Normy
Bientôt

Confidentialité

Politique de confidentialité.

Comment Normy collecte, utilise et protège les données personnelles, conformément au RGPD et à la loi « Informatique et libertés ».

Les deux rôles de Normy

Selon la donnée concernée, Normy n'a pas le même rôle au regard du RGPD. Cette distinction structure toute la présente politique.

  • Normy, responsable de traitementpour les données nécessaires à la fourniture du service à l'utilisateur titulaire du compte : données de compte, données de connexion et techniques, échanges de support et, le cas échéant, données de facturation.
  • Normy, sous-traitant (art. 28 RGPD)pour les données que l'utilisateur saisit ou téléverse sur son établissement et ses salariés (registre du personnel, formations, santé au travail, accidents du travail, documents). Pour ces données, l'utilisateur (l'employeur) est le responsable de traitement : il en détermine les finalités, et Normy les traite uniquement pour son compte et selon ses instructions.
Concrètement : pour les données de vos salariés, c'est vous (l'employeur) qui décidez des finalités, qui informez vos salariés du traitement de leurs données (art. 13 et 14 du RGPD) et qui répondez aux demandes des personnes concernées ; Normy fournit l'outil, la sécurité et l'assistance, sans être l'interlocuteur RGPD de vos salariés. Les modalités de cette sous-traitance sont détaillées dans un accord de traitement (DPA) dédié. [DPA à formaliser — à compléter.]

Responsable de traitement et contact

Pour les traitements dont Normy est responsable, le responsable est [forme juridique et raison sociale à compléter], dont le siège social est situé [adresse à compléter] (SIREN [à compléter]).

Pour toute question relative à vos données personnelles ou pour exercer vos droits, vous pouvez écrire à : contact@normy.fr. [Une adresse dédiée à la protection des données (et, si la désignation d'un délégué à la protection des données est décidée, ses coordonnées) sera précisée ici — à compléter.]

Données dont Normy est responsable

Normy collecte uniquement les données nécessaires à la fourniture et à la sécurité du service.

  • Données de comptenom, prénom, adresse email, rôle dans l'établissement, et identifiant de connexion. L'authentification est gérée par notre hébergeur de base de données ; les mots de passe ne sont jamais stockés en clair.
  • Données d'établissement (titulaire du compte)raison sociale, SIRET, adresse, code NAF, convention collective, représentant légal — données d'identification de l'abonné.
  • Données techniques et de connexionadresse IP, type de navigateur, horodatage des actions et journaux de connexion, utilisés pour la sécurité, la prévention de la fraude et le bon fonctionnement du service.
  • Échanges de supportle contenu des messages que vous nous adressez et les informations nécessaires à leur traitement.
  • Données de facturationlorsqu'un abonnement payant sera activé : nom et adresse de facturation, numéro de TVA, historique des paiements. Les paiements seront traités par [prestataire de paiement à compléter], certifié PCI-DSS ; aucune coordonnée bancaire ne transitera ni ne sera stockée sur les serveurs de Normy.
À la date de dernière mise à jour, aucun module de paiement n'est en service : aucune donnée bancaire ni de facturation n'est collectée. Cette rubrique sera précisée à l'activation des abonnements payants.

Données traitées pour le compte de l'utilisateur (sous-traitance)

Ces données sont saisies ou téléversées par l'utilisateur, sous sa responsabilité, pour répondre à ses propres obligations réglementaires. Normy les héberge et les traite pour son compte. Cette section est fournie à titre de transparence : l'information des salariés sur ce traitement relève de l'employeur, responsable de traitement.

