Balioak : conformité & transparence
Une plateforme française, hébergée en France, conforme à la loi n°2025-989 du 24 octobre 2025, sans aucune dépendance à un service IA ou cloud externe.
🇫🇷 Conformité loi n°2025-989 du 24 octobre 2025 (entretien de parcours professionnel)
Date pivot unique : 1er octobre 2026
Tous les employeurs doivent être en conformité avec le nouvel article L.6315-1 du Code du travail. Dispositif en vigueur depuis le 28 octobre 2025.
Tous les employeurs doivent être en conformité avec le nouvel article L.6315-1 du Code du travail. Dispositif en vigueur depuis le 28 octobre 2025.
| Obligation légale | Référence | Statut |
|---|---|---|
| Entretien de parcours professionnel tous les 4 ans (tous contrats : CDI, CDD, alternance, apprentissage) | art. L.6315-1 CT | ✅ Moteur d'échéances paramétrable |
| Bilan tous les 8 ans avec vérification des 3 critères du Bloc II | art. L.6315-1 II CT | ✅ Module dédié + détection risque |
| Entretien dans l'année suivant l'embauche (y compris CDD) | art. L.6315-1 CT | ✅ Planification dès la création du salarié |
| Entretien après la visite médicale de mi-carrière (≤ 2 mois, Bloc IV) | art. L.4624-2-2 CT | ✅ Trigger automatique + isolation données santé |
| Entretien dans les 2 ans avant 60 ans (fin de carrière, Bloc V) | loi 2025-989 | ✅ Alertes 24/12/6 mois avant 60 ans |
| Entretien au retour de longue absence (parental, maternité, adoption, aidant, sabbatique, longue maladie) | art. L.6315-1 CT | ✅ Déclencheur automatique + alertes J-14/J-7/J-0 |
| Abondement correctif CPF 3 000 € si manquement | art. L.6323-13 CT | ✅ Détection & alerte automatique |
| Compte-rendu remis au salarié | art. L.6315-1 CT | ✅ Co-signature obligatoire + PDF/DOCX |
| Conduite de l'entretien sans pression hiérarchique | loi 2025-989 | ✅ Questionnaire préparatoire en autonomie |
🔒 Conformité RGPD
| Droit RGPD | Article | Implémentation |
|---|---|---|
| Droit d'accès | art. 15 | Mon espace salarié, vue complète des données |
| Droit de rectification | art. 16 | Le salarié peut modifier son profil ; RH peut corriger |
| Droit à l'effacement | art. 17 | Anonymisation automatique après rétention paramétrée |
| Droit à la portabilité | art. 20 | Export ZIP (JSON + CSV) en 1 clic |
| Droit d'opposition (notifications) | art. 21 | Désinscription par catégorie + lien dans chaque mail |
| Registre des traitements | art. 30 | Notice d'information salarié + documentation DPA générées (DOCX) |
| Sécurité du traitement | art. 32 | 2FA, audit, HMAC, rate limit, anonymisation, isolation tenant |
| Notification de violation 72h | art. 33 | Procédure documentée téléchargeable |
| Sous-traitance | art. 28 | Modèle DPA prêt à signer |
| Anonymisation données > rétention | art. 5 | Cron automatique respectant la durée de prescription L.1471-1 |
🖋 Conformité eIDAS (signatures électroniques)
| Niveau | Usage | Statut |
|---|---|---|
| eIDAS niveau 1 (signature simple) | Validation du questionnaire par le salarié (case à cocher) | ✅ Avec horodatage, IP, hash SHA-256 |
| eIDAS niveau 2 (signature avancée) | Manager & salarié signent le compte-rendu (canvas manuscrit) | ✅ PNG base64 + hash contenu + audit |
Toutes les signatures sont accompagnées d'un hash SHA-256 du contenu signé. Toute modification ultérieure casse le hash et invalide la signature : preuve d'intégrité opposable.
🛡 Sécurité & hébergement
- Hébergement : France (o2switch, Auvergne)
- Authentification : mot de passe fort + 2FA par e-mail en option
- Audit horodaté : 4 niveaux (info / avertissement / sécurité / sensible)
- Rate limiting : protection brute-force sur connexion, reset, API
- Multi-tenant strict : un cabinet ne voit que ses entreprises clientes, une entreprise ne voit que ses salariés
- Sauvegardes quotidiennes : SQL + code (rétention 30 jours)
- Aucune télémétrie externe : pas de Google Analytics, pas de pixel tracker, pas de CDN tiers
- Aucune dépendance LLM : NLP français 100 % local (lexique sémantique)
📦 Stack technique
- PHP 8.1+ natif (pas de framework lourd)
- MySQL 8 / MariaDB 10+ avec PDO préparé
- Aucun Composer, aucune dépendance externe : code 100 % auditable
- Génération native : XLSX (ZipArchive + Office Open XML), DOCX (idem), PDF, CSV, ZIP, JSON
- Front : HTML5 + CSS3 + JavaScript natif, signature canvas, accessibilité WCAG 2.1 AA
- Pas de Node, pas de build, pas de webpack, édition directe en production possible
🔗 Intégrations
- API REST lecture seule avec Bearer token, rate limit 120 req/min
- Webhooks sortants signés HMAC SHA-256, retry exponentiel
- Import/Export massif CSV et XLSX (salariés, formations)
- Bilan CSE/IRP partageable par lien public anonymisé (seuil 5 salariés)
Prêt à essayer ?
Aucune carte bancaire requise pour démarrer. Hébergé en France, conforme loi 2025-989, support en français.