Politique De Confidentialité

Dernière mise à jour : Mars 2026

1. INTRODUCTION

Crouw (ci-après « nous », « notre » ou « Éditeur ») s'engage à protéger votre vie privée et à respecter vos droits en matière de données personnelles. La présente Politique de Confidentialité explique comment nous collectons, utilisons, partageons et protégeons vos données personnelles.

Cette politique s'applique à la plateforme Crouw (ci-après « Plateforme ») accessible via my.crouw.com et ses sous-domaines, ainsi qu'à tous les services associés.

Note importante sur les rôles RGPD : Les rôles respectifs de Crouw et du Client en tant que responsable de traitement et sous-traitant sont détaillés à la section 20 ci-après et dans les Conditions d'Utilisation.

1.1 Nos principes de confidentialité

Crouw s'engage à respecter les principes fondamentaux suivants dans le traitement de vos données personnelles. Nous ne collectons que les données strictement nécessaires pour atteindre les finalités déclarées dans la présente politique. Nous ne vendons jamais vos données personnelles à des tiers et ne les partageons que conformément aux dispositions de cette politique. Nous conservons vos données personnelles uniquement pendant la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées, conformément aux obligations légales applicables. Nous mettons en œuvre des mesures de sécurité techniques et organisationnelles robustes pour protéger vos données personnelles contre tout accès, modification ou divulgation non autorisés.

2. RESPONSABLE DE TRAITEMENT

Crouw

• Email : legal@crouw.com

• Adresse : 91 rue d'Austerlitz, 59200 Tourcoing, France

Pour les questions relatives à la protection des données, vous pouvez également contacter notre Délégué à la Protection des Données (DPO) :

• Email : dpo@crouw.com

3. DONNÉES PERSONNELLES COLLECTÉES

3.1 Données collectées lors de l'inscription et de la création de compte

Lors de votre inscription à la Plateforme, nous collectons vos données d'identification personnelle, notamment votre nom et prénom, votre adresse email, ainsi que votre numéro de téléphone lorsque vous choisissez de le fournir. Nous collectons également des informations relatives à votre profil professionnel, y compris votre fonction, votre titre professionnel, votre département et votre équipe au sein de votre organisation. Vous pouvez également charger une photo de profil, bien que cette information soit facultative. Enfin, nous collectons les données nécessaires à l'authentification et à l'accès sécurisé à votre compte, incluant vos identifiants de connexion.

3.2 Données collectées lors de l'utilisation de la Plateforme

Lors de votre utilisation de la Plateforme, nous collectons automatiquement des données relatives à votre activité, notamment les pages que vous visitez, les actions que vous effectuez au sein de la Plateforme, ainsi que la durée de vos sessions. Nous enregistrons également votre adresse IP, le type de navigateur que vous utilisez, votre système d'exploitation, ainsi que des données de localisation approximatives dérivées de votre adresse IP. Nous collectons des données de performance et de diagnostic pour assurer le bon fonctionnement de la Plateforme. Nous utilisons également des cookies et des technologies similaires pour gérer votre session et améliorer votre expérience utilisateur, conformément à notre Politique de Cookies.

3.3 Données saisies volontairement dans la Plateforme

Vous avez la possibilité de saisir volontairement dans la Plateforme diverses données relatives à votre développement professionnel et personnel. Ces données incluent vos objectifs professionnels, vos évaluations de performance, les feedbacks que vous recevez ou fournissez, vos compétences et les niveaux de compétence associés, ainsi que des données relatives à votre bien-être et votre engagement au travail. Vous pouvez également ajouter des commentaires, des notes, des documents et des fichiers pour enrichir votre profil professionnel. Nous collectons également les données relatives à votre formation continue et à votre développement professionnel.

3.4 Données collectées auprès de tiers

Nous pouvons recevoir vos données personnelles de la part de tiers agissant en votre nom ou dans le contexte de votre utilisation de la Plateforme. Votre employeur peut nous transmettre des données personnelles lors de l'importation de données RH dans le système. D'autres utilisateurs de la Plateforme peuvent nous fournir des données vous concernant, notamment dans le cadre de feedbacks ou d'évaluations. Nous pouvons également recevoir des données de la part de prestataires de services tiers, notamment ceux responsables des intégrations technologiques ou du traitement des paiements, ainsi que de nos partenaires technologiques.

3.5 Données sensibles

Certaines données traitées peuvent être considérées comme sensibles au sens du RGPD :

• Données de santé (bien-être, stress, satisfaction)

• Données relatives à la vie professionnelle (évaluations, performance)

• Données relatives aux origines ethniques ou raciales (si collectées)

Le traitement de ces données est effectué conformément aux dispositions du RGPD et sur la base de bases légales appropriées. Le traitement de ces données sensibles repose notamment sur le consentement explicite de la personne concernée lorsqu'il est requis, sur les obligations en matière de droit du travail et sur les exceptions prévues par l'article 9 du RGPD (par exemple, à des fins de gestion des ressources humaines dans le respect du droit du travail).

