1. Engagement et cadre légal
MIBsoft accorde une importance majeure à la protection des données personnelles et s'engage à respecter :
- Le Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») ;
- La loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
- Les recommandations et lignes directrices de la CNIL et du Comité européen de la protection des données (CEPD).
2. Rôles de MIBsoft
MIBsoft intervient à un double titre selon la nature des données :
2.1 Responsable de traitement
MIBsoft est responsable de traitement pour :
- Les données des prospects et visiteurs du site (formulaires de contact, newsletter, démos) ;
- Les données des comptes administrateurs des centres clients (gestion contractuelle, facturation, support) ;
- Les données techniques (logs de connexion, métriques de performance) ;
- Les données comptables liées aux factures.
2.2 Sous-traitant
MIBsoft agit en qualité de sous-traitant au sens de l'article 28 du RGPD pour :
- Les données des formateurs créées par les centres clients ;
- Les données des stagiaires (identité, scores, présences, résultats QCM) ;
- Les contenus pédagogiques propres au centre.
Pour ces traitements, le centre de formation est responsable de traitement et un Data Processing Agreement (DPA) encadre la sous-traitance.
3. Données collectées et finalités
3.1 Données de compte (centre, formateur, stagiaire)
| Données | Finalité | Base légale |
|---|---|---|
| Nom, prénom, email professionnel | Identification, communication | Exécution du contrat |
| Mot de passe (haché bcrypt/argon2) | Authentification sécurisée | Exécution du contrat |
| Rôle (admin, formateur, stagiaire) | Autorisation d'accès | Exécution du contrat |
| Centre de rattachement | Cloisonnement multi-tenant | Exécution du contrat |
3.2 Données d'usage pédagogique
| Données | Finalité | Base légale |
|---|---|---|
| Scores QCM, temps de réponse, historique | Suivi pédagogique, statistiques | Exécution du contrat |
| Présences aux sessions | Traçabilité Qualiopi (centre) | Obligation légale du centre |
| Réponses aux QCM | Évaluation continue | Exécution du contrat |
| Photos optionnelles (Patrol, ID) | Identification ronde / examen | Consentement / intérêt légitime |
3.3 Données de paiement et facturation
| Données | Finalité | Base légale |
|---|---|---|
| Raison sociale, SIRET, adresse facturation | Édition des factures | Obligation légale |
| Montant, mode de paiement, statut | Comptabilité, recouvrement | Obligation légale |
| Token Stripe (PAS de carte stockée chez nous) | Prélèvement récurrent | Exécution du contrat |
| RIB (pour prélèvement SEPA, le cas échéant) | Paiement | Exécution du contrat |
3.4 Données de support et contact
| Données | Finalité | Base légale |
|---|---|---|
| Email, téléphone, message, pièces jointes | Traitement de la demande | Intérêt légitime / contrat |
| Métadonnées (date, ticket, statut) | Suivi qualité support | Intérêt légitime |
3.5 Données techniques et logs
| Données | Finalité | Base légale |
|---|---|---|
| Adresse IP, user-agent, horodatage | Sécurité, détection d'intrusion | Intérêt légitime (sécurité) |
| Logs Supabase (requêtes DB anonymisées) | Diagnostic technique | Intérêt légitime |
| Métriques de performance (Vercel) | Optimisation du service | Intérêt légitime |
4. Durées de conservation
| Catégorie | Durée active | Archivage |
|---|---|---|
| Compte actif (toutes données) | Durée du contrat | — |
| Données après résiliation | 30 jours (réversibilité) | Purge totale |
| Factures et comptabilité | 10 ans | Obligation L. 123-22 C. com. |
| Sauvegardes techniques (PITR) | 7 jours | Effacement automatique |
| Logs de connexion | 1 an | Anonymisation puis purge |
| Tickets support | 3 ans après dernier échange | Suppression |
| Prospects (CRM) | 3 ans après dernier contact | Suppression |
| Newsletter | Jusqu'à désinscription + 6 mois | Suppression |
5. Destinataires des données
Les données sont accessibles, dans la stricte limite de leurs missions, à :
- Les salariés et prestataires habilités de MIBsoft (support, équipe technique, comptabilité) ;
- Les sous-traitants techniques listés sur la page sous-traitants ;
- Les autorités administratives ou judiciaires en cas de réquisition légale.
