1. Préambule
La présente politique de confidentialité (« Politique ») décrit la manière dont la société OpenSafe SAS (« OpenSafe », « nous ») collecte, utilise, conserve et protège les données à caractère personnel (« Données ») des personnes physiques qui interagissent avec ses services.
Elle s'applique à l'ensemble des canaux et services proposés par OpenSafe :
- Le site institutionnel opensafe.io (formulaires de contact, demandes de démonstration, abonnement à la newsletter) ;
- Le service Audit Flash, autodiagnostic en ligne accessible depuis
opensafe.io/audit/; - Les applications OpenSafe Pro (web et mobile) utilisées par nos clients dans le cadre de leur abonnement.
Cette Politique est rédigée en application du Règlement (UE) 2016/679 (« RGPD ») et de la loi n° 78-17 du 6 janvier 1978 modifiée (« Loi Informatique et Libertés »). Elle a vocation à informer les personnes concernées, conformément aux articles 13 et 14 du RGPD, des conditions dans lesquelles leurs Données sont traitées.
2. Responsable de traitement et Délégué à la protection des données
Le responsable de traitement au sens de l'article 4 §7 du RGPD est :
OpenSafe SAS
Société par actions simplifiée au capital social variable
RCS Nantes 803 143 791 — SIRET 803 143 791 00033
Siège social : 15 boulevard Marcel Paul, 44800 Saint-Herblain, France
Téléphone : +33 (0)9 56 76 44 87
OpenSafe a désigné un Délégué à la protection des données (« DPO ») au sens de l'article 37 du RGPD. Toute question relative à la présente Politique ou à l'exercice de vos droits peut lui être adressée :
Ronald Diquélou, Délégué à la protection des données
Adresse postale : OpenSafe SAS — DPO, 15 boulevard Marcel Paul, 44800 Saint-Herblain, France
Email : dpo@opensafe.io
3. Traitements de Données réalisés par OpenSafe
OpenSafe met en œuvre plusieurs traitements distincts, présentés ci-dessous par finalité.
3.1 Navigation sur le site opensafe.io
- Finalités : permettre la consultation du site, mesurer son audience de manière agrégée, améliorer l'expérience utilisateur.
- Base légale : intérêt légitime d'OpenSafe à exploiter et améliorer son site (art. 6.1.f RGPD) pour les cookies strictement nécessaires ; consentement (art. 6.1.a RGPD) pour les cookies de mesure d'audience et de marketing.
- Catégories de données : adresse IP, identifiants techniques (cookies, identifiants de session), informations relatives au terminal (user-agent, langue, fuseau horaire), pages consultées, durée de visite, source de trafic.
- Source : collecte directe lors de la navigation.
- Caractère obligatoire : la collecte des cookies strictement nécessaires est requise pour le bon fonctionnement du site ; les cookies non essentiels sont conditionnés à votre consentement préalable.
- Sous-traitants impliqués : Scaleway (hébergement), Cloudflare (DNS et délivrance edge), PostHog (analyse d'audience, en cas de consentement).
- Durée de conservation : voir § 6.
3.2 Demande de contact ou de démonstration commerciale
- Finalités : traiter votre demande de contact, organiser et réaliser une démonstration de nos produits, assurer un suivi commercial dans le cadre d'une relation B2B.
- Base légale : exécution de mesures précontractuelles prises à votre demande (art. 6.1.b RGPD), complétée par l'intérêt légitime d'OpenSafe à prospecter ses interlocuteurs professionnels (art. 6.1.f RGPD) conformément à la position de la CNIL relative à la prospection en B2B.
- Catégories de données : prénom, nom, fonction, raison sociale de l'entreprise, email professionnel, téléphone (facultatif), contenu de votre message.
- Source : collecte directe via les formulaires en ligne (page contact, page démo, formulaires de prise de RDV).
- Caractère obligatoire : les champs marqués comme requis (nom, prénom, email, fonction, entreprise) sont indispensables pour que nous puissions répondre à votre demande. À défaut, votre demande ne pourra être traitée.
