Confidentialité

Politique de confidentialité

Éditée le 16 mai 2024 - Mise à jour le 1ᵉʳ juin 2026

Article 1 - Préambule

La présente politique de confidentialité décrit la manière dont Hippolit SAS (ci-après « Hippolit », « nous ») collecte, traite et protège les données à caractère personnel dans le cadre de deux périmètres distincts :

  • l'application Hippolit : logiciel SaaS de gestion de parc informatique, utilisé par les entreprises clientes pour leurs collaborateurs ;
  • le site vitrine www.hippolit.io : pages publiques d'information sur Hippolit, formulaires de contact et de prise de rendez-vous.

Le rôle d'Hippolit au regard du RGPD diffère selon ces deux périmètres : sous-traitant au sens de l'article 28 dans l'application, responsable de traitement sur le site vitrine. Ces deux régimes sont décrits respectivement aux articles 3 et 4.

Cette politique complète les mentions légales.

Article 2 - Principes relatifs à la collecte et au traitement des données personnelles

Conformément à l'article 5 du Règlement européen 2016/679, les données à caractère personnel sont :

  • Traitées de manière licite, loyale et transparente au regard de la personne concernée ;
  • Collectées pour des finalités déterminées (cf. Article 3.1 des présentes), explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités ;
  • Adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ;
  • Exactes et, si nécessaire, tenues à jour. Toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder ;
  • Conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ;
  • Traitées de façon à garantir une sécurité appropriée des données collectées, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées.

Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

  • La personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
  • Le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci ;
  • Le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis ;
  • Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique ;
  • Le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ;
  • Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

Article 3 - Données traitées dans l'application Hippolit

Article 3.1 - Rôle d'Hippolit

Dans le cadre de la fourniture du Service à ses clients, Hippolit agit en qualité de sous-traitant au sens de l'article 28 du RGPD. L'entreprise cliente est responsable de traitement : c'est elle qui détermine les finalités et les moyens du traitement des données personnelles de ses collaborateurs. Hippolit traite ces données exclusivement pour le compte du client et selon ses instructions documentées.

Conséquence : toute demande d'exercice de droits (accès, rectification, suppression…) émanant d'un collaborateur doit être adressée à son employeur (entreprise cliente), qui mandatera Hippolit pour son exécution technique si nécessaire.

Un Accord de Sous-Traitance (DPA) bilatéral et signable, conforme à l'article 28 du RGPD, est disponible sur demande auprès de votre interlocuteur Hippolit.

Article 3.2 - Données traitées et finalités

Hippolit traite un sous-ensemble limité de données personnelles relatives aux collaborateurs du client, dans la majorité des cas synchronisées depuis le SIRH de l'entreprise :

  • Identité : prénom, nom de famille ;
  • Contact professionnel : adresse e-mail professionnelle, téléphone professionnel ;
  • Données contractuelles : dates d'arrivée et de départ, établissement, type de contrat ;
  • Données organisationnelles : intitulé de poste, manager, département ;
  • Données d'équipements IT : référence et affectation des équipements informatiques.

Aucune donnée sensible au sens de l'article 9 du RGPD (santé, opinions politiques, biométrie, etc.) n'est collectée.

Ces données sont traitées pour les finalités suivantes : gestion du parc IT, automatisation des flux d'onboarding et d'offboarding, gestion des demandes internes (ticketing IT), journalisation pour la sécurité et la traçabilité de la plateforme. Les bases légales correspondantes sont l'exécution du contrat (art. 6.1.b RGPD) et l'intérêt légitime du responsable de traitement (art. 6.1.f RGPD).

Article 3.3 - Hébergement et sous-traitants

Les données sont hébergées et traitées exclusivement en France et au sein de l'Union européenne. Aucun transfert vers un pays tiers n'est effectué sans l'accord préalable écrit du responsable de traitement. Nos sous-traitants techniques sont :

  • OVH (France) - hébergement de l'instance de production. ISO 27001.
  • Microsoft Azure (France) - sauvegardes quotidiennes chiffrées. ISO 27001.
  • Cloudflare (France, entrée) - WAF et protection DDoS. ISO 27001 / SOC 2.
  • Datadog (France) - journalisation et monitoring. SOC 2.
  • OVH Email (France) - messagerie d'assistance client. ISO 27001.

Toute modification de cette liste fait l'objet d'une notification préalable au responsable de traitement, qui dispose d'un droit d'opposition dans les conditions définies au DPA.

Article 3.4 - Données issues des API Google

L'intégration Google Workspace est une fonctionnalité optionnelle du module de gestion des accès d'Hippolit. Elle n'est activée qu'à l'initiative explicite du client et n'est pas un prérequis à l'utilisation du Service. Les clients qui n'activent pas ce module ne sont concernés par aucun traitement de données Google.

Lorsque l'intégration est activée, Hippolit accède aux données Google strictement nécessaires au fonctionnement de ce module (par exemple : annuaire des collaborateurs, gestion des comptes Workspace, automatisation des arrivées et départs).

Ces données ne sont jamais vendues, jamais utilisées à des fins publicitaires, et ne sont pas exploitées pour entraîner des modèles d'intelligence artificielle. Aucun humain ne lit ces données, sauf accord explicite de l'utilisateur, pour des raisons de sécurité, pour respecter une obligation légale, ou pour des opérations internes anonymisées.

L'utilisateur peut révoquer l'accès à tout moment depuis les paramètres de sécurité de son compte Google ; les jetons d'accès correspondants sont alors invalidés sans délai.

API Google - Utilisation limitée.

