Politique de Confidentialité et de Gestion des Cookies

ARTICLE 1. PRÉAMBULE ET CADRE JURIDIQUE

La présente Politique de Confidentialité (ci-après la « Politique ») est un document d’information à destination des Utilisateurs et des Membres de la plateforme d’apprentissage en ligne SuperComptable Academy (ci-après désignée la « Plateforme » ou le « Site »), accessible à l’adresse www.academy.super-comptable.fr.

Soucieux du respect de la vie privée de ses Utilisateurs et de la protection des informations qui lui sont transmises, l’Éditeur a mis en place cette Politique afin de décrire en toute transparence les modalités de collecte, de traitement, de conservation et de sécurisation des Données à Caractère Personnel. L’ensemble des traitements de données réalisés par l’Éditeur respecte rigoureusement le cadre légal en vigueur, et notamment :

• Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (le « RGPD »).
• La Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dans sa version modifiée (la « Loi Informatique et Libertés »).
• Les lignes directrices et recommandations de la Commission Nationale de l’Informatique et des Libertés (CNIL), particulièrement concernant l’usage des traceurs et cookies.

En créant un Compte sur SuperComptable Academy, l’Utilisateur déclare avoir pris connaissance de la présente Politique et en accepter les termes.

ARTICLE 2. COORDONNÉES DU RESPONSABLE DE TRAITEMENT

Au sens de l’article 4 point 7 du RGPD, le Responsable de Traitement, qui détermine les finalités et les moyens du traitement des Données à Caractère Personnel, est joignable par le formulaire de contact du site.

• Contact Délégué à la Protection des Données (DPO) ou Référent RGPD : Toute question relative à la gestion de vos données personnelles ou à l’exercice de vos droits peut être adressée par courrier électronique via le formulaire suivant : CONTACT.

ARTICLE 3. CATÉGORIES DE DONNÉES À CARACTÈRE PERSONNEL COLLECTÉES

Le principe de minimisation des données (Article 5.1.c du RGPD) est strictement appliqué par SuperComptable Academy. Seules les données adéquates, pertinentes et limitées à ce qui est strictement nécessaire au regard des finalités pour lesquelles elles sont traitées sont collectées.

Lors de l’utilisation de la Plateforme, le Responsable de Traitement est amené à collecter les catégories de données suivantes :

3.1. Données d’identification et de création de compte :

• Prénom et Nom de famille.
• Adresse de courrier électronique (email) valide.
• Mot de passe (conservé sous forme de condensat cryptographique irréversible – « hachage » et salage – garantissant qu’aucun membre de l’équipe de SuperComptable Academy ne puisse le lire en clair).

3.2. Données pédagogiques, d’apprentissage et de comportement (Cœur du service) :

Pour faire fonctionner l’algorithme « anti-oubli » et la méthode d’apprentissage « en 3 couches », la Plateforme enregistre et analyse en temps réel :

• L’historique de progression dans les différents modules (parcours validés, leçons consultées).
• Les résultats obtenus aux exercices, QCM et cas pratiques (réussites, erreurs, temps de réponse).
• Les points d’expérience (XP) cumulés et la régularité de connexion (streak).
• L’horodatage des sessions d’apprentissage.

3.3. Données de facturation et de transaction (Abonnements Pro) :

• Historique des commandes et formules d’abonnement souscrites (Mensuel ou Annuel).
• Identifiants de transaction fournis par notre prestataire de paiement.
• Mention expresse : Les coordonnées bancaires complètes (numéro de carte de crédit, date d’expiration, cryptogramme visuel CVC) ne sont jamais collectées, stockées ni traitées par l’infrastructure de SuperComptable Academy. Elles sont saisies directement sur les interfaces sécurisées de notre sous-traitant Stripe.

3.4. Données techniques et de navigation (Anonymisées) :

• Adresse IP (anonymisée à la volée avant tout traitement statistique).
• Type et version du navigateur web, système d’exploitation.
• Données de journalisation (logs) d’erreurs et de connexions à des fins de sécurité informatique (prévention des attaques de type force brute et détection des partages illicites de comptes).