- Sous-traitants impliqués : Scaleway, Cloudflare, SendGrid (envoi des emails transactionnels), YouCanBookMe (planification des rendez-vous).
- Durée de conservation : voir § 6.
3.3 Service Audit Flash
Le service Audit Flash (opensafe.io/audit/) est un outil d'autodiagnostic gratuit qui permet à un professionnel d'estimer le coût de sa gestion actuelle des Équipements de Protection Individuelle (EPI) et des Vérifications Générales Périodiques (VGP), de recevoir un rapport personnalisé, et d'organiser un rendez-vous avec un commercial OpenSafe.
- Finalités :
- réaliser le calcul d'estimation et générer le rapport d'audit personnalisé ;
- envoyer le rapport au format PDF par email à l'adresse fournie ;
- permettre la prise de rendez-vous avec un commercial OpenSafe ;
- assurer un suivi commercial B2B après la prise de rendez-vous ;
- améliorer le service et les indicateurs sectoriels présentés (mesure d'audience anonymisée).
- Bases légales :
- Consentement (art. 6.1.a RGPD) recueilli explicitement par case à cocher avant la transmission de l'adresse email et l'envoi du rapport ;
- Exécution de mesures précontractuelles (art. 6.1.b RGPD) pour la prise de rendez-vous commercial ;
- Intérêt légitime d'OpenSafe (art. 6.1.f RGPD) à analyser de manière agrégée les usages du service pour l'améliorer.
- Catégories de données :
- Données entreprise : raison sociale, code postal, pays, secteur d'activité ;
- Données du questionnaire : nombre estimé de techniciens, nombre estimé d'équipements gérés, outil de suivi actuel déclaré, heures hebdomadaires consacrées au suivi, coût d'immobilisation journalier estimé ;
- Données de contact : prénom, nom, fonction, email professionnel, téléphone (facultatif), commentaire libre (facultatif), qualification « décisionnaire » (facultative) ;
- Données techniques : adresse IP, user-agent, identifiants techniques de session, identifiants PostHog (en cas de consentement) ;
- Données de prise de rendez-vous : créneau choisi, fuseau horaire, identifiant de réservation ;
- Date et heure du consentement (preuve de recueil au sens de l'art. 7.1 RGPD).
- Source : collecte directe via le questionnaire et les formulaires Audit Flash.
- Caractère obligatoire : les champs entreprise, code postal, pays, et les contacts (prénom, nom, fonction, email) sont obligatoires pour réaliser l'audit et recevoir le rapport. Le téléphone, le commentaire et la qualification « décisionnaire » sont facultatifs.
- Sous-traitants impliqués :
- Scaleway (France, UE) — stockage de la base de données Audit Flash ;
- Cloudflare (Union européenne, EU Data Residency activée) — hébergement de l'application Audit Flash et du service relai d'API (« os-bridge ») ;
- Trigger.dev (Union européenne) — orchestration des traitements asynchrones (calcul, génération PDF, envoi email) ;
- SendGrid (Twilio) (États-Unis) — envoi du rapport PDF par email transactionnel ;
- YouCanBookMe — interface de prise de rendez-vous ;
- PostHog (Union européenne, instance
eu.i.posthog.com) — mesure d'audience et instrumentation du parcours (en cas de consentement).
- Service tiers non sous-traitant (Logo.dev) : pour personnaliser l'apparence du rapport, OpenSafe interroge le service Logo.dev avec le nom d'entreprise que vous avez saisi, afin de récupérer un visuel d'illustration. La raison sociale d'une personne morale n'est pas une donnée à caractère personnel au sens de l'article 4 §1 du RGPD ; ce service n'est donc pas un sous-traitant au sens de l'article 28 RGPD.
- Décisions automatisées et profilage : l'outil calcule automatiquement des indicateurs (estimation du coût administratif annuel, exposition aux accidents du travail, économies potentielles) à partir des données déclarées. Ces calculs constituent une simulation indicative à valeur informationnelle. Ils ne produisent aucun effet juridique à l'égard de la personne concernée ni ne l'affectent de manière significative au sens de l'article 22 du RGPD.