L'utilisation et le transfert par Hippolit, vers toute autre application, des informations reçues des API Google respecteront la Google API Services User Data Policy, y compris les exigences d'utilisation limitée (Limited Use).

Article 3.5 - Durées de conservation

  • Collaborateurs présents dans la société : données conservées sans limite de temps, sauf en cas de résiliation du contrat Hippolit.
  • Collaborateurs partis : données supprimées dès lors qu'elles le sont dans le SIRH du client (droit à l'oubli appliqué), ou sur demande.
  • Après résiliation du contrat Hippolit : 90 jours ouvrables maximum, permettant au client de demander la récupération de ses données, puis suppression complète.
  • Sauvegardes (Azure) : 30 jours glissants.
  • Logs d'activité (Datadog) : 15 jours.
  • Jetons d'accès aux API Google : invalidés sans délai à la révocation ou à la résiliation.

Pendant toute la durée du contrat, une demande de suppression de données peut être effectuée et sera exécutée en 72 heures maximum.

Article 4 - Données collectées sur le site vitrine

Sur le site www.hippolit.io, Hippolit agit en qualité de responsable de traitement.

Article 4.1 - Données collectées

Les données personnelles collectées dans ce cadre sont les suivantes : nom de famille, prénom, adresse e-mail. Elles sont collectées uniquement lorsque vous effectuez activement l'une des opérations suivantes :

  • ouverture d'une discussion via l'outil de Conversations édité par Brevo ;
  • prise de rendez-vous pour une démonstration ;
  • soumission d'un formulaire d'essai gratuit ou de contact.

Aucune donnée n'est collectée automatiquement lors de la simple navigation. Le traitement répond aux finalités suivantes : répondre à vos demandes, gérer la prise de rendez-vous, et le cas échéant assurer la contractualisation au logiciel Hippolit. La base légale est l'exécution de mesures précontractuelles prises à votre demande (art. 6.1.b RGPD) et notre intérêt légitime à répondre à vos sollicitations (art. 6.1.f RGPD).

Ces données sont conservées jusqu'à traitement de votre demande, puis pendant trois (3) ans à compter du dernier contact à des fins de prospection commerciale, conformément aux recommandations de la CNIL.

Article 4.2 - Hébergement du site

Le site www.hippolit.io est hébergé par Cloudflare, Inc. - 101 Townsend Street, San Francisco, CA 94107 - https://www.cloudflare.com.

Article 4.3 - Cookies

Le site utilise uniquement les cookies strictement nécessaires à son fonctionnement et, sous réserve de votre consentement, des cookies de mesure d'audience anonymisée. Aucun cookie publicitaire tiers n'est déposé.

Article 5 - Responsable du traitement et délégué à la protection des données

Article 5.1 - Responsable du traitement

Hippolit SAS, société par actions simplifiée au capital de 15 000 €, immatriculée au RCS de Marseille sous le numéro 987 353 497.

Siège social : 45 boulevard André Aune, 13006 Marseille.
Contact : team@hippolit.io.

Article 5.2 - Délégué à la protection des données (DPO)

Hippolit a désigné un Délégué à la Protection des Données déclaré auprès de la CNIL sous le numéro DPO-171602.

DPO : Morgan Lebois - 45 boulevard André Aune, 13006 Marseille - team@hippolit.io.

Le DPO est votre interlocuteur privilégié pour toute question relative à la protection des données, y compris les demandes d'exercice de droits, les questions de conformité et les audits.

Article 6 - Vos droits

Conformément aux articles 15 à 22 du RGPD et à la Loi Informatique et Libertés (Loi 78-17 du 6 janvier 1978), vous disposez des droits suivants : droit d'accès, de rectification, à l'effacement, à la portabilité, d'opposition, de limitation, droit de ne pas faire l'objet d'une décision exclusivement automatisée, droit de définir des directives relatives au sort de vos données après votre décès.

Comment exercer ces droits selon votre situation :

  • Vous êtes un collaborateur d'une entreprise cliente d'Hippolit : vos demandes doivent être adressées à votre employeur, responsable de traitement. Hippolit y répondra techniquement sur instruction de votre employeur.
  • Vous avez interagi avec le site vitrine (formulaire, prise de RDV, conversation) : adressez votre demande directement à team@hippolit.io.
  • Vous avez connecté un compte Google à Hippolit : vous pouvez également révoquer l'accès depuis les paramètres de votre compte Google.

Pour vérifier votre identité, nous pouvons être amenés à vous demander certaines informations complémentaires.

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL - www.cnil.fr.

Article 7 - Sécurité

Hippolit met en œuvre les mesures techniques et organisationnelles appropriées prévues à l'article 32 du RGPD : chiffrement AES-256 au repos via Fscrypt sur les volumes PostgreSQL, TLS 1.2+ en transit, base de données dédiée par client, accès internes sous SSO + MFA obligatoire, principe du moindre privilège, journalisation centralisée, tests d'intrusion réguliers (dernier réalisé en avril 2025). Le détail complet est disponible dans notre page sécurité et dans notre Notice RGPD et Politique de Sécurité, communiquée aux clients sur demande.

En cas de violation de données personnelles, Hippolit notifiera le responsable de traitement sans délai excessif, et au plus tard dans les 72 heures suivant sa prise de connaissance, conformément à l'article 33 du RGPD.

Article 8 - Modifications

Hippolit se réserve le droit de modifier la présente politique à tout moment afin d'assurer sa conformité avec le droit en vigueur et de refléter les évolutions du Service. La date en haut de page indique la version applicable.

La présente politique a été éditée le 16 mai 2024 et mise à jour le 1ᵉʳ juin 2026.