4. BASES JURIDIQUES DU TRAITEMENT

Conformément aux dispositions du Règlement Général sur la Protection des Données (RGPD) et de la législation française applicable, nous traitons vos données personnelles sur la base des fondements juridiques suivants :

4.1 Exécution du contrat

Nous traitons vos données personnelles dans la mesure nécessaire à l'exécution du contrat d'utilisation de la Plateforme. Ce traitement inclut la création et la gestion de votre compte utilisateur, la fourniture des services et des fonctionnalités de la Plateforme, la gestion de votre abonnement, ainsi que la fourniture du support client et des services associés.

4.2 Obligations légales

Nous traitons certaines de vos données personnelles pour nous conformer aux obligations légales et réglementaires qui nous incombent. Ces obligations incluent le respect des lois du travail applicables, notamment en matière de gestion des ressources humaines, le respect des obligations comptables et fiscales, le respect des obligations de sécurité et de conformité des données, ainsi que la réponse aux demandes légitimes des autorités publiques et des organismes de contrôle.

4.3 Intérêts légitimes

Nous nous appuyons sur nos intérêts légitimes pour traiter certaines de vos données personnelles. Ces intérêts incluent l'amélioration continue et l'optimisation de la Plateforme et de nos services, la prévention de la fraude, des abus et des activités malveillantes, la protection de la sécurité de la Plateforme et de ses utilisateurs, la réalisation d'analyses statistiques et de recherches pour améliorer nos services, ainsi que la conduite d'activités de marketing et de communication pour vous informer de nos services et offres.

4.4 Consentement

Dans les cas où le RGPD ou la législation applicable l'exige, nous obtenons votre consentement explicite avant de traiter vos données personnelles. Ce consentement s'applique notamment à l'envoi de communications marketing, à l'utilisation de certains cookies non essentiels, au partage de vos données avec des partenaires tiers lorsque cela s'avère nécessaire, ainsi qu'au traitement de données sensibles relatives à votre santé ou votre bien-être lorsque requis par la loi ou votre situation particulière.

5. FINALITÉS DU TRAITEMENT

Nous utilisons vos données personnelles pour les finalités suivantes :

5.1 Fourniture des services

Nous traitons vos données personnelles afin de créer et de gérer votre compte utilisateur, de vous fournir l'accès aux fonctionnalités et services de la Plateforme, de traiter vos transactions de paiement de manière sécurisée, et de vous fournir un support client réactif et de qualité.

5.2 Amélioration des services

Nous analysons votre utilisation de la Plateforme afin d'identifier les bugs, les problèmes de performance et les domaines susceptibles d'amélioration. Nous utilisons ces informations pour développer de nouvelles fonctionnalités, optimiser l'expérience utilisateur, et améliorer la qualité globale de nos services. Nous pouvons utiliser des outils d'analyse automatisés et des technologies d'intelligence artificielle pour détecter les tendances et identifier les opportunités d'amélioration.

5.3 Sécurité et conformité

Nous traitons vos données personnelles pour détecter, prévenir et combattre les activités frauduleuses, malveillantes ou abusives. Nous mettons en œuvre des mesures de sécurité pour protéger l'intégrité et la sécurité de la Plateforme et de ses utilisateurs. Nous traitons également vos données pour nous conformer aux obligations légales et réglementaires applicables, ainsi que pour gérer et répondre aux incidents de sécurité.

5.4 Communications

Nous vous envoyons des notifications relatives à votre compte, notamment des confirmations de transactions, des alertes de sécurité et des mises à jour importantes. Nous vous fournissons également des mises à jour sur les services, les nouvelles fonctionnalités et les changements de politique. Nous répondons à vos demandes et vos questions. Avec votre consentement, nous vous envoyons des communications marketing pour vous informer de nos services, offres et événements.

5.5 Analyses et rapports

Nous générons des rapports d'utilisation et d'activité pour vous et pour nos besoins internes. Nous analysons les tendances et les performances de la Plateforme pour mieux comprendre les besoins de nos utilisateurs. Nous créons des statistiques anonymisées et agrégées qui ne permettent pas de vous identifier directement. Nous effectuons également des recherches pour améliorer nos services et notre compréhension du marché.

6. DESTINATAIRES DES DONNÉES

Vos données personnelles peuvent être partagées avec certains destinataires dans le cadre de l'exécution de nos services et du respect de nos obligations légales.

6.1 Utilisateurs internes

Certaines de vos données personnelles peuvent être partagées avec d'autres utilisateurs de la Plateforme, dans la limite des permissions et des droits d'accès qui vous ont été accordés. Les administrateurs et les managers au sein de votre organisation peuvent avoir accès à certaines de vos données en fonction de leurs rôles et de leurs responsabilités. Notre équipe de support client peut accéder à vos données dans le but de résoudre vos problèmes techniques ou fonctionnels et de vous fournir une assistance de qualité.

6.2 Prestataires de services

Nous partageons vos données personnelles avec des prestataires de services tiers qui nous aident à fournir et à maintenir la Plateforme. Ces prestataires incluent nos hébergeurs et nos fournisseurs d'infrastructure cloud qui stockent et gèrent nos données, nos prestataires de paiement (notamment Stripe) qui traitent vos transactions financières de manière sécurisée, nos prestataires d'email et de communication qui nous aident à vous envoyer des notifications et des mises à jour, nos prestataires d'analyse et de monitoring qui nous aident à comprendre l'utilisation de la Plateforme et à détecter les problèmes, ainsi que nos prestataires de sécurité et de sauvegarde qui nous aident à protéger vos données.

