Confidentialité

L'anonymat n'est pas une promesse, c'est l'architecture

Un baromètre social ne vaut que par la sincérité des réponses — et personne ne répond sincèrement en se demandant qui lira. Vokta est construit pour que l'identification d'un répondant soit techniquement impossible, y compris pour l'employeur et pour nous.

Jeton individuel

Stocké haché, avec les seuls attributs démographiques. Jamais de nom ni d'email.

hash(jeton) + attributs
Réponse

Enregistrée sans aucune référence au jeton. Les verbatims sont isolés dans une table séparée.

responses — 0 lien vers le jeton
Tables brutes verrouillées

Row Level Security activée sans aucune règle de lecture : ni l'API, ni vos administrateurs n'accèdent aux réponses individuelles.

Restitution agrégée

Seuls des agrégats sortent de la base. Tout segment de moins de 5 réponses est masqué, avec suppression complémentaire pour empêcher les déductions.

L'architecture de données de Vokta, telle qu'implémentée en base.
Les garanties

Cinq protections, toutes structurelles

Aucune ne repose sur une configuration, un réglage ou une bonne pratique : elles sont câblées dans le schéma de données.

Les répondants ne s’authentifient jamais

Pas de compte, pas d’email d’entreprise, pas de connexion. Chaque collaborateur accède au questionnaire par un lien individuel anonyme, depuis n’importe quel navigateur.

La réponse n’est pas rattachable au jeton

La table des réponses ne contient aucune référence au jeton utilisé. L’anti-doublon fonctionne sans clé de jointure : il est structurellement impossible de reconstituer « qui a répondu quoi ».

Les tables brutes sont verrouillées

Row Level Security activée sans aucune règle de lecture : les réponses individuelles ne sont accessibles ni par l’API, ni par vos administrateurs. Seules des fonctions d’agrégation retournent des résultats.

Seuil de représentativité de 5 réponses

Tout croisement de filtres qui isolerait moins de 5 réponses est masqué, avec suppression complémentaire pour empêcher les déductions par soustraction. Le seuil est appliqué en SQL, pas dans l’interface.

Les verbatims sont isolés

Les commentaires libres sont stockés dans une table séparée, sans attributs démographiques ni lien vers la réponse d’origine : impossible de réidentifier par recoupement de style ou de contexte.

Les emails ne quittent jamais votre navigateur

Pour diffuser les liens, vos équipes RH importent un fichier d'attributs démographiques — pas d'identités. Le fichier de publipostage (email ↔ lien) est généré localement, dans le navigateur, et n'est jamais transmis à Vokta. Le lien entre une personne et son jeton n'existe que chez vous.

Hébergement européen, RGPD

Les données sont hébergées en Europe et traitées conformément au RGPD. Elles ne sont jamais revendues ni utilisées à d'autres fins, et restent exportables à votre demande. Lire la politique de confidentialité.

En résumé

Ce que l'employeur ne peut pas voir

  • Savoir si un collaborateur donné a répondu ou non
  • Consulter une réponse individuelle, même en base de données
  • Filtrer un segment jusqu’à isoler une personne
  • Relier un verbatim à un service, un âge ou une ancienneté

C'est précisément ce qui rend les résultats exploitables : quand les collaborateurs savent que la réidentification est impossible, ils répondent — et ils répondent franchement.

Un baromètre auquel vos équipes peuvent se fier

Créez votre espace et vérifiez par vous-même : le seuil de représentativité et le masquage des segments sont visibles dès le premier tableau de bord.