Politique de confidentialité

Protection de vos données personnelles

Cette page explique comment École Gustave collecte, utilise et protège vos données personnelles, conformément au Règlement Général sur la Protection des Données (RGPD — UE 2016/679).

Dernière mise à jour : avril 2026

Sommaire

Responsable du traitement
Données collectées
Finalités et bases légales
Durée de conservation
Sécurité des données
Vos droits (RGPD)
Cookies et stockage local
Partage des données
Contact & DPO

🏢

1. Responsable du traitement

Qui est responsable de vos données ?

Information	Détail
Organisme	École Gustave
Forme juridique	Organisme de formation
Activité	Formation professionnelle, apprentissage, CFA
Pays	France (Union Européenne)
Hébergement des données	Cloudflare (infrastructure UE/US) — données chiffrées en transit et au repos

📋

2. Données collectées

Quelles données sont traitées et pourquoi ?

Catégorie	Données	Concerne
Identité	Nom, prénom, identifiant de connexion	Tous
Contact	Adresse e-mail professionnelle, téléphone mobile	Tous
Profil professionnel	Poste, département, campus, spécialité/formation	Salariés & formateurs
Photo	Photo professionnelle (annuaire interne)	Salariés & formateurs
Données de formation	Promotion, contrat d'apprentissage, présences, résultats	Apprenants
Données entreprise	Coordonnées entreprise, nom du tuteur, informations de contrat	Tuteurs & entreprises
Logs de connexion	Date/heure de connexion, adresse IP, portail utilisé	Tous

⚠️ Données non collectées

Nous ne collectons pas de numéro de sécurité sociale, de données de santé, d'opinions politiques, religieuses ou syndicales, ni aucune donnée dite « sensible » au sens de l'article 9 du RGPD.

🎯

3. Finalités et bases légales

Pourquoi et sur quelle base traitons-nous vos données ?

Finalité	Base légale
Gestion des accès et authentification	Exécution du contrat / intérêt légitime
Suivi pédagogique des apprenants	Obligation légale (Qualiopi, OPCO)
Gestion administrative RH	Exécution du contrat de travail
Annuaire interne (formateurs)	Intérêt légitime (faciliter la communication interne)
Sécurité informatique (logs)	Intérêt légitime (sécurité du système)
Gestion des contrats d'apprentissage	Obligation légale (Code du travail)

⏱️

4. Durée de conservation

Combien de temps conservons-nous vos données ?

Type de données	Durée
Données de compte actif	Pendant toute la durée de la relation (contrat, formation)
Données après fin de relation	3 ans après la dernière interaction (archives)
Données apprenants (diplômes, présences)	10 ans (obligation légale)
Logs de connexion et sécurité	12 mois glissants
Compte supprimé (demande RGPD)	Anonymisation immédiate, traces légales 3 ans maximum

🔒

5. Sécurité des données

Comment protégeons-nous vos données ?

Mesures techniques en place

Chiffrement TLS 1.3 sur toutes les communications réseau (HTTPS forcé)
Mots de passe hashés en PBKDF2-SHA256 avec 100 000 itérations et sel aléatoire unique — aucun mot de passe n'est lisible, même par l'administrateur
Authentification JWT avec tokens à durée courte (15 minutes) et refresh token sécurisé
Protection anti-brute force : blocage automatique après 5 tentatives erronées (15 minutes)
Headers de sécurité HTTP : HSTS, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options
Base de données chiffrée hébergée sur Cloudflare D1 (infrastructure conforme SOC 2)
Logs d'accès à toutes les opérations sensibles (connexions, modifications, suppressions)

Mesures organisationnelles

Accès aux données limité aux rôles strictement nécessaires (principe du moindre privilège)
Séparation des environnements de développement et de production
Revue des accès lors des départs de collaborateurs

⚖️

6. Vos droits RGPD

Art. 15 à 22 du Règlement UE 2016/679

Droit	Description	Comment l'exercer
Art. 15 — Accès	Obtenir une copie de vos données personnelles	Portail → Profil ou e-mail DPO
Art. 16 — Rectification	Corriger des données inexactes ou incomplètes	Portail → Profil (auto-service)
Art. 17 — Effacement	Demander la suppression de vos données (« droit à l'oubli »)	Portail → Profil → Zone de danger, ou e-mail DPO
Art. 18 — Limitation	Suspendre le traitement sans supprimer les données	E-mail DPO
Art. 20 — Portabilité	Exporter vos données dans un format lisible	E-mail DPO (format JSON/CSV)
Art. 21 — Opposition	Vous opposer à un traitement fondé sur l'intérêt légitime	E-mail DPO

🏛️ Droit de réclamation

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr — 3, place de Fontenoy, 75007 Paris.

🍪

7. Cookies et stockage local

Qu'est-ce qui est stocké dans votre navigateur ?

Notre application n'utilise pas de cookies publicitaires ou de traçage. Le stockage navigateur est limité aux éléments strictement nécessaires au fonctionnement :

Clé	Contenu	Durée	Nécessaire ?
`gs_access`	Token JWT d'accès (session)	15 minutes	Oui
`gs_refresh`	Token JWT de rafraîchissement	7 jours	Oui
`gs_user`	Profil utilisateur (nom, rôle, campus)	Session	Oui

💡 Effacer le stockage local

Vous pouvez effacer ces données à tout moment en vous déconnectant, ou via les outils développeurs de votre navigateur (Application → Local Storage → Supprimer).

🤝

8. Partage des données

Avec qui partageons-nous vos données ?

Vos données ne sont pas vendues ni cédées à des tiers. Elles peuvent être partagées uniquement dans les cas suivants :

Cloudflare (sous-traitant technique) — hébergement de l'application et base de données. Cloudflare est certifié ISO 27001, SOC 2 Type II et conforme au RGPD via des clauses contractuelles types (SCCs).
OPCO / organismes de certification — données de formation transmises dans le cadre des obligations légales (Qualiopi, BPF, CERFA).
Autorités publiques — uniquement sur réquisition légale.

🌍 Transferts hors UE

Cloudflare peut traiter certaines données dans des datacenters situés aux États-Unis. Ces transferts sont encadrés par des Clauses Contractuelles Types (CCT) approuvées par la Commission européenne (décision 2021/914).

📧

9. Contact & exercice de vos droits

Comment nous contacter pour vos demandes RGPD ?

Pour toute demande relative à vos données personnelles (accès, rectification, suppression, portabilité…), vous pouvez :

Utiliser l'interface en ligne : Portail → icône utilisateur → Profil → modifier ou supprimer vos données directement
Contacter notre référent RGPD par e-mail (voir ci-dessous)

Délai de réponse : 30 jours maximum conformément à l'article 12 du RGPD (prorogeable une fois en cas de demande complexe).

🛡️

Référent Protection des Données — École Gustave

Pour toute question concernant vos données personnelles ou pour exercer vos droits RGPD, contactez-nous :

rgpd@ecole-gustave.com

Vous pouvez également écrire à :
École Gustave — Service RGPD
France