ARTICLE 4. FINALITÉS DES TRAITEMENTS ET BASES JURIDIQUES

Conformément à l’article 6 du RGPD, chaque traitement de Données à Caractère Personnel repose sur une base légale valide. Les données de l’Utilisateur sont traitées pour les finalités suivantes :

4.1. Exécution des mesures précontractuelles et du contrat (Art. 6.1.b du RGPD)

Le traitement est objectivement nécessaire pour fournir le service demandé par l’Utilisateur.

• Création, gestion et sécurisation de l’Espace Membre.
• Fourniture du contenu pédagogique et fonctionnement de l’algorithme de répétition espacée. La collecte des résultats aux exercices est contractuellement indispensable pour calculer la courbe de l’oubli de l’Utilisateur et lui proposer des révisions au moment optimal.
• Gestion de la facturation, des encaissements et des résiliations d’Abonnement via le portail client.
• Envoi des emails dits « transactionnels » (réinitialisation du mot de passe, confirmation d’abonnement, factures, notifications de maintenance, alertes pédagogiques nécessaires à la formation).

4.2. Respect d’une obligation légale (Art. 6.1.c du RGPD)

• Conservation des données de facturation et des preuves de transaction numérique afin de répondre aux obligations fiscales et comptables de l’Éditeur (Code de commerce et Code général des impôts).
• Gestion des demandes d’exercice des droits (droit d’accès, d’effacement, etc.).

4.3. Intérêt légitime du Responsable de Traitement (Art. 6.1.f du RGPD)

• Mesure d’audience globale et réalisation de statistiques anonymisées afin d’améliorer la structure des cours et l’ergonomie de la Plateforme (taux de complétion des modules, détection des leçons trop difficiles).
• Lutte contre la fraude, le piratage, l’aspiration de données (scraping) et le partage abusif de comptes personnels.
• Défense des droits de l’Éditeur en cas de litige ou de contentieux.

4.4. Consentement de la personne concernée (Art. 6.1.a du RGPD)

• Envoi de lettres d’information (Newsletters) à caractère commercial ou promotionnel. L’Utilisateur peut retirer son consentement à tout moment en cliquant sur le lien de désinscription systématiquement présent en bas de ces courriels.

ARTICLE 5. DESTINATAIRES DES DONNÉES ET SOUS-TRAITANTS

Vos données ne font l’objet d’aucune vente, location ou cession à des tiers à des fins de monétisation publicitaire. Pour fournir des services de haute qualité et garantir la sécurité des transactions, SuperComptable Academy fait appel à des sous-traitants (au sens de l’article 28 du RGPD) rigoureusement sélectionnés, qui agissent sur instruction documentée de l’Éditeur :

• Stripe (Prestataire de Paiement) : Stripe gère l’intégralité du tunnel de paiement et la sécurisation des données bancaires (certification PCI-DSS). Si Stripe (dont le siège est aux États-Unis) opère des transferts de données hors de l’Espace Économique Européen (EEE), ceux-ci sont encadrés par des Clauses Contractuelles Types (CCT) de la Commission Européenne.
• Brevo, anciennement Sendinblue (Gestion des emails) : Entreprise française souveraine, certifiée conforme au RGPD. Brevo est utilisée pour le routage de nos courriels transactionnels et de nos newsletters. Les données transférées à Brevo (Nom, Email) sont hébergées sur des serveurs sécurisés situés exclusivement au sein de l’Union Européenne.
• o2switch (Hébergement web et bases de données) : Les serveurs hébergeant la Plateforme et la base de données pédagogiques sont situés physiquement en France, garantissant l’application directe de la réglementation européenne.

ARTICLE 6. DURÉES DE CONSERVATION DES DONNÉES

Les Données à Caractère Personnel sont conservées pour la durée strictement nécessaire à l’accomplissement des finalités détaillées à l’Article 4, majorée des délais de prescription légale.

