Application PPM — Usage interne

Politique de confidentialité

Dernière mise à jour : juin 2026

Français

1. Responsable du traitement

Le traitement des données personnelles opéré via cette application est réalisé par Schmidt Groupe, responsable du traitement au sens du Règlement (UE) 2016/679 (RGPD). Pour toute question, contactez : dpo@schmidtgroupe.fr.

2. Données collectées

Identité et coordonnées professionnelles (nom, prénom, adresse e-mail professionnelle)
Rôle et droits d'accès au sein de l'application
Données de connexion : date/heure de dernière connexion, logs d'audit (action, entité, adresse IP pseudonymisée)
Données liées aux projets créés ou modifiés par l'utilisateur

3. Finalités et bases légales

Gestion du portefeuille de projets — base légale : exécution d'une mission d'intérêt légitime (Art. 6.1.f)
Traçabilité des actions (journal d'audit) — base légale : intérêt légitime (sécurité, conformité)
Authentification et contrôle des accès — base légale : exécution d'une obligation légale ou intérêt légitime
Statistiques d'usage de l'application — base légale : intérêt légitime (amélioration continue du service). Les fonctionnalités consultées sont tracées au niveau utilisateur. Ces données ne sont pas transmises à des tiers.

4. Durée de conservation

Catégorie de données	Durée de conservation	Base légale / justification
Compte utilisateur (identité, rôle, mot de passe haché)	Durée d'activité dans l'organisation + 1 an après dernière connexion	Art. 6.1.f — intérêt légitime (gestion des accès)
Journal d'audit (actions, IP pseudonymisées)	90 jours (purge automatique)	Art. 6.1.f — traçabilité / sécurité
Statistiques d'usage (pages consultées)	30 jours (purge automatique, configurable)	Art. 6.1.f — amélioration du service (minimisation Art. 5.1.c)
Données de projets actifs	Durée de la mission IT	Art. 6.1.f — exécution de la mission
Données de projets archivés (statuts DONE / CANCELLED)	5 ans après archivage (purge automatique, configurable)	Art. 6.1.f — politique documentaire interne
Logs d'accès HTTP (fichiers access-*.log)	30 jours (rotation quotidienne — production uniquement)	Art. 6.1.f — sécurité des systèmes d'information
Tokens JWT révoqués (jti_blacklist)	Jusqu'à expiration naturelle du token (max 8h, purge automatique)	Sécurité — prévention de la réutilisation de sessions invalidées

Désactivation automatique : Tout compte utilisateur inactif depuis plus de 365 jours est automatiquement désactivé (accès révoqué). Un avertissement est enregistré dans le journal d'audit 30 jours avant la désactivation. Les comptes administrateur sont exclus de cette règle.

5. Destinataires

Les données sont accessibles aux utilisateurs autorisés selon leur rôle (admin, PMO, PM, manager, viewer). Elles ne sont pas transmises à des tiers à des fins commerciales.

6. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

Droit d'accès, de rectification et d'effacement de vos données (Art. 15, 16, 17)
Droit à la limitation du traitement (Art. 18)
Droit d'opposition (Art. 21)
Droit à la portabilité (Art. 20)

Pour exercer vos droits, adressez votre demande à : dpo@schmidtgroupe.fr. Vous pouvez également introduire une réclamation auprès de la CNIL (www.cnil.fr).

7. Violation de données (Art. 33–34 RGPD)

En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour vos droits et libertés, Schmidt Groupe s'engage à :

Notifier la CNIL dans un délai de 72 heures après avoir pris connaissance de la violation
Informer sans délai les personnes concernées lorsque la violation est susceptible d'engendrer un risque élevé

Pour signaler une suspicion de violation ou un incident de sécurité : dpo@schmidtgroupe.fr ou ssi@schmidtgroupe.fr.

8. Sécurité

Les mots de passe sont stockés sous forme hachée (bcrypt, facteur 12). Les communications sont chiffrées en transit (HTTPS en production). Les adresses IP sont pseudonymisées avant tout stockage dans les journaux.

9. Cookies

Cette application utilise un seul cookie technique, strictement nécessaire au fonctionnement :

Nom	Finalité	Durée	Attributs	Base légale
`ppm_token`	Authentification de session (jeton JWT signé)	8 heures (selon la configuration `JWT_EXPIRES_IN`)	`HttpOnly` — inaccessible depuis JavaScript ; `Secure` — HTTPS uniquement en production ; `SameSite=Strict` — protection CSRF	Art. 6.1.b RGPD — strictement nécessaire à l'exécution du service (exempté de consentement au titre de la directive ePrivacy)

Aucun cookie tiers, aucun cookie de traçage ou publicitaire n'est déposé par cette application.

English

1. Data Controller

Personal data processed through this application is controlled by Schmidt Groupe. Contact: dpo@schmidtgroupe.fr.

2. Data collected

Professional identity (first name, last name, professional e-mail)
Application role and access rights
Login data: last login timestamp, audit trail (action, entity, pseudonymized IP)
Project data created or modified by the user

3. Purposes and legal bases

Project portfolio management — legal basis: legitimate interest (Art. 6.1.f)
Audit trail — legal basis: legitimate interest (security, compliance)
Authentication and access control — legal basis: legal obligation or legitimate interest
Application usage analytics — legal basis: legitimate interest (continuous service improvement). Features accessed are tracked at individual user level. Data is not shared with third parties.

4. Data retention

Data category	Retention period	Basis / justification
User account (identity, role, hashed password)	Duration of activity + 1 year after last login	Art. 6.1.f — legitimate interest (access management)
Audit log (actions, pseudonymized IPs)	90 days (automatic purge)	Art. 6.1.f — traceability / security
Usage analytics (pages visited)	30 days (automatic purge, configurable)	Art. 6.1.f — service improvement (minimization Art. 5.1.c)
Active project data	Duration of the IT project	Art. 6.1.f — performance of the mission
Archived projects (DONE / CANCELLED)	5 years after archiving (automatic purge, configurable)	Art. 6.1.f — internal document policy
HTTP access logs (access-*.log files)	30 days (daily rotation — production only)	Art. 6.1.f — information system security
Revoked JWT tokens (jti_blacklist)	Until natural token expiry (max 8 h, automatic purge)	Security — prevention of invalidated session reuse

Automatic deactivation: Any user account inactive for more than 365 days is automatically deactivated. A warning is recorded in the audit log 30 days before deactivation. Administrator accounts are excluded from this rule.

5. Data breach notification (Art. 33–34 GDPR)

In the event of a personal data breach likely to result in a risk to your rights and freedoms, Schmidt Groupe commits to:

Notify the supervisory authority (CNIL) within 72 hours of becoming aware of the breach
Inform affected individuals without undue delay where the breach is likely to result in a high risk

To report a suspected breach or security incident: dpo@schmidtgroupe.fr or ssi@schmidtgroupe.fr.

6. Your rights

Under GDPR Arts. 15–21 you have the right to access, rectify, erase, restrict, port and object to the processing of your personal data. Submit requests to dpo@schmidtgroupe.fr.

7. Cookies

This application uses a single technical cookie, strictly necessary for its operation:

Name	Purpose	Duration	Attributes	Legal basis
`ppm_token`	Session authentication (signed JWT token)	8 hours (based on `JWT_EXPIRES_IN` configuration)	`HttpOnly` — not accessible from JavaScript; `Secure` — HTTPS only in production; `SameSite=Strict` — CSRF protection	Art. 6.1.b GDPR — strictly necessary for service delivery (exempt from consent under the ePrivacy Directive)

No third-party, tracking or advertising cookies are set by this application.

← Retour / Back