Clarification sur le rôle dual de Stripe

Stripe joue un rôle particulier en tant que prestataire de paiement. Stripe agit à la fois comme sous-traitant de Crouw pour le traitement des paiements et comme responsable de traitement indépendant pour certaines données. En tant que sous-traitant, Stripe traite vos données de paiement (numéro de carte, montant, date) conformément à nos instructions et à nos contrats de traitement des données. En tant que responsable de traitement indépendant, Stripe collecte et traite également vos données personnelles (adresse email, adresse de facturation, historique de paiement) pour ses propres finalités légitimes, notamment la prévention de la fraude, le respect des obligations légales (AML/KYC), et l'amélioration de ses services. Pour plus d'informations sur le traitement de vos données par Stripe, veuillez consulter la Politique de Confidentialité de Stripe disponible sur https://stripe.com/privacy. Vos droits concernant les données traitées par Stripe en tant que responsable indépendant peuvent être exercés directement auprès de Stripe conformément à leur politique.

6.3 Partenaires technologiques

Nous pouvons partager certaines de vos données avec des services tiers intégrés à la Plateforme, dans la mesure où vous avez configuré ces intégrations. Ces partenaires technologiques agissent en tant que prestataires de services ou responsables de traitement indépendants, selon la nature de l'intégration et les termes de leurs propres politiques de confidentialité.

• Fournisseurs d'authentification

• Fournisseurs de stockage

6.4 Autorités publiques

Nous pouvons être amenés à divulguer vos données personnelles aux autorités publiques compétentes lorsque cela est requis par la loi ou une décision judiciaire. Cela inclut les autorités judiciaires ou administratives, les organismes de régulation, ainsi que les forces de l'ordre, dans le cadre de leurs investigations ou de l'exécution de leurs obligations légales. Ces divulgations ne sont effectuées que dans la mesure nécessaire et conformément aux obligations légales applicables.

6.5 Transferts de données

Certains de nos prestataires de services, notamment nos hébergeurs et nos fournisseurs d'infrastructure cloud, sont situés en dehors de l'Union Européenne, notamment aux États-Unis. Lorsque nous transférons vos données personnelles vers des pays en dehors de l'UE, nous mettons en place des garanties appropriées conformément aux dispositions du RGPD. Ces garanties incluent l'utilisation de Clauses Contractuelles Types approuvées par la Commission Européenne, des décisions d'adéquation, ou d'autres mécanismes légaux reconnus. Nous nous assurons que vos données bénéficient d'un niveau de protection équivalent à celui fourni en Europe.

7. DURÉE DE CONSERVATION DES DONNÉES

7.1 Données de compte

Vos données de compte, notamment votre profil utilisateur, vos identifiants de connexion et vos paramètres de compte, sont conservées pendant toute la durée de votre abonnement à la Plateforme. Après la résiliation de votre abonnement ou la suppression de votre compte, ces données sont supprimées dans les 30 jours suivant la résiliation, sauf si nous sommes tenus de les conserver plus longtemps en vertu d'une obligation légale ou réglementaire applicable.

7.2 Données d'activité

Vos données d'activité, notamment vos logs de connexion, vos actions sur la Plateforme, vos interactions avec d'autres utilisateurs et vos données de navigation, sont conservées pendant une période de 12 mois à compter de leur collecte. Après cette période, ces données sont supprimées automatiquement de nos systèmes, sauf si nous devons les conserver plus longtemps pour des raisons de sécurité, de conformité légale ou pour répondre à une demande légale.

7.3 Données de paiement

Vos données de paiement, notamment vos factures, vos reçus, vos historiques de transaction et vos informations de facturation, sont conservées pendant une période de 6 ans conformément aux obligations légales et comptables applicables en France et en Europe. Cette durée de conservation est requise pour le respect des obligations fiscales, comptables et légales. Après cette période de 6 ans, ces données sont supprimées de nos systèmes, sauf si nous devons les conserver plus longtemps en vertu d'une obligation légale spécifique.

7.4 Données de support

Vos données de support, notamment vos tickets de support, vos demandes d'assistance, vos communications avec notre équipe de support et les documents associés, sont conservées pendant une période de 3 ans à compter de la clôture de votre demande. Cette durée de conservation nous permet de maintenir un historique complet de vos interactions pour améliorer nos services et répondre à d'éventuelles réclamations. Après cette période de 3 ans, ces données sont supprimées de nos systèmes.

7.5 Données de sécurité

Vos données de sécurité, notamment vos logs de sécurité, vos alertes de sécurité, vos tentatives de connexion échouées et vos données d'authentification multi-facteurs, sont conservées pendant une période de 1 an à compter de leur collecte. Cette durée de conservation nous permet de détecter et d'enquêter sur les incidents de sécurité potentiels et de maintenir un historique de sécurité pour protéger votre compte. Après cette période de 1 an, ces données sont supprimées de nos systèmes.

