Dernière mise à jour : (date)
Sowell traite des données RH sensibles : identité des recrues, poste, plannings d'intégration, retours de satisfaction. Nous en faisons une priorité de conception. Cette page décrit, en clair, comment vos données sont protégées et comment nous respectons le RGPD. En tant qu'éditeur, Sowell agit comme sous-traitant ; votre entreprise reste responsable de traitement de ses données.
Chaque entreprise cliente dispose de sa base de données dédiée : aucune donnée n'est mélangée entre clients.
Données chiffrées en transit (HTTPS/TLS) et au repos. Mots de passe stockés hachés (PBKDF2), jamais en clair.
Accès par rôles (RH, manager, propriétaire), au principe du moindre privilège. Sessions à durée limitée.
Vos données de production sont hébergées dans l'Union européenne, en région Paris (France).
L'application est déployée sur Vercel (calcul en région Paris) et la base de données sur MongoDB Atlas, en région Paris (France, UE). Les données au repos sont chiffrées et sauvegardées automatiquement. Lorsqu'un prestataire est susceptible de traiter des données hors UE, ce transfert est encadré par les clauses contractuelles types de la Commission européenne.
Nous nous appuyons sur un nombre limité de prestataires, chacun engagé par contrat au respect du RGPD :
| Prestataire | Rôle | Données concernées |
|---|---|---|
| Vercel Inc. | Hébergement de l'application | Toutes (en transit) |
| MongoDB Atlas | Base de données, Paris (UE) | Données RH stockées |
| Google Workspace | Envoi des e-mails (SMTP) | Coordonnées, contenus d'e-mails |
| Stripe | Paiement des abonnements | Données de facturation (pas les données RH) |
La liste à jour des sous-processeurs est communiquée sur demande et annexée à notre accord de sous-traitance.
Sowell intègre les outils nécessaires à votre conformité en tant que responsable de traitement :
Nous signons un accord de sous-traitance (DPA) conforme à l'article 28 du RGPD avec chaque client.
Il précise l'objet du traitement, nos obligations de sécurité, la liste des sous-processeurs, la notification des
violations et la restitution/suppression des données en fin de contrat.
Demandez-le à support@sowellapp.fr.
En cas de violation de données affectant vos informations, nous vous en informons sans délai injustifié (et au plus tard sous 72 h après en avoir pris connaissance), avec les éléments nécessaires à vos propres obligations de notification à la CNIL.
À la fin de votre contrat, vos données vous sont restituées (export) puis supprimées de nos systèmes actifs dans un délai raisonnable, sauf obligation légale de conservation. Votre base dédiée étant isolée, sa suppression n'affecte aucun autre client.
Votre DSI ou votre DPO a des questions, ou souhaite notre DPA / notre liste de sous-processeurs ? Écrivez à support@sowellapp.fr, nous répondons rapidement.
Voir aussi : Politique de confidentialité · Mentions légales.