- Durée de conservation : voir § 6.
3.4 Comptes clients OpenSafe Pro
- Finalités : fournir l'accès aux applications OpenSafe Pro souscrites, assurer le support technique et fonctionnel, facturer le service, gérer la relation contractuelle.
- Base légale : exécution du contrat conclu entre OpenSafe et le client (art. 6.1.b RGPD) ; obligations légales comptables (art. 6.1.c RGPD) pour la facturation.
- Catégories de données : données d'identification des utilisateurs (nom, prénom, email professionnel, fonction), données d'usage et logs applicatifs, données métier saisies par le client dans le cadre de l'utilisation du service.
- Sous-traitants impliqués : Scaleway (hébergement), Cloudflare (DNS et délivrance), SendGrid (emails transactionnels), prestataires métier listés au § 4.
- Durée de conservation : voir § 6.
3.5 Newsletter et communications marketing
- Finalités : envoyer une newsletter régulière, des communications commerciales et des informations relatives à OpenSafe à nos prospects et clients qui en ont fait la demande.
- Base légale : consentement (art. 6.1.a RGPD) pour les prospects ; intérêt légitime d'OpenSafe à informer ses clients sur les produits similaires à ceux qu'ils ont souscrits (art. 6.1.f RGPD et art. L34-5 al.4 CPCE).
- Catégories de données : prénom, nom, email professionnel, entreprise, statistiques d'ouverture et de clic des emails.
- Sous-traitants impliqués : SendGrid (envoi).
- Désinscription : à tout moment via le lien présent dans chaque email envoyé.
4. Sous-traitants et destinataires
OpenSafe fait appel à des sous-traitants soigneusement sélectionnés, qui agissent uniquement sur ses instructions documentées, dans le cadre d'un contrat de sous-traitance conforme à l'article 28 du RGPD (« Data Processing Agreement » ou DPA). Aucun transfert de Données n'est réalisé à des tiers à des fins commerciales propres.
| Prestataire | Rôle | Localisation | Garanties |
|---|---|---|---|
| Scaleway SAS | Hébergement applicatif et stockage des bases de données (site corporate, Audit Flash, instance Directus auto-hébergée) | France (UE) | Conditions de service Scaleway incluant un addendum standard de traitement de Données conforme à l'art. 28 RGPD |
| Cloudflare, Inc. | Hébergement edge, DNS et délivrance des applications front-end (Cloudflare Pages) | Union européenne — option EU Data Residency activée pour le stockage et le traitement des Données européennes | Conditions de service Cloudflare incluant un addendum standard de traitement de Données conforme à l'art. 28 RGPD |
| Trigger.dev | Orchestration des traitements asynchrones du back-office Audit Flash | Union européenne (région UE du service) | Conditions de service Trigger.dev incluant un addendum standard de traitement de Données conforme à l'art. 28 RGPD |
| Twilio SendGrid | Envoi des emails transactionnels et marketing | États-Unis | Conditions de service Twilio incluant un addendum standard de traitement de Données conforme à l'art. 28 RGPD et intégrant les Clauses Contractuelles Types de la décision d'exécution UE 2021/914 pour les transferts hors UE |
| YouCanBookMe | Planification des rendez-vous commerciaux | Royaume-Uni — pays bénéficiant d'une décision d'adéquation européenne (art. 45 RGPD) | Conditions de service YouCanBookMe incluant un addendum standard de traitement de Données conforme à l'art. 28 RGPD |
| PostHog | Mesure d'audience produit (en cas de consentement) | Union européenne (instance eu.i.posthog.com) | Conditions de service PostHog incluant un addendum standard de traitement de Données conforme à l'art. 28 RGPD |
L'instance Directus utilisée comme système de gestion de contenu du site corporate est auto-hébergée sur l'infrastructure d'OpenSafe ; elle ne constitue pas un transfert vers un sous-traitant externe.
Le service Logo.dev, utilisé pour récupérer un visuel d'illustration à partir d'un nom d'entreprise, ne traite pas de données à caractère personnel au sens du RGPD : seule la raison sociale d'une personne morale lui est transmise. Il n'est donc pas listé ci-dessus comme sous-traitant au sens de l'art. 28 RGPD.