7.6 Données de marketing

Vos données de marketing, notamment vos préférences de communication, vos historiques de campagnes marketing, vos données d'engagement avec nos communications et vos listes de diffusion, sont conservées aussi longtemps que vous avez donné votre consentement à recevoir des communications marketing. Dès que vous révoquez votre consentement ou vous désabonnez de nos communications, ces données sont supprimées de nos systèmes. Vous pouvez demander la suppression de vos données de marketing à tout moment en nous contactant à l'adresse privacy@crouw.com.

8. SÉCURITÉ DES DONNÉES

8.1 Mesures techniques

Nous mettons en œuvre des mesures techniques avancées pour protéger vos données personnelles contre tout accès, modification ou divulgation non autorisés. Ces mesures incluent le chiffrement de vos données lors de leur transmission via le protocole TLS/SSL, le chiffrement des données sensibles stockées sur nos serveurs, l'authentification multi-facteurs pour sécuriser l'accès aux comptes, l'utilisation de pare-feu et de systèmes de détection d'intrusion pour surveiller et prévenir les accès non autorisés, la réalisation de sauvegardes régulières et redondantes pour assurer la disponibilité de vos données, ainsi que l'isolation stricte de nos environnements de production et de test.

8.2 Mesures organisationnelles

Nous complètons nos mesures techniques par des mesures organisationnelles robustes. Nous mettons en place un contrôle d'accès basé sur les rôles pour limiter l'accès aux données au strict nécessaire (principe du besoin de connaître). Nous exigeons des accords de confidentialité formels avec tous nos employés et prestataires qui ont accès à vos données. Nous dispensons une formation régulière à la sécurité et à la protection des données à tous les membres de notre équipe. Nous avons mis en place des procédures formelles de gestion des incidents de sécurité. Nous réalisons des audits de sécurité réguliers pour identifier et corriger les vulnérabilités potentielles.

8.3 Limitations

Bien que nous mettions en œuvre des mesures de sécurité techniques et organisationnelles robustes et conformes aux meilleures pratiques de l'industrie, aucun système de sécurité n'est absolument imperméable. Nous ne pouvons donc pas garantir une sécurité à 100% de vos données personnelles. Nous nous engageons cependant à maintenir des normes de sécurité élevées et à améliorer continuellement nos mesures de protection.

9. VOS DROITS

Conformément aux dispositions du Règlement Général sur la Protection des Données (RGPD) et de la législation française applicable, vous disposez de droits importants concernant vos données personnelles.

9.1 Droit d'accès

Vous avez le droit d'accéder à l'ensemble de vos données personnelles que nous traitons et d'obtenir une copie de celles-ci dans un format lisible. Vous pouvez exercer ce droit à tout moment en nous adressant une demande écrite.

9.2 Droit de rectification

Vous avez le droit de corriger, de compléter ou de mettre à jour vos données personnelles si elles sont inexactes, incomplètes ou obsolètes. Vous pouvez effectuer certaines corrections directement dans votre compte, ou nous contacter pour demander une correction.

9.3 Droit à l'oubli

Vous avez le droit de demander la suppression de vos données personnelles, sous certaines conditions. Ce droit s'applique notamment lorsque les données ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées, ou lorsque vous retirez votre consentement. Nous pouvons refuser cette demande si la conservation des données est nécessaire pour respecter une obligation légale.

9.4 Droit à la limitation du traitement

Vous avez le droit de demander la limitation du traitement de vos données personnelles dans certaines circonstances, notamment si vous contestez l'exactitude de vos données ou si vous vous opposez au traitement. Pendant la limitation, nous conserverons vos données mais cesserons de les traiter.

9.5 Droit à la portabilité

Vous avez le droit de recevoir vos données personnelles dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable de traitement sans entrave de notre part. Ce droit s'applique lorsque le traitement est basé sur votre consentement ou sur l'exécution d'un contrat.

9.6 Droit d'opposition

Vous avez le droit de vous opposer à tout moment au traitement de vos données personnelles pour des raisons tenant à votre situation particulière, notamment lorsque le traitement est basé sur nos intérêts légitimes. Nous cesserons alors le traitement, sauf si nous pouvons démontrer des raisons légitimes et impérieuses.

9.7 Droit de ne pas faire l'objet d'une décision automatisée

Vous avez le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé ayant des effets juridiques ou vous affectant de manière significative. Vous pouvez demander une intervention humaine pour réexaminer une telle décision.

9.8 Droit de retirer le consentement

Si le traitement de vos données personnelles est basé sur votre consentement explicite, vous pouvez retirer ce consentement à tout moment, sans affecter la légalité du traitement effectué avant le retrait.

10. EXERCICE DE VOS DROITS

Pour exercer l'un des droits décrits ci-dessus, veuillez nous contacter par écrit en utilisant l'une des méthodes suivantes. Vous pouvez nous envoyer un email à l'adresse privacy@crouw.com ou utiliser notre formulaire de demande d'exercice de droits disponible sur notre Plateforme. Nous vous demanderons de fournir une preuve de votre identité pour vérifier votre demande et nous assurer que nous divulguons vos données uniquement à la personne autorisée. Nous traiterons votre demande dans les 30 jours suivant sa réception, conformément aux délais prévus par le RGPD. Si votre demande est complexe ou si nous recevons un grand nombre de demandes, nous pouvons prolonger ce délai de deux mois supplémentaires, auquel cas nous vous en informerons.

