Version 1.0 — Janvier 2026 — Conforme au RGPD (Règlement UE 2016/679) et à la Loi Informatique et Libertés
Le responsable du traitement de vos données personnelles est :
CyberSecure Academy — [Forme juridique — À compléter]
SIRET : [À compléter]
Siège social : [Adresse complète]
Email de contact DPO / Vie privée : contact@cybersecureacademy.fr
Un Délégué à la Protection des Données (DPO) [est / sera désigné — À compléter selon effectif et nature des traitements]. Ses coordonnées sont : [À compléter].
CyberSecure Academy collecte uniquement les données strictement nécessaires aux finalités poursuivies (principe de minimisation — art. 5.1.c RGPD).
| Catégorie de données | Données collectées | Finalité | Base légale (art. 6 RGPD) |
|---|---|---|---|
| Identité & contact | Adresse email, prénom (optionnel) | Création et gestion du compte utilisateur | Exécution du contrat (6.1.b) |
| Données de paiement | Token de paiement (Stripe — jamais les numéros de carte) | Traitement des paiements sécurisés | Exécution du contrat (6.1.b) |
| Données de progression | Scores aux quiz, modules complétés, certifications obtenues | Suivi pédagogique, délivrance des certifications | Exécution du contrat (6.1.b) |
| Données de connexion | Adresse IP, navigateur, horodatage de connexion | Sécurité du service, prévention des fraudes, journaux d'audit | Intérêt légitime (6.1.f) |
| Cookies techniques | Token de session (JWT Supabase) | Maintien de la session authentifiée | Nécessité technique (exempté de consentement) |
| Données de facturation | Email, montant, date, formation achetée | Obligations comptables et fiscales | Obligation légale (6.1.c) |
CyberSecure Academy ne collecte pas de données sensibles au sens de l'article 9 du RGPD (données de santé, opinions politiques, etc.).
| Catégorie de données | Durée de conservation | Justification |
|---|---|---|
| Données du compte utilisateur | Durée de la relation contractuelle + 3 ans | Prescription civile de droit commun (art. 2224 C. civil) |
| Données de progression / certifications | Durée de la relation + 5 ans | Valeur probatoire des certifications délivrées |
| Données de paiement / facturation | 10 ans à compter de la clôture de l'exercice | Obligation légale comptable (art. L.123-22 C. commerce) |
| Logs de connexion / sécurité | 1 an | Exigence légale (art. L.34-1 CPCE) et bonnes pratiques ANSSI |
| Données après suppression du compte | Anonymisation immédiate | Droit à l'effacement (art. 17 RGPD) |
CyberSecure Academy peut partager vos données avec les sous-traitants et partenaires strictement nécessaires à la fourniture du service :
| Sous-traitant | Rôle | Pays / Localisation | Garanties |
|---|---|---|---|
| Supabase, Inc. | Hébergement base de données, authentification | États-Unis (siège) / UE — Francfort, Allemagne | DPA signé, Clauses Contractuelles Types UE |
| Stripe Payments Europe Ltd | Traitement des paiements | Irlande (UE) | DPA signé, certification PCI DSS Level 1 |
| OVH SAS | Hébergement des fichiers statiques du site | France | DPA signé, données en France |
Ces sous-traitants agissent exclusivement sur instruction de CyberSecure Academy et ne peuvent utiliser vos données à des fins propres. Ils sont liés par des contrats de traitement de données conformes au RGPD.
CyberSecure Academy ne vend, ne loue et ne cède aucune donnée personnelle à des tiers à des fins commerciales.
Supabase Inc. est basé aux États-Unis. Cependant, les données des utilisateurs européens sont hébergées dans le datacenter de Francfort (Allemagne — UE). Les transferts résiduels vers les États-Unis (logs, support) sont encadrés par les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne, conformément à l'article 46 du RGPD.
Les données traitées par Stripe sont localisées dans l'Union européenne (Irlande), conformément à la réglementation applicable aux établissements de paiement.
Conformément au RGPD (articles 15 à 22), vous disposez des droits suivants sur vos données personnelles :
Droit d'accès (art. 15)
Obtenir la confirmation que vos données sont traitées et en recevoir une copie.
Droit de rectification (art. 16)
Faire corriger vos données inexactes ou incomplètes.
Droit à l'effacement (art. 17)
Demander la suppression de vos données dans les conditions légales.
Droit à la limitation (art. 18)
Demander la suspension temporaire d'un traitement contesté.
Droit à la portabilité (art. 20)
Recevoir vos données dans un format structuré et lisible par machine.
Droit d'opposition (art. 21)
Vous opposer à un traitement fondé sur l'intérêt légitime.
Droit de ne pas faire l'objet d'une décision automatisée (art. 22)
Ne pas être soumis à une décision basée exclusivement sur un traitement automatisé.
Retrait du consentement
Retirer votre consentement à tout moment, sans affecter la licéité des traitements antérieurs.
Comment exercer vos droits :
Adressez votre demande par email à contact@cybersecureacademy.fr, en précisant votre identité et le droit que vous souhaitez exercer. CyberSecure Academy s'engage à y répondre dans un délai d'un mois (pouvant être prolongé de deux mois supplémentaires en cas de demande complexe).
Si vous estimez que le traitement de vos données ne respecte pas le RGPD, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.
7.1 Cookies strictement nécessaires (exemptés de consentement)
| Nom du cookie | Émetteur | Finalité | Durée |
|---|---|---|---|
| sb-access-token | Supabase | Maintien de la session authentifiée (JWT) | Session |
| sb-refresh-token | Supabase | Renouvellement silencieux de la session | 7 jours |
Ces cookies sont strictement nécessaires au fonctionnement du service d'authentification. Ils ne peuvent être refusés sans rendre impossible la connexion à votre compte.
7.2 Absence de cookies analytics ou publicitaires
CyberSecure Academy n'utilise pas, à ce jour, de cookies à des fins analytiques (Google Analytics, etc.) ni de cookies publicitaires ou de ciblage. Si cette pratique devait évoluer, les utilisateurs en seraient informés et leur consentement serait recueilli conformément aux recommandations de la CNIL (délibération n° 2020-091).
CyberSecure Academy met en œuvre des mesures techniques et organisationnelles adaptées pour protéger vos données personnelles contre toute perte, accès non autorisé, divulgation, altération ou destruction :
En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, CyberSecure Academy s'engage à notifier la CNIL dans les 72 heures conformément à l'article 33 du RGPD, et à vous en informer directement si le risque est élevé (art. 34 RGPD).
CyberSecure Academy se réserve le droit de modifier la présente politique de confidentialité à tout moment, notamment en cas d'évolution de la réglementation, de nos pratiques ou de nos services. La date de dernière mise à jour est indiquée en en-tête du document.
En cas de modification substantielle, les utilisateurs inscrits seront informés par email dans un délai raisonnable avant l'entrée en vigueur des modifications. La poursuite de l'utilisation de la Plateforme après notification vaut acceptation de la politique modifiée.