Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Staffbase est une plateforme allemande de communication interne basee a Chemnitz. Les grandes entreprises europeennes lutilisent pour publier des actualites internes, conduire des sondages, segmenter la communication par audience et toucher les collaborateurs sur le web, le mobile et lemail. Les tenants europeens sont heberges sur AWS a Francfort.
Staffbase est une plateforme europeenne de communication interne, fondee en 2014 et basee a Chemnitz en Allemagne. De grands groupes comme DHL, Audi, Adidas ou Wuerth lutilisent pour leurs actualites internes, leur app collaborateur, leurs sondages et la diffusion personnalisee de contenu sur web, mobile et email. Staffbase a rachete Bananatag en 2021 pour ajouter la distribution email a sa suite.
Staffbase exploite un SaaS multi tenant combinant un CMS dactualites internes, une app collaborateur iOS/Android, un intranet desktop (Staffbase Hub), un module email (Staffbase Email) et une couche analytique. Lauthentification utilise lIdP de lentreprise (Azure AD, Okta, Google Workspace) en SAML ou OIDC. Le contenu peut etre cible par segments salaries selon les attributs RH.
Staffbase depose des cookies strictement necessaires (sb_session, sb_token, sb_csrf) pour lauthentification et la protection CSRF. Des cookies fonctionnels optionnels memorisent theme et preferences de lecture. Accuses de lecture, evenements de clic et reponses aux sondages sont traites cote serveur. Le SDK mobile passe par Firebase Cloud Messaging ou Apple Push Notification Service, qui interviennent comme sous traitants techniques et non comme regies publicitaires.
Staffbase traite les donnees salariees pour le compte de lemployeur en tant que sous traitant au sens de larticle 28 RGPD. Linteret legitime de lemployeur est la base habituelle pour la communication non obligatoire, et la relation de travail pour la communication obligatoire. En Allemagne, le Betriebsrat et le BDSG imposent des consultations supplementaires. Les analytiques daccuses de lecture doivent etre cadrees pour eviter detre qualifiees de surveillance des salaries.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Les cookies strictement necessaires ne requierent pas de consentement. Les notifications push, la geolocalisation pour des actualites de site, et lanalytique liant lengagement a un salarie individuel doivent etre exposees comme preferences consentables dans Staffbase. Les widgets publics chargeant du contenu Staffbase sur un site marketing externe doivent passer par une CMP car lart. 5(3) ePrivacy sapplique dans ce contexte.
Les clients europeens sont heberges sur AWS eu central 1 (Francfort), sans transfert aux Etats Unis en production. Lacces support et engineering hors UE est encadre par le DPA Staffbase et les clauses contractuelles types. La chaine push mobile passe par Google FCM et Apple APNs comme sous traitants, listes dans le DPA Staffbase. Le client doit verifier la region a la provision et la liste des sous traitants dans sa politique de confidentialite.
Signez le DPA Staffbase et figez la region UE. Consultez les representants du personnel avant dactiver les fonctions analytiques individuelles. Limitez la visibilite des accuses de lecture a des tableaux de bord agreges. Configurez le SSO via lIdP corporate et desactivez les comptes Staffbase natifs autant que possible. Documentez Staffbase, FCM et APNs dans le registre. Revoyez les modeles de sondage pour rester dans les limites de laccord dentreprise.
Les sites web utilisant Staffbase doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD est requise pour un deploiement Staffbase classique : la plateforme traite a grande echelle des donnees de salaries, peut inclure photo, donnees dorganigramme, geolocalisation push et reponses a des sondages porteuses dopinions. Le DPA doit decrire les limites de la surveillance, le role du comite social et tout acces transfrontalier par les equipes support. La consultation des representants du personnel est imposee dans certains pays (Betriebsrat en Allemagne, CSE en France).
Exemple de texte de consentement
Cet intranet utilise Staffbase pour la communication interne, les notifications et les sondages. Des cookies strictement necessaires maintiennent votre session et chargent le contenu. Les fonctions optionnelles (notifications push, analytique des accuses de lecture, personnalisation de contenu) sont soumises a un consentement separe, modifiable a tout moment dans vos preferences Staffbase.
Domaines tiers contactes
staffbase.comapp.staffbase.comcdn.staffbase.comapi.staffbase.comfcm.googleapis.compush.apple.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| sb_session | Strictly Necessary | Session | First party session cookie used to maintain the authenticated browser session on the Staffbase tenant. |
| sb_token | Strictly Necessary | 8 to 24 hours | First party authentication token issued by Staffbase or the corporate IdP after SSO login. |
| sb_csrf | Strictly Necessary | Session | First party CSRF protection cookie used to mitigate cross site request forgery on form submissions. |
| sb_locale | Preferences | 1 year | First party preference cookie storing the language selected by the employee. |
Staffbase utilise des cookies de preferences — informez vos visiteurs avec un bandeau de consentement.
Staffbase depose des cookies strictement necessaires sb_session (session navigateur), sb_token (token dauthentification, 8 a 24 heures) et sb_csrf (session, protection CSRF). Des cookies optionnels memorisent theme et langue. Le SDK mobile nutilise pas de cookies mais des tokens Firebase Cloud Messaging et Apple Push Notification Service.
Les cookies strictement necessaires a lauthentification nimposent pas de consentement. Les notifications push optionnelles, la geolocalisation pour les actualites de site et lanalytique liee a un salarie individuel doivent etre exposees comme preferences distinctes et consentables dans Staffbase.
Lexecution du contrat de travail (art. 6(1)(b) RGPD) pour les communications obligatoires (RH, sante securite, mises a jour de procedure). Linteret legitime de lemployeur (art. 6(1)(f)) pour lengagement non obligatoire, avec test de mise en balance et consultation du CSE si necessaire. Le consentement (art. 6(1)(a)) pour les fonctions optionnelles.
Les tenants europeens sont sur AWS Francfort, sans transfert vers les Etats Unis en production. Les equipes support et engineering peuvent y acceder depuis hors UE sous clauses contractuelles types. Firebase Cloud Messaging et Apple Push impliquent Google et Apple comme sous traitants, avec leurs propres mecanismes de transfert.
Oui. Staffbase traite des donnees salariees a grande echelle, peut inclure de lanalytique comportementale (accuses de lecture, cartes de clic) et peut etre vue comme un outil de surveillance systematique. Une AIPD est recommandee et souvent obligatoire. Le CSE (France) et le Betriebsrat (Allemagne) doivent etre consultes.
Signez le DPA UE, figez la region a la provision. Configurez le SSO via lIdP corporate et desactivez les comptes Staffbase natifs. Limitez les analytiques dengagement a des tableaux de bord agreges. Consultez le CSE avant dactiver le suivi individuel. Documentez Staffbase, FCM et APNs dans le registre et la politique de confidentialite salariee.
Plateformes europeennes comparables : Beekeeper (Suisse), Workvivo (Irlande, Zoom), LumApps (France) et Speakap (Pays Bas). Dans des environnements Microsoft, Viva Engage ou Yammer sont des alternatives. Chacune a sa region, son DPA et son perimetre fonctionnel.
Listez les trois cookies strictement necessaires (sb_session, sb_token, sb_csrf) avec duree et finalite. Mentionnez les cookies fonctionnels optionnels (theme, langue). Cote mobile, documentez FCM et APNs dans la politique avec leurs mecanismes de transfert. La notice salariee doit aussi decrire les analytiques dengagement et le mode dopposition.