11. COOKIES ET TRACEURS

11.1 Qu'est-ce qu'un cookie ?

Un cookie est un petit fichier texte stocké sur votre appareil lors de votre visite sur la Plateforme. Les cookies nous permettent de mémoriser vos préférences, de gérer votre session, d'améliorer votre expérience utilisateur, et d'analyser l'utilisation de la Plateforme. Nous utilisons également des technologies similaires aux cookies, telles que les balises web et les pixels de suivi, pour atteindre les mêmes objectifs.

11.2 Types de cookies utilisés

Nous utilisons différents types de cookies en fonction de leur finalité. Les cookies essentiels sont obligatoires pour le fonctionnement de la Plateforme et incluent l'authentification et la sécurité de votre compte, la gestion de votre session, le stockage de vos préférences de langue et de région, ainsi que la prévention de la fraude. Les cookies de performance sont utilisés avec votre consentement pour analyser votre utilisation de la Plateforme, identifier les problèmes de performance, et améliorer nos services. Les cookies de marketing sont utilisés avec votre consentement pour suivre l'efficacité de nos campagnes publicitaires, personnaliser le contenu que vous voyez, et mettre en place des stratégies de retargeting.

11.3 Gestion des cookies

Vous pouvez contrôler et gérer les cookies de plusieurs manières. Vous pouvez modifier les paramètres de votre navigateur web pour refuser les cookies ou être alerté lorsqu'un cookie est défini. Vous pouvez également gérer vos préférences de confidentialité directement dans les paramètres de votre compte sur la Plateforme. Veuillez noter que la désactivation de certains cookies essentiels peut affecter le fonctionnement correct de la Plateforme et votre capacité à accéder à certaines fonctionnalités.

11.4 Consentement aux cookies

Lors de votre première visite sur la Plateforme, nous affichons une bannière de consentement vous demandant d'accepter ou de refuser les cookies non essentiels. Vous pouvez modifier vos préférences de cookies à tout moment en accédant aux paramètres de confidentialité de votre compte. Pour plus de détails complets sur l'utilisation des cookies et autres traçeurs, veuillez consulter notre Politique de Cookies dédiée.

12. DONNÉES DES ENFANTS

La Plateforme n'est pas destinée aux enfants de moins de 16 ans et nous ne collectons pas intentionnellement de données personnelles auprès d'enfants de cet âge. Conformément à la législation applicable, notamment le RGPD, nous exigeons que seules les personnes âgées de 16 ans ou plus utilisent la Plateforme. Si nous découvrons que nous avons collecté des données personnelles auprès d'un enfant de moins de 16 ans, nous prendrons immédiatement les mesures nécessaires pour supprimer ces données et cesser le traitement. Si vous avez connaissance de la collecte de données d'un enfant, veuillez nous contacter immédiatement à privacy@crouw.com.

13. MODIFICATIONS DE CETTE POLITIQUE

Nous nous réservons le droit de modifier cette Politique de Confidentialité à tout moment pour refléter les changements dans nos pratiques de traitement des données, les évolutions technologiques, ou les modifications de la législation applicable. Toute modification substantielle sera publiée sur la Plateforme avec une date de mise à jour claire et, le cas échéant, nous vous notifierons par email. Votre utilisation continue de la Plateforme après la publication des modifications constitue votre acceptation de la nouvelle politique. Si vous n'acceptez pas les modifications, vous devez cesser d'utiliser la Plateforme. Nous vous encourageons à consulter régulièrement cette politique pour rester informé de nos pratiques en matière de protection des données.

14. CONTACT ET RÉCLAMATIONS

14.1 Questions et demandes

Pour toute question concernant cette Politique de Confidentialité, pour obtenir des informations supplémentaires sur nos pratiques de traitement des données, ou pour exercer vos droits en matière de protection des données, veuillez nous contacter par écrit. Vous pouvez nous envoyer un email à l'adresse privacy@crouw.com ou contacter directement notre Délégué à la Protection des Données (DPO) à l'adresse dpo@crouw.com. Nous nous engageons à répondre à vos demandes dans les meilleurs délais.

14.2 Réclamation auprès de l'autorité de contrôle

Vous avez le droit de déposer une réclamation auprès de l'autorité de protection des données compétente si vous estimez que vos droits en matière de protection des données ont été violés ou que nous ne respectons pas nos obligations légales. Cette réclamation peut être déposée sans frais et sans obligation de passer par un avocat. En France, l'autorité compétente est la Commission Nationale de l'Informatique et des Libertés (CNIL), que vous pouvez contacter via son site web www.cnil.fr, par email à plaintes@cnil.fr, ou par courrier à l'adresse suivante : 3 Place de Fontenoy, 75007 Paris, France.

15. DISPOSITIONS SPÉCIFIQUES PAR RÔLE

15.1 Utilisateurs salariés

En tant que salarié utilisant la Plateforme, vos données personnelles sont traitées selon une relation tripartite : votre employeur agit en tant que responsable de traitement, tandis que Crouw agit en tant que sous-traitant en vertu d'un contrat de traitement des données. Votre employeur est responsable de vous informer du traitement de vos données personnelles et de vous fournir les informations requises par le RGPD. Crouw met en œuvre les mesures de sécurité et de confidentialité nécessaires pour protéger vos données conformément aux instructions de votre employeur.