• Données relatives aux Comptes Actifs : Les données d’identification et les données pédagogiques (progression, XP) sont conservées tant que le Compte de l’Utilisateur est actif, afin de lui permettre de reprendre sa formation à tout moment sans perte d’historique.
• Données relatives aux Comptes Inactifs : Conformément aux recommandations de la CNIL, si un Utilisateur ne se connecte pas à son Espace Membre pendant une durée ininterrompue de trois (3) ans, son Compte est considéré comme inactif. Le Responsable de Traitement enverra un email d’avertissement. Sans action de l’Utilisateur, le Compte et l’ensemble des données d’apprentissage associées seront définitivement supprimés ou totalement anonymisés à des fins statistiques.
• Données de facturation (Clients Pro) : Conformément à l’article L.123-22 du Code de commerce, les factures et pièces justificatives de paiement sont conservées sous forme d’archives intermédiaires pendant une durée légale incompressible de dix (10) ans à compter de la clôture de l’exercice comptable.
• Données de prospection commerciale (Newsletter) : Conservées jusqu’au désabonnement de l’Utilisateur ou après une période de trois (3) ans sans ouverture d’email.

ARTICLE 7. SÉCURITÉ ET MESURES DE PROTECTION

Le Responsable de Traitement met en œuvre les mesures techniques, logicielles et organisationnelles appropriées pour protéger les Données Personnelles contre l’altération, la perte accidentelle, la destruction, la divulgation ou l’accès non autorisé par des tiers. Ces mesures incluent notamment :

• L’utilisation systématique du protocole de chiffrement TLS/SSL (HTTPS) sur l’ensemble de la Plateforme.
• Le hachage cryptographique fort des mots de passe.
• Des pare-feux applicatifs (WAF) et des systèmes de détection d’intrusions.
• Des sauvegardes automatisées régulières des bases de données sur des serveurs redondants isolés.

Toutefois, le réseau Internet n’étant pas un environnement infaillible, l’Éditeur ne peut garantir une sécurité absolue. En cas de violation de données présentant un risque élevé pour les droits et libertés des Utilisateurs, l’Éditeur s’engage à notifier la CNIL dans un délai de 72 heures, et à en informer les personnes concernées dans les meilleurs délais (Article 33 et 34 du RGPD).

ARTICLE 8. DROITS DES PERSONNES CONCERNÉES (RGPD)

Conformément aux dispositions du Chapitre III du RGPD et de la Loi Informatique et Libertés, chaque Utilisateur dispose des droits fondamentaux suivants sur ses données personnelles :

• Droit d’accès (Art. 15) : Droit d’obtenir la confirmation que des données vous concernant sont traitées, et d’en obtenir une copie.
• Droit de rectification (Art. 16) : Droit de demander la correction immédiate de données inexactes, incomplètes ou obsolètes (que vous pouvez par ailleurs modifier directement depuis votre « Espace Membre »).
• Droit à l’effacement ou « Droit à l’oubli » (Art. 17) : Droit d’exiger la suppression de vos données de nos systèmes, sauf si une obligation légale (ex: conservation des factures) nous impose de les conserver. Attention, la suppression de votre compte entraînera la perte irrémédiable de votre progression pédagogique et de l’accès à vos abonnements sans remboursement possible.
• Droit à la limitation du traitement (Art. 18) : Droit de demander le gel temporaire de l’utilisation de vos données en cas de contestation sur leur exactitude.
• Droit à la portabilité (Art. 20) : Droit de recevoir les données que vous nous avez fournies dans un format structuré, couramment utilisé et lisible par machine.
• Droit d’opposition (Art. 21) : Droit de vous opposer, pour des raisons tenant à votre situation particulière, à un traitement fondé sur l’intérêt légitime, et droit absolu de vous opposer à la prospection commerciale.

Modalités d’exercice : Pour exercer l’un de ces droits, l’Utilisateur doit adresser sa demande par courrier électronique via le formulaire de CONTACT en précisant l’objet de sa demande et l’adresse email associée à son compte. En cas de doute raisonnable sur l’identité du demandeur, la fourniture d’une copie d’une pièce d’identité pourra être exceptionnellement exigée. Le Responsable de Traitement s’engage à apporter une réponse dans un délai maximum d’un (1) mois à compter de la réception de la demande.