La liste à jour des sous-traitants est tenue à disposition sur simple demande auprès du DPO. Toute modification substantielle de cette liste susceptible d'affecter vos Données fera l'objet d'une mise à jour de la présente Politique.
5. Transferts de Données hors Union européenne
OpenSafe privilégie systématiquement, lorsque cela est techniquement possible, les sous-traitants hébergeant les Données au sein de l'Union européenne. C'est le cas notamment de Scaleway, Cloudflare (option EU Data Residency), Trigger.dev (région UE) et PostHog (instance UE).
Les seuls transferts résiduels en dehors de l'Espace économique européen concernent :
- l'envoi d'emails transactionnels et marketing via Twilio SendGrid (États-Unis) ;
- la planification de rendez-vous via YouCanBookMe (Royaume-Uni).
Ces transferts sont encadrés conformément aux articles 44 à 49 du RGPD :
- pour le Royaume-Uni : décision d'adéquation de la Commission européenne du 28 juin 2021 (art. 45 RGPD) ;
- pour les États-Unis : Clauses Contractuelles Types de la Commission européenne (décision d'exécution UE 2021/914 du 4 juin 2021), intégrées aux conditions de service du prestataire concerné, le cas échéant complétées par des mesures supplémentaires techniques et organisationnelles conformes aux recommandations du European Data Protection Board (EDPB 01/2020).
Une copie ou un résumé des garanties applicables peut être obtenu sur simple demande auprès du DPO.
6. Durées de conservation
OpenSafe conserve les Données pour la durée strictement nécessaire à la réalisation des finalités décrites au § 3, conformément à l'article 5.1.e du RGPD (principe de limitation de la conservation).
| Catégorie de Données | Durée active | Archivage intermédiaire |
|---|---|---|
| Données de prospects et leads B2B (formulaires de contact, Audit Flash, démo) | 3 ans à compter du dernier contact actif | — |
| Données de clients actifs OpenSafe Pro | Durée de la relation contractuelle | 5 ans après la fin du contrat (prescription commerciale, art. L110-4 C. Com.) |
| Données comptables et factures | — | 10 ans (art. L123-22 C. Com.) |
| Logs serveur et adresses IP techniques | 12 mois maximum | — |
| Cookies de mesure d'audience (PostHog) | 13 mois (consentement) — informations collectées : 25 mois | — |
| Sauvegardes techniques des bases de données | 30 jours glissants | — |
| Demandes d'exercice de droits RGPD et preuves de consentement | — | 5 ans après traitement de la demande (preuve de conformité, art. 5.2 RGPD) |
Au terme de ces durées, les Données sont supprimées ou anonymisées de manière irréversible. Lorsqu'un archivage intermédiaire est prévu, l'accès est limité aux personnes ayant un intérêt à en connaître (service juridique, comptabilité, DPO).
7. Sécurité des Données
OpenSafe met en œuvre les mesures techniques et organisationnelles appropriées au regard du risque, conformément à l'article 32 du RGPD, notamment :
- Chiffrement systématique des communications (TLS 1.2 ou supérieur) ;
- Chiffrement des données sensibles au repos chez les sous-traitants d'hébergement ;
- Contrôle des accès basé sur le principe du moindre privilège et l'authentification forte ;
- Ségrégation des environnements (développement, pré-production, production) ;
- Journalisation des accès et des actions sensibles ;
- Tests réguliers de sécurité et procédures de gestion des vulnérabilités ;
- Procédures de notification de violation de Données conformément aux articles 33 et 34 du RGPD (notification CNIL sous 72h et information des personnes concernées le cas échéant) ;
- Sensibilisation continue des collaborateurs à la protection des Données.
8. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez sur vos Données des droits suivants :
- Droit d'accès (art. 15) : obtenir la confirmation que vos Données sont traitées et en recevoir copie ;
- Droit de rectification (art. 16) : corriger toute Donnée inexacte ou incomplète ;
- Droit à l'effacement (art. 17) : obtenir l'effacement de vos Données, sous réserve des obligations légales de conservation ;
- Droit à la limitation du traitement (art. 18) : suspendre l'utilisation de vos Données dans certaines situations ;
- Droit d'opposition (art. 21) : vous opposer à un traitement fondé sur l'intérêt légitime, ou à la prospection commerciale à tout moment et sans justification ;
- Droit à la portabilité (art. 20) : récupérer vos Données dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable de traitement ;
- Droit de retirer votre consentement à tout moment lorsque le traitement est fondé sur ce consentement (art. 7.3), sans que ce retrait ne remette en cause la licéité des traitements antérieurs ;
- Droit de définir des directives relatives au sort de vos Données après votre décès, conformément à l'article 85 de la loi Informatique et Libertés ;
- Droit d'introduire une réclamation auprès de la CNIL (art. 77) : www.cnil.fr/fr/plaintes — 3 place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07.
Comment exercer vos droits ?
Toute demande peut être adressée :
- par email : dpo@opensafe.io ;
- par courrier postal : OpenSafe SAS — DPO, 15 boulevard Marcel Paul, 44800 Saint-Herblain, France.
Afin de garantir la sécurité de vos Données et d'éviter toute usurpation d'identité, OpenSafe pourra vous demander de justifier de votre identité par tout moyen approprié. Nous répondrons à votre demande dans un délai maximal d'un mois à compter de sa réception, prorogeable de deux mois supplémentaires en raison de la complexité ou du nombre de demandes (art. 12.3 RGPD), auquel cas vous en serez informé(e) dans le délai initial d'un mois.
9. Décisions automatisées et profilage
Le service Audit Flash (§ 3.3) repose sur un calcul automatique d'indicateurs économiques et réglementaires à partir des données que vous déclarez. Ces calculs ont une valeur informationnelle et indicative. Ils ne produisent aucun effet juridique à votre égard et ne vous affectent pas de manière significative au sens de l'article 22 du RGPD.
Aucune décision concernant l'octroi d'un service, d'une tarification ou d'une qualification commerciale n'est prise par OpenSafe sur la seule base d'un traitement automatisé.
10. Cookies et autres traceurs
Le site opensafe.io et le service Audit Flash utilisent des cookies et traceurs équivalents conformément à l'article 82 de la loi Informatique et Libertés et à la Recommandation de la CNIL du 17 septembre 2020 relative à l'usage de cookies et autres traceurs.
Lors de votre première visite, un bandeau d'information vous permet d'accepter, refuser ou personnaliser le dépôt des cookies non strictement nécessaires (mesure d'audience, marketing). Votre choix est conservé pour une durée maximale de 6 mois, à l'issue de laquelle le bandeau vous sera à nouveau présenté.
Vous pouvez à tout moment modifier vos préférences en cliquant sur le lien « Gérer mes cookies » présent dans le pied de page du site.
11. Données relatives aux mineurs
OpenSafe propose des services à destination exclusive des professionnels (B2B). Nous ne collectons pas sciemment de Données concernant des mineurs. Si vous estimez qu'un mineur nous a transmis des Données, nous vous remercions de contacter le DPO pour que ces Données soient supprimées sans délai.
12. Modifications de la Politique
OpenSafe se réserve le droit de modifier la présente Politique pour l'adapter aux évolutions législatives, réglementaires, jurisprudentielles ou techniques. Toute modification substantielle sera signalée par une notice visible sur le site et, le cas échéant, par notification individuelle aux utilisateurs concernés.
La date de dernière mise à jour est indiquée en haut de cette page.
13. Contact
Pour toute question relative à la présente Politique ou à l'exercice de vos droits, vous pouvez contacter :
Délégué à la protection des données (DPO)
Ronald Diquélou
Email : dpo@opensafe.io
Adresse : OpenSafe SAS — DPO, 15 boulevard Marcel Paul, 44800 Saint-Herblain, France
En cas de réponse jugée insatisfaisante ou en l'absence de réponse dans le délai légal, vous disposez du droit d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL) — 3 place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07 — www.cnil.fr.