15.2 Administrateurs et managers

En tant qu'administrateur ou manager de la Plateforme, vous avez accès à certaines données personnelles d'autres utilisateurs dans le cadre de vos fonctions de gestion et de supervision. Vous êtes responsable du respect strict de la confidentialité et de l'utilisation appropriée et légitime de ces données. Vous devez traiter ces données conformément à la présente politique et aux instructions de votre employeur. Vous ne devez pas divulguer ces données à des tiers non autorisés et devez les utiliser uniquement aux fins pour lesquelles elles vous ont été mises à disposition.

15.3 Responsables RH

En tant que responsable des ressources humaines, vous pouvez avoir accès à des données personnelles sensibles, notamment des données relatives à la santé, à la performance, au bien-être et à d'autres informations confidentielles des collaborateurs. Vous devez respecter strictement les obligations légales et éthiques en matière de protection des données. Vous êtes tenu de traiter ces données avec la plus grande confidentialité, de les utiliser uniquement aux fins légitimes de gestion des ressources humaines, et de mettre en place des mesures de sécurité appropriées pour les protéger contre tout accès non autorisé. Vous devez également vous assurer que les collaborateurs sont informés du traitement de leurs données sensibles.

16. PROFILAGE ET DÉCISIONS AUTOMATISÉES

16.1 Profilage

Nous pouvons effectuer un profilage limité de vos données personnelles pour améliorer nos services et vous fournir une expérience personnalisée. Ce profilage inclut l'analyse de vos données pour améliorer les recommandations de formation et de développement professionnel adaptées à votre profil, l'identification des tendances de performance au sein de votre équipe ou organisation pour optimiser les processus de gestion des ressources humaines, et la détection des anomalies de sécurité ou des comportements inhabituels pour protéger l'intégrité de la Plateforme. Ce profilage est effectué de manière transparente et vous pouvez demander des informations supplémentaires sur les critères utilisés.

16.2 Décisions automatisées et IA

Certaines décisions et analyses peuvent être basées sur un traitement automatisé et des technologies d'intelligence artificielle pour améliorer la précision et la pertinence de nos services. Ces traitements incluent le calcul automatisé des scores d'engagement, de performance et de bien-être basé sur vos données d'activité et vos interactions sur la Plateforme, la génération automatisée de rapports de performance et d'analyses basées sur les données collectées, les recommandations de développement professionnel et de formation générées par des algorithmes d'IA, ainsi que l'analyse des tendances et la détection d'anomalies pour améliorer nos services. Conformément au RGPD, vous avez le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé ayant des effets juridiques ou vous affectant de manière significative. Vous pouvez demander une intervention humaine pour réexaminer une telle décision.

16.3 Droit d'explication

Vous avez le droit de demander une explication claire et compréhensible sur les décisions automatisées qui vous affectent, notamment sur la logique utilisée, l'importance et les conséquences prévisibles du traitement automatisé. Nous nous engageons à vous fournir ces explications dans un délai raisonnable et dans un format accessible. Si vous estimez qu'une décision automatisée est inexacte ou injuste, vous pouvez contacter notre équipe pour demander une révision manuelle ou une intervention humaine.

17. INCIDENTS DE SÉCURITÉ

17.1 Notification en cas de violation

En cas de violation de données personnelles affectant vos données, nous nous engageons à vous notifier sans délai injustifié et, en tout état de cause, dans les meilleurs délais, conformément aux exigences du RGPD. Nous notifierons également l'autorité de contrôle compétente (la CNIL en France) dans les 72 heures suivant la découverte de la violation, sauf si la violation ne présente pas un risque pour vos droits et libertés. Votre employeur (responsable de traitement) sera notifié immédiatement de la violation afin qu'il puisse prendre les mesures nécessaires et vous informer conformément à ses obligations légales.

17.2 Informations fournies

La notification de violation que nous vous adresserons inclura des informations complètes et transparentes, notamment une description détaillée de la nature de la violation et des circonstances dans lesquelles elle s'est produite, les catégories et le nombre approximatif de personnes affectées par la violation, les types de données personnelles affectées et, si possible, les conséquences probables de la violation, les mesures que nous avons prises ou que nous proposons de prendre pour remédier à la violation et atténuer les dommages potentiels, ainsi que les coordonnées de notre Délégué à la Protection des Données (DPO) pour toute question supplémentaire.

17.3 Mesures de mitigation

En cas de violation de données personnelles, nous prendrons immédiatement des mesures appropriées pour arrêter la violation et limiter ses effets. Ces mesures incluent l'arrêt immédiat de la violation et l'isolation des systèmes affectés pour empêcher toute propagation supplémentaire, la restauration de la sécurité de nos systèmes et la mise en place de contrôles de sécurité renforcés, ainsi que la mise en œuvre de mesures préventives pour éviter que des violations similaires ne se produisent à l'avenir. Nous procéderons également à un audit de sécurité complet pour identifier les vulnérabilités et renforcer nos mesures de protection des données.