  • Données des salariésidentité (nom, prénom, date de naissance, sexe, nationalité), coordonnées, numéro de sécurité sociale, titre de séjour pour les travailleurs étrangers, type et mentions du contrat, classification, formations suivies. Le numéro de sécurité sociale et le numéro de titre de séjour sont chiffrés.
  • Données de santé au travail — catégorie particulière (art. 9 RGPD)avis d'aptitude ou d'inaptitude, restrictions et aménagements transmis à l'employeur, suivi des visites médicales, et registre des accidents du travail (nature et siège des lésions, circonstances, soins). Ces données relèvent des catégories particulières de l'article 9 du RGPD et bénéficient d'une protection renforcée (voir « Sécurité »).
  • Documents téléverséstout fichier chargé par l'utilisateur (attestations, rapports de contrôle, contrats, certificats, etc.).
  • Traçabilitéhistorique horodaté des actions, des consignations dans les registres et des versions successives des documents, à des fins de preuve réglementaire.
Normy stocke uniquement le périmètre relevant de l'employeur (par ex. l'avis d'aptitude transmis), et non le dossier médical du salarié, qui demeure tenu par le service de prévention et de santé au travail. Normy n'a pas vocation à héberger des données de santé pour le compte de professionnels de santé et n'est pas concerné, à ce titre, par la certification « Hébergeur de Données de Santé » (HDS). [Analyse à confirmer par un juriste.]

Finalités et bases légales

Les données sont traitées pour les finalités suivantes :

  • Fourniture du service Normyexécution du contrat conclu avec le titulaire du compte (art. 6.1.b du RGPD).
  • Suivi des obligations sociales et de santé-sécurité de l'employeurpour le compte de l'utilisateur responsable de traitement, fondé sur le respect de ses obligations légales (art. 6.1.c du RGPD). Pour les données de santé, la levée de l'interdiction de l'art. 9 §1 repose sur l'art. 9 §2 b) du RGPD — traitement nécessaire à l'exécution des obligations de l'employeur en matière de droit du travail et de sécurité sociale — mis en œuvre sur le fondement des articles L. 4624-1 et suivants du Code du travail et des dispositions du Code de la sécurité sociale relatives aux accidents du travail (notamment l'art. L. 441-4), assorti des garanties prévues par ces textes et par la loi n° 78-17 du 6 janvier 1978 modifiée. Cette base est portée par l'employeur, responsable de traitement ; Normy n'agit que sur ses instructions documentées.
  • Sécurité, prévention de la fraude et amélioration du serviceintérêt légitime de Normy (art. 6.1.f du RGPD).
  • Facturation et obligations comptablesobligation légale (art. 6.1.c du RGPD), lorsque les abonnements payants seront actifs.
Base art. 9 §2 b) validée dans son principe ; les références de droit national qui l'ancrent (Code du travail L. 4624-1 et s. ; article exact du Code de la sécurité sociale sur le registre des accidents bénins) restent à confirmer par un juriste avant publication.

Durées de conservation

Les données sont conservées le temps nécessaire aux finalités poursuivies, puis archivées ou supprimées. Certaines durées sont imposées par la loi et priment sur une demande d'effacement.

  • Données de compte et d'établissementpendant toute la durée de l'abonnement, puis 90 jours en lecture seule pour permettre l'export, avant suppression — sous réserve des conservations légales ci-dessous.
  • Registre unique du personneltenue indélébile pendant la durée de présence du salarié, puis conservation 5 ans après son départ (art. L. 1221-13 et R. 1221-26 du Code du travail).
  • Avis d'aptitude / suivi de santé au travailconservés par l'employeur tant que nécessaire pour pouvoir les présenter à l'inspection du travail — l'art. R. 4624-55 du Code du travail ne fixe pas de durée chiffrée. À distinguer du dossier médical en santé au travail, conservé 40 ans par le service de santé au travail, que Normy n'héberge pas.
  • Registre des accidents du travail béninsconservé 5 ans à compter de la fin de l'exercice considéré (art. D. 441-2 du Code de la sécurité sociale ; registre autorisé par l'art. L. 441-4).
  • DUERP et ses versions successivesconservés au moins 40 ans à compter de leur élaboration (art. L. 4121-3-1 du Code du travail, quantum précisé par l'art. R. 4121-4).
  • Rapports de contrôles périodiques santé-sécuritéles documents des 5 dernières années et, en tout état de cause, ceux des 2 derniers contrôles ou vérifications (art. D. 4711-3 du Code du travail).
  • Journaux techniques (logs)conservés 12 mois maximum.
  • Pièces comptables et de facturation10 ans à compter de la clôture de l'exercice concerné.
Références vérifiées et corrigées le 29 mai 2026 ; à confirmer dans la version finale par un juriste — des conventions collectives ou des délais de prescription peuvent allonger certaines durées.