En cas de litige non résolu ou si vous estimez que le traitement de vos données constitue une violation du RGPD, vous avez le droit d’introduire une réclamation auprès de l’autorité de contrôle compétente en France, la Commission Nationale de l’Informatique et des Libertés (CNIL) via son site internet : www.cnil.fr.

ARTICLE 9. POLITIQUE DE GESTION DES COOKIES ET EXEMPTION DE CONSENTEMENT (TRACEURS)

Un « cookie » (ou traceur) est un petit fichier texte informatique déposé et lu sur le terminal de l’Utilisateur (ordinateur, smartphone) lors de la consultation d’un site web.

9.1. Le choix de la protection de la vie privée (Absence de traceurs intrusifs)

SuperComptable Academy a fait le choix éthique de concevoir une plateforme respectueuse de votre vie privée (principe de Privacy by Design). Par conséquent, la Plateforme n’utilise aucun cookie publicitaire, aucun cookie de ciblage marketing, aucun Pixel de réseaux sociaux (Meta/Facebook, TikTok, LinkedIn) et aucun outil d’analyse intrusif nécessitant un profilage inter-sites.

9.2. Les cookies strictement nécessaires au fonctionnement du service (Exemptés)

Nous utilisons exclusivement des cookies de nature technique qui sont strictement indispensables à la délivrance du service de formation expressément demandé par l’Utilisateur. Conformément à l’article 82 de la loi Informatique et Libertés et aux délibérations de la CNIL, ces cookies sont exemptés du recueil de votre consentement préalable (et n’impliquent donc pas l’affichage d’un « bandeau d’acceptation des cookies »). Ils comprennent :

• Les cookies de session utilisateur : Ils permettent de maintenir votre authentification pendant la durée de votre visite, d’accéder à votre espace privé de manière sécurisée et d’enregistrer vos réponses aux exercices sans perte de données.
• Les cookies de sécurité et de gestion de panier (Stripe) : Ces traceurs, déposés par notre partenaire financier Stripe lors du passage en caisse, sont strictement nécessaires pour prévenir les fraudes bancaires, valider la transaction et lier le paiement à votre compte utilisateur.

9.3. La mesure d’audience anonymisée avec WP Analytics (Exemption CNIL)

Afin de comprendre l’utilisation de la Plateforme (statistiques de fréquentation, pages les plus vues, détection d’erreurs 404), nous utilisons l’extension de mesure d’audience WP Analytics (ou tout outil interne équivalent). La configuration stricte de cet outil permet de bénéficier de l’exemption de recueil du consentement définie par la délibération n°2020-091 de la CNIL, car il respecte les conditions cumulatives suivantes :

• L’outil est strictement limité à la mesure de l’audience de notre seul Site, pour notre compte exclusif.
• Il ne permet pas le suivi global de la navigation de l’Utilisateur sur d’autres applications ou sites web.
• Les adresses IP collectées sont immédiatement anonymisées (suppression du dernier octet) empêchant toute géolocalisation précise ou identification d’une personne physique.
• Les données statistiques produites ne sont ni recoupées avec d’autres bases de données, ni transmises à des tiers pour leur propre compte.

Bien que ces outils soient considérés comme respectueux de la vie privée et ne requièrent pas de consentement (pas de bandeau d’acceptation), vous conservez le droit absolu de paramétrer votre navigateur web (Chrome, Firefox, Safari) pour bloquer tous les cookies. Toutefois, une telle configuration rendra impossible la connexion à votre Espace Membre et le suivi de vos cours sur la Plateforme.

ARTICLE 10. MISE À JOUR DE LA POLITIQUE

La présente Politique de Confidentialité peut être modifiée à tout moment, notamment pour se conformer à toute évolution législative, réglementaire, jurisprudentielle ou technique (ajout d’un nouveau sous-traitant). L’Utilisateur est invité à la consulter régulièrement. En cas de modification substantielle impactant les droits de l’Utilisateur, une information claire sera diffusée par courriel ou via une bannière d’information sur la Plateforme.