18. SOUS-TRAITANTS ET TIERS

18.1 Liste des sous-traitants

Crouw utilise les sous-traitants suivants pour fournir et maintenir la Plateforme. Render assure l'hébergement et la gestion de l'infrastructure cloud sur laquelle la Plateforme est exécutée. Stripe traite les paiements et les transactions financières de manière sécurisée (voir section 6.2 pour plus de détails sur le rôle dual de Stripe). Google Analytics nous aide à analyser l'utilisation de la Plateforme et à comprendre le comportement des utilisateurs. Sentry assure le monitoring et la détection des erreurs pour garantir la disponibilité et la performance de la Plateforme. Tous ces sous-traitants sont liés par des contrats de traitement des données conformes au RGPD.

18.2 Contrats de traitement

Tous nos sous-traitants sont liés par des contrats de traitement des données (Data Processing Agreements - DPA) conformes aux exigences du RGPD. Ces contrats définissent clairement les droits et obligations de chaque partie, notamment les instructions de traitement, les mesures de sécurité, les conditions de sous-traitance, les droits d'audit et les obligations en matière de notification de violations. Nous veillons à ce que chaque sous-traitant respecte les mêmes normes de protection des données que nous-mêmes et que vos données bénéficient d'un niveau de protection équivalent à celui que nous fournissons directement.

18.3 Transferts de données

Certains de nos sous-traitants, notamment Render pour l'hébergement, sont situés en dehors de l'Union Européenne, notamment aux États-Unis. Lorsque nous transférons vos données personnelles vers ces pays, nous mettons en place des garanties appropriées conformément aux exigences du RGPD pour assurer que vos données bénéficient d'un niveau de protection équivalent à celui fourni en Europe. Ces garanties incluent l'utilisation de Clauses Contractuelles Types (Standard Contractual Clauses - SCCs) approuvées par la Commission Européenne, des décisions d'adéquation de la Commission Européenne reconnaissant un niveau de protection adéquat, ou votre consentement explicite lorsque d'autres mécanismes ne sont pas disponibles. Les données transférées vers les États-Unis sont spécifiquement protégées par les Clauses Contractuelles Types conformes aux décisions de la Cour de Justice de l'Union Européenne.

18.4 Modification des sous-traitants

Crouw peut modifier la liste de ses sous-traitants ou ajouter de nouveaux sous-traitants pour améliorer ses services ou répondre à des besoins opérationnels. Toute modification substantielle concernant l'ajout ou le remplacement d'un sous-traitant sera communiquée à l'avance, au minimum 30 jours avant l'entrée en vigueur de la modification. Vous aurez la possibilité de vous opposer à l'ajout d'un nouveau sous-traitant avant que celui-ci ne commence à traiter vos données. Si vous vous opposez à l'ajout d'un nouveau sous-traitant, vous pouvez résilier votre contrat avec Crouw sans frais supplémentaires.

19. DONNÉES D'AUDIT ET DE CONFORMITÉ

19.1 Logs d'activité

Nous conservons les logs d'activité de la Plateforme pour plusieurs finalités légitimes. Ces logs incluent vos actions sur la Plateforme, vos tentatives de connexion, vos modifications de données et vos interactions avec d'autres utilisateurs. Nous utilisons ces logs pour assurer la sécurité de la Plateforme et détecter les abus, les activités malveillantes ou les comportements suspects. Nous les conservons également pour respecter nos obligations légales et réglementaires, notamment en matière de conformité fiscale et comptable. Enfin, nous les utilisons pour résoudre les problèmes techniques et améliorer nos services. Ces logs d'activité sont conservés pendant une période de 12 mois à compter de leur création, après laquelle ils sont supprimés automatiquement.

19.2 Données de conformité

Nous conservons les données de conformité pour démontrer notre respect des obligations du RGPD et de la législation applicable en matière de protection des données. Ces données incluent nos registres de traitements, nos évaluations d'impact sur la protection des données (DPIA), nos contrats de traitement des données avec les sous-traitants, et nos documents de conformité. Nous conservons ces données pour répondre aux audits internes et externes, pour justifier notre conformité auprès des autorités de contrôle, et pour répondre aux demandes légitimes des autorités de protection des données. La durée de conservation de ces données dépend des obligations légales applicables et peut s'étendre au-delà de la durée de conservation des données personnelles elles-mêmes.

19.3 Droit d'accès aux logs

Vous avez le droit de demander l'accès à vos logs d'activité stockés sur la Plateforme. Cette demande doit être adressée par écrit à privacy@crouw.com. Nous vous fournirons un rapport détaillé de vos logs d'activité dans un format lisible et compréhensible. Nous traiterons votre demande dans les 30 jours suivant sa réception, conformément aux exigences du RGPD. Veuillez noter que certains logs peuvent être supprimés automatiquement après 12 mois conformément à notre politique de conservation des données.

20. CONFORMITÉ RGPD

20.1 Responsable de traitement vs Sous-traitant

La relation entre Crouw et ses clients en matière de protection des données dépend du type de données traitées. Pour les données collectées directement par Crouw (identifiants de connexion, données d'utilisation de la Plateforme, adresses IP, données de navigation), Crouw agit en tant que responsable de traitement et vous êtes la personne concernée. Crouw est responsable de la conformité avec le RGPD pour ces données. Pour les données saisies par le client dans la Plateforme (objectifs professionnels, évaluations de performance, feedbacks, données de bien-être), le client (votre employeur) agit en tant que responsable de traitement, Crouw agit en tant que sous-traitant, et les salariés sont les personnes concernées. Dans ce cas, le client est responsable de la conformité avec le RGPD, tandis que Crouw met en œuvre les mesures de sécurité et de confidentialité nécessaires.