Destinataires et sous-traitants ultérieurs

Les données ne sont accessibles qu'aux personnes habilitées de Normy, dans la stricte mesure de leur mission. Normy recourt aux sous-traitants techniques suivants, qui agissent sur ses instructions :

  • Supabase Inc.hébergement de la base de données et des fichiers (région eu-west, Paris).
  • Vercel Inc.hébergement de l'application web (région Paris, CDG1).
  • Resendenvoi des emails (récapitulatif d'échéances, rappels, notifications).
Aucune donnée n'est vendue ni cédée à des tiers à des fins commerciales. Les données peuvent être communiquées à une autorité publique sur réquisition légale.

Hébergement et transferts hors Union européenne

Les données et les fichiers téléversés sont hébergés dans l'Union européenne (Paris, France). Aucun transfert structurel hors UE n'est prévu dans le cadre du service.

Certains sous-traitants ont leur siège hors UE (Vercel et Resend aux États-Unis, Supabase à Singapour). Les éventuels transferts sont alors encadrés par les garanties appropriées prévues par le RGPD, notamment les Clauses Contractuelles Types de la Commission européenne. [Encadrement des transferts à confirmer auprès de chaque sous-traitant.]

Sécurité

Normy met en œuvre des mesures techniques et organisationnelles adaptées à la sensibilité des données :

  • chiffrement des communications en transit (HTTPS / TLS) et chiffrement au repos de la base de données ;
  • chiffrement renforcé, au niveau de chaque champ, des données les plus sensibles : données de santé (visites médicales, accidents du travail), numéro de sécurité sociale et numéro de titre de séjour ;
  • cloisonnement strict des données entre établissements (isolation par locataire) ;
  • inaltérabilité et versionnement des registres et documents légalement opposables : les modifications sont historisées, sans suppression destructive ;
  • fichiers stockés dans des espaces privés, accessibles uniquement via des liens signés à durée limitée ;
  • journalisation des accès et authentification des opérations sensibles.

Vos droits

Conformément au RGPD et à la loi « Informatique et libertés », vous disposez des droits suivants :

  • droit d'accès — obtenir une copie des données vous concernant ;
  • droit de rectification — faire corriger des données inexactes ;
  • droit à l'effacement — dans les limites des obligations légales de conservation rappelées ci-dessus ;
  • droit à la limitation du traitement ;
  • droit d'opposition à un traitement fondé sur l'intérêt légitime ;
  • droit à la portabilité — recevoir vos données dans un format structuré et lisible par machine ;
  • droit de définir des directives relatives au sort de vos données après votre décès.
Pour les données des salariés (dont Normy est sous-traitant), ces droits s'exercent auprès de l'employeur, responsable de traitement. Normy l'assiste pour y répondre.

Comment exercer vos droits

Adressez votre demande à contact@normy.fr en précisant son objet. Nous y répondons dans un délai d'un mois, prolongeable de deux mois pour les demandes complexes (RGPD).

Si, après nous avoir contactés, vous estimez que vos droits ne sont pas respectés, vous pouvez saisir la CNIL : 3 place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07, ou en ligne sur www.cnil.fr.

Cookies et traceurs

L'application utilise uniquement des cookies strictement nécessaires à son fonctionnement : maintien de la session d'authentification et mémorisation des préférences d'affichage. Conformément à l'article 82 de la loi « Informatique et libertés », ces cookies sont exemptés de consentement préalable : aucun bandeau de consentement n'est donc requis.

Ce sont des cookies internes (first-party). Aucun cookie publicitaire, de profilage, ni de mesure d'audience tiers n'est déposé. [Si un outil de mesure d'audience venait à être ajouté, préciser ici son nom, sa finalité et sa durée — à compléter.]

Vous pouvez configurer votre navigateur pour bloquer les cookies ; le maintien de la session d'authentification peut alors en être dégradé.

Modification de la présente politique

La présente politique peut évoluer. Toute modification substantielle est portée à votre connaissance par email et/ou dans l'application avant son entrée en vigueur.

Dernière mise à jour : 30 mai 2026.