Aucune donnée n'est vendue, louée ni cédée à des fins commerciales à des tiers.
6. Transferts hors Union européenne
Les données sont hébergées en Union européenne (Supabase — Frankfurt, Allemagne). Toutefois, certains sous-traitants ont leur siège hors UE :
- Stripe Payments Europe Ltd (Irlande, UE) — traitement principal en UE ; pas de transfert sortant pour les paiements européens ;
- Vercel Inc. (USA) — frontend, possible transit de logs techniques ;
- Resend (USA) — métadonnées d'envoi d'emails transactionnels ;
- GitHub Inc. (USA / Microsoft) — code source uniquement, pas de données clients ;
- Google Fonts (USA) — pas de cookie ni de profilage.
Ces transferts sont encadrés par les Clauses Contractuelles Types de la Commission européenne (décision UE 2021/914 du 4 juin 2021) et, le cas échéant, par l'adhésion au cadre EU-US Data Privacy Framework (DPF).
7. Sécurité des données
MIBsoft met en œuvre des mesures techniques et organisationnelles adaptées (voir PSSI), notamment :
- Chiffrement TLS 1.3 en transit, AES-256 au repos ;
- Authentification renforcée (Supabase Auth, hachage des mots de passe argon2/bcrypt) ;
- Isolation multi-tenants par Row Level Security (PostgreSQL) ;
- Sauvegardes Point-In-Time Recovery 7 jours ;
- Journalisation et détection d'anomalies ;
- Sensibilisation et habilitation du personnel ;
- Procédure de gestion des incidents (voir procédure incidents).
8. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Droit d'accès aux données vous concernant ;
- Droit de rectification des données inexactes ou incomplètes ;
- Droit à l'effacement (« droit à l'oubli ») dans les conditions de l'article 17 ;
- Droit à la limitation du traitement ;
- Droit à la portabilité de vos données dans un format structuré, couramment utilisé et lisible par machine ;
- Droit d'opposition pour les traitements fondés sur l'intérêt légitime ;
- Droit de retirer votre consentement à tout moment pour les traitements qui en dépendent ;
- Droit de définir des directives relatives au sort de vos données après votre décès (article 85 loi Informatique et Libertés).
9. Comment exercer vos droits
Pour exercer vos droits, vous pouvez :
- Adresser un email à dpo@mibsoft.fr ;
- Envoyer un courrier postal à : MIBsoft — DPO —
[À COMPLÉTER : adresse]; - Pour les stagiaires et formateurs, contacter d'abord votre centre de formation (responsable de traitement).
Une réponse vous sera apportée dans un délai d'un mois à compter de la réception de votre demande (extensible à 3 mois en cas de complexité ou de demandes multiples, conformément à l'article 12 du RGPD). Une pièce d'identité pourra être demandée en cas de doute raisonnable sur votre identité.
[À COMPLÉTER : nom du DPO ou mention « DPO externalisé »]Contact : dpo@mibsoft.fr
10. Réclamation auprès de la CNIL
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL) :
- Adresse : 3 place de Fontenoy, TSA 80715, 75334 Paris cedex 07
- Téléphone : 01 53 73 22 22
- Site : www.cnil.fr/fr/plaintes
11. Modifications de la politique
Cette politique peut être mise à jour pour refléter des évolutions techniques, légales ou organisationnelles. La date de dernière mise à jour figure en tête de document. Les modifications substantielles font l'objet d'une notification spécifique par email.