20.2 Contrat de traitement des données

Un contrat de traitement des données (Data Processing Agreement - DPA) est conclu entre Crouw et chaque client pour définir clairement les droits et obligations de chaque partie en matière de protection des données. Ce contrat définit les rôles et responsabilités respectifs, notamment qui agit en tant que responsable de traitement et qui agit en tant que sous-traitant. Le contrat précise les mesures de sécurité techniques et organisationnelles que Crouw mettra en œuvre pour protéger les données. Il énumère également les droits des personnes concernées et les mécanismes pour exercer ces droits. Le contrat établit les conditions de sous-traitance, notamment les conditions selon lesquelles Crouw peut engager des sous-traitants supplémentaires. Ce contrat est conforme aux exigences de l'article 28 du RGPD.

20.3 Évaluation d'impact

Crouw effectue des évaluations d'impact sur la protection des données (Data Protection Impact Assessment - DPIA) conformément aux exigences du RGPD pour identifier et atténuer les risques liés au traitement de vos données personnelles. Ces évaluations sont particulièrement effectuées pour les traitements à haut risque, notamment le traitement de données sensibles (données de santé, données de bien-être), le traitement à grande échelle de données personnelles, le traitement automatisé avec effets juridiques ou significatifs, et la surveillance systématique des utilisateurs. Ces DPIA nous permettent d'identifier les risques potentiels pour vos droits et libertés et de mettre en place des mesures appropriées pour les atténuer.

20.4 Registre de traitements

Crouw maintient un registre de traitements de données personnelles conforme aux exigences de l'article 30 du RGPD. Ce registre documenta tous les traitements de données personnelles effectués par Crouw, notamment les finalités du traitement, les catégories de données traitées, les catégories de destinataires, les délais de conservation, et les mesures de sécurité mises en œuvre. Ce registre est mis à jour régulièrement et est disponible pour les autorités de contrôle lors d'audits ou d'inspections. Vous pouvez demander une copie de ce registre en nous contactant à privacy@crouw.com.

20.5 Délégué à la Protection des Données

Crouw a désigné un Délégué à la Protection des Données (Data Protection Officer - DPO) conformément aux exigences du RGPD. Le DPO est responsable de superviser la conformité de Crouw avec le RGPD et de servir de point de contact pour les autorités de protection des données et les personnes concernées. Vous pouvez contacter le DPO pour toute question concernant la protection de vos données personnelles ou pour signaler une préoccupation en matière de conformité. Les coordonnées du DPO sont les suivantes :

• Email : dpo@crouw.com

• Adresse postale : 91 rue d'Austerlitz, 59200 Tourcoing, France

21. DROITS SPÉCIFIQUES PAR JURIDICTION

21.1 Droits en France

En tant que résident français, vous disposez de droits supplémentaires en vertu de la Loi Informatique et Libertés (Loi n° 78-17 du 6 janvier 1978). Vous avez le droit de vous opposer au profilage et aux décisions automatisées qui vous affectent, conformément à l'article L. 32-1 de la Loi Informatique et Libertés. Vous avez également le droit de demander une copie de vos données personnelles dans un format structuré et couramment utilisé, conformément à l'article L. 34-1. Vous pouvez retirer votre consentement à tout moment sans justification, conformément à l'article L. 32-1. Vous avez également le droit de définir des directives concernant l'utilisation de vos données après votre décès. Ces droits s'exercent dans les mêmes conditions que celles décrites aux sections 9 et 10 ci-dessus, en contactant privacy@crouw.com ou notre DPO.

21.2 Droits en UE

En tant que résident de l'Union Européenne, vous disposez de tous les droits fondamentaux prévus par le Règlement Général sur la Protection des Données (RGPD). Ces droits incluent tous ceux décrits dans les sections 9 et 10 de cette politique, notamment le droit d'accès, le droit de rectification, le droit à l'oubli, le droit à la limitation du traitement, le droit à la portabilité, le droit d'opposition, le droit de ne pas faire l'objet de décisions automatisées, et le droit de retirer votre consentement. Vous avez également le droit de déposer une réclamation auprès de l'autorité de protection des données de votre État membre. Ces droits s'appliquent indépendamment de votre nationalité ou du lieu où vous résidez actuellement.

21.3 Droits en dehors de l'UE

Si vous êtes situé en dehors de l'Union Européenne, vos droits en matière de protection des données dépendent de la législation applicable dans votre juridiction locale. Bien que cette Politique de Confidentialité soit principalement basée sur le RGPD et la législation française, nous nous engageons à respecter les lois locales applicables dans votre pays. Nous vous recommandons de consulter la législation locale sur la protection des données pour comprendre vos droits spécifiques. Indépendamment de votre localisation, vous pouvez nous contacter à privacy@crouw.com pour exercer vos droits ou poser des questions concernant le traitement de vos données personnelles.

En utilisant la Plateforme, vous acceptez les termes de cette Politique de Confidentialité.