. Destinataires

Vos données sont accessibles à :

  • Vous-même et les autres utilisateurs de votre entreprise selon leur rôle (RM-07 isolation tenant).
  • L'équipe Weloom habilitée (support technique, opérations), strictement sur besoin justifié.
  • Nos sous-traitants techniques listés sur la page Sous-traitants, avec lesquels nous avons signé un DPA.
  • Les autorités sur réquisition judiciaire.

Aucune donnée n'est vendue ni utilisée à des fins publicitaires.

5. Hébergement et localisation

L'ensemble des données est hébergé dans l'Union Européenne :

  • Base de données et stockage : Supabase (PostgreSQL + pgvector + buckets), région EU Frankfurt.
  • Application web : Vercel, région EU West.
  • Emails transactionnels : Resend (transit US, ne stocke pas le corps des emails au-delà du log de livraison).

Certains traitements IA (génération de parcours, embeddings RAG, illustrations) impliquent un transfert hors UE vers nos partenaires Anthropic et OpenAI (États-Unis) sur la base de clauses contractuelles types (CCT) et de mesures techniques additionnelles (chiffrement en transit TLS 1.3, pas de transfert de données identifiantes nominales dans les prompts).

6. Durée de conservation

| Données | Durée | |---|---| | Données du collaborateur en activité | Durée du contrat avec l'entreprise cliente | | Données du collaborateur ayant quitté l'entreprise | 3 ans après fin de contrat (RM-08), puis suppression automatique | | Audit log des actions sensibles | 5 ans (obligations comptables et de preuve) | | Facturation | 10 ans (obligation comptable française) | | Données d'un compte explicitement supprimé (RGPD Art.17) | Anonymisation immédiate (cf. § 7.3) ; pas de restitution possible | | Statistiques anonymisées agrégées | Indéfiniment (plus de PII identifiantes) |

7. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

7.1 Droit d'accès et de portabilité (Art.15 et Art.20)

Vous pouvez demander une copie de vos données dans un format structuré (JSON) à votre RH Admin, qui dispose dans son interface d'un export en un clic.

7.2 Droit de rectification (Art.16)

Vous pouvez demander la rectification de vos données via votre RH Admin ou par email à dpo@weloom.ai.

7.3 Droit à l'effacement (Art.17)

Vous pouvez demander la suppression de votre compte. Cette demande est traitée par votre RH Admin via son interface en un clic. La suppression entraîne :

  • L'anonymisation immédiate de votre profil (email, prénom, nom remplacés par des valeurs neutres).
  • L'impossibilité de reconnexion au compte.
  • La conservation anonymisée des données voisines nécessaires aux statistiques (historique des modules complétés, scores agrégés, messages chat chiffrés).
  • La préservation de l'audit log sous forme anonyme (référence à votre ID interne sans PII rattachée).

7.4 Autres droits

  • Limitation du traitement (Art.18)
  • Opposition (Art.21)
  • Décision automatisée (Art.22) — la plateforme ne prend pas de décision automatisée produisant d'effets juridiques. Les alertes générées par le moteur sont une aide à la décision humaine, jamais un refus de droit automatique.

7.5 Recours

En cas de difficulté, vous pouvez introduire une réclamation auprès de la CNIL ou de l'autorité de contrôle de votre pays de résidence.

8. Cookies et traceurs

Weloom utilise un nombre minimal de cookies strictement nécessaires au fonctionnement du service :

  • Cookie de session (next-auth.session-token, httpOnly) : authentification, durée 30 jours.
  • Préférence de thème (theme) : clair / sombre / système.

Aucun cookie publicitaire ni traceur tiers à des fins de profilage n'est posé sans consentement explicite. La plateforme n'utilise pas Google Analytics ni équivalent à ce jour.

9. Sécurité

Les mesures techniques mises en œuvre sont détaillées sur la page Sécurité. En synthèse :

  • Isolation des données par entreprise via Row Level Security PostgreSQL.
  • Chiffrement applicatif des conversations (AES-256-GCM, clé dérivée par tenant).
  • Chiffrement au repos AES-256 natif de l'hébergeur.
  • TLS 1.3 obligatoire.
  • Audit log immuable.
  • Rate limiting.

10. Modification de la présente politique

Cette politique peut être modifiée pour refléter les évolutions légales ou techniques. Les modifications substantielles sont notifiées par email aux utilisateurs RH Admin du tenant.

11. Contact

Pour toute demande relative à vos données personnelles : dpo@weloom.ai.