Politique de confidentialité
Dernière mise à jour : 9 juin 2026
En résumé. Ndaaran est une solution de pointage par reconnaissance faciale destinée aux employeurs. Les données traitées comprennent des données biométriques(gabarits faciaux), considérées comme sensibles au sens de l'article 9 du RGPD. Cette politique détaille ce qui est collecté, pourquoi, combien de temps, qui y a accès et comment exercer vos droits.
1. Responsable de traitement
Pour les visiteurs du site ndaaran.com et les comptes RH : Ndaaran, entreprise individuelle représentée par M. Mamadou Alpha DIALLO, 206 rue de Séville, 77550 Moissy-Cramayel, France — SIREN 993 257 393.
Pour les employés enrôléssur Ndaaran par leur employeur (membres, pointages, photos) : l'employeur (organisation cliente) est responsable de traitement. Ndaaran agit en sous-traitantau sens de l'article 28 du RGPD, sur la base d'un accord de sous-traitance (DPA) conclu lors de la souscription.
2. Données traitées
| Catégorie | Exemples | Statut RGPD |
|---|---|---|
| Identification | Nom, prénom, matricule, téléphone, photo | Données courantes |
| Biométrie | Gabarit facial (vecteur mathématique non réversible) calculé sur le terminal de pointage | Art. 9 RGPD (sensible) |
| Pointages | Horodatages d'entrée/sortie, site, méthode (visage / carte / code / mobile) | Données courantes |
| Géolocalisation | Coordonnées GPS lors d'un pointage mobile (vérification de proximité du site) | Données courantes |
| Authentification | Code permanent PWA, jetons de session, passkeys WebAuthn | Données courantes |
| Logs techniques | Adresse IP, user-agent, événements applicatifs (audit) | Données courantes |
3. Finalités et bases légales
- Identification au pointage(visage, carte, mobile) — base légale : consentement explicite de l'employé pour le gabarit facial (art. 9.2.a RGPD), exécution du contrat de travail pour le reste (art. 6.1.b RGPD). Le refus du gabarit facial n'empêche pas le pointage : une méthode alternative (carte, code, mobile) reste disponible.
- Gestion des présences et absences— base légale : obligation légale de l'employeur (Code du travail), intérêt légitime à prouver les heures travaillées.
- Contrôle d'accès aux locaux(ouverture porte optionnelle) — base légale : intérêt légitime de l'employeur à sécuriser ses locaux.
- Sécurité et audit du service— base légale : intérêt légitime à prévenir la fraude et garantir l'intégrité du système.
- Demandes commerciales et support(formulaires sur ndaaran.com) — base légale : mesures précontractuelles à la demande de la personne (art. 6.1.b RGPD).
4. Particularité des données biométriques
Le gabarit facial est un vecteur mathématique calculé localement sur le terminal de pointage. Il ne s'agit pas d'une photo : il est non réversible (impossible de reconstituer le visage d'origine à partir du gabarit) et ne sert qu'à la comparaison biométrique d'authentification.
Consentement explicite : aucun gabarit facial n'est créé sans une action d'enrôlement délibérée (employé présent face au terminal). L'employé peut à tout moment retirer son consentement en demandant la suppression de son enrôlement biométrique auprès de son employeur ou de Ndaaran.
AIPD : conformément à l'article 35 du RGPD, l'employeur responsable de traitement doit réaliser une Analyse d'Impact relative à la Protection des Données avant tout déploiement à grande échelle. Ndaaran fournit sur demande un modèle d'AIPD spécifique au pointage biométrique.
5. Durées de conservation
- Gabarit facial : pendant toute la durée du contrat de travail. Supprimé sous 30 jours après le départ de l'employé.
- Pointages : 5 ans (durée légale de prescription salariale en France — art. L.3245-1 Code du travail).
- Photos d'identification : identique au contrat de travail. Suppression à la désactivation du compte employé.
- Logs techniques : 12 mois maximum.
- Demandes commerciales(formulaires) : 3 ans à compter du dernier contact.
6. Sous-traitants et destinataires
Ndaaran fait appel aux sous-traitants suivants, encadrés par un accord de sous-traitance conforme à l'article 28 du RGPD :
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Supabase Inc. | Base de données, stockage des fichiers, authentification | 🇪🇺 UE (Francfort) |
| Vercel Inc. | Hébergement applicatif (front + API) | 🇺🇸 US (avec PoP UE pour le trafic européen) |
| Green API | Envoi de notifications WhatsApp (codes, invitations, alertes) | Voir green-api.com |
| ZKTeco / fabricant terminal | Terminal de pointage. Aucune donnée n'est transmise à ZKTeco par Ndaaran ; le terminal communique uniquement avec les serveurs Ndaaran. | N/A |
Les transferts hors UE éventuels (Vercel, Green API) sont encadrés par les Clauses Contractuelles Types de la Commission européenne (Décision 2021/914). La base de données et le stockage des photos / gabarits / logs métier restent en UE.
7. Sécurité
- Chiffrement TLS de bout en bout pour toutes les communications
- Chiffrement au repos de la base de données (AES-256 côté Supabase)
- Isolation multi-tenant : filtrage par
org_idsur chaque requête serveur, aucune donnée d'une organisation accessible à une autre - Session HTTP-only / Secure / SameSite-Lax
- Rate-limiting des endpoints d'authentification
- Authentification forte optionnelle par passkey WebAuthn pour la PWA
- Journalisation des opérations sensibles (audit)
8. Vos droits
Conformément au RGPD, vous disposez des droits suivants : accès, rectification, effacement, limitation, opposition, portabilité et retrait du consentement à tout moment (pour les traitements fondés sur celui-ci). Vous pouvez exercer ces droits par écrit :
- Par email : contact@ndaaran.com
- Par courrier : Ndaaran — 206 rue de Séville, 77550 Moissy-Cramayel, France
Si vous estimez après nous avoir contactés que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL.
9. Modifications
Cette politique peut évoluer pour refléter des changements légaux ou techniques. La date de dernière mise à jour figure en tête de page. Les modifications significatives seront notifiées par email aux administrateurs des organisations clientes.