Document RGPD — Article 30
Registre des activités de traitement
Registre tenu par MIBsoft en application de l'article 30 du RGPD, recensant l'ensemble des traitements de données à caractère personnel mis en œuvre.
Version : 1.0 — Projet
Dernière mise à jour : Mai 2026
Statut : À valider par avocat
Coordonnées du responsable de traitement
- Raison sociale :
[À COMPLÉTER]
- Adresse :
[À COMPLÉTER]
- DPO / Référent RGPD :
[À COMPLÉTER] — dpo@mibsoft.fr
Note méthodologique : ce registre couvre les traitements pour lesquels MIBsoft est responsable de traitement. Pour les traitements où MIB agit en sous-traitant (données stagiaires / formateurs créés par les centres), le registre est tenu en application de l'article 30 §2 RGPD et fourni sur demande aux Clients.
Fiche n° 1 — Gestion des comptes centre de formation
| Responsable | MIBsoft |
| Finalité | Gestion contractuelle, ouverture, suivi et clôture des comptes administrateurs des centres clients |
| Base légale | Exécution du contrat (art. 6.1.b RGPD) |
| Catégories de personnes | Représentants légaux et administrateurs des centres de formation |
| Catégories de données | Identité (nom, prénom, fonction), contact pro (email, téléphone), entreprise (raison sociale, SIRET, adresse) |
| Destinataires | Équipe MIBsoft (commercial, support, comptabilité), hébergeurs sous-traitants (Supabase, Vercel) |
| Transferts hors UE | Aucun pour la donnée principale (Frankfurt). Métadonnées Vercel : USA — SCC + DPF |
| Durée de conservation | Durée du contrat + 3 ans (prescription commerciale) |
| Mesures de sécurité | RLS, chiffrement, MFA recommandé, journalisation |
Fiche n° 2 — Comptes formateurs (sous-traitance)
| Rôle MIB | Sous-traitant (le responsable est le centre de formation employeur) |
| Finalité | Hébergement et mise à disposition d'une interface de gestion pédagogique pour les formateurs |
| Catégories de personnes | Formateurs salariés ou indépendants des centres clients |
| Catégories de données | Identité, email pro, rôle, sessions animées, statistiques personnelles d'usage |
| Destinataires | Administrateur du centre, équipe support MIB (sur demande explicite) |
| Transferts hors UE | Aucun (Supabase Frankfurt) |
| Durée de conservation | Durée du contrat centre + 30 jours (réversibilité) |
| Mesures de sécurité | RLS multi-tenants par centre, journalisation des actions, chiffrement |
Fiche n° 3 — Comptes stagiaires (sous-traitance)
| Rôle MIB | Sous-traitant (le responsable est le centre de formation organisateur de la session) |
| Finalité | Participation aux modules pédagogiques (QCM, Quiz Salle, Challenge Cup, SSI), suivi de progression, traçabilité des présences |
| Catégories de personnes | Stagiaires SSIAP 1, 2, 3 inscrits par les centres |
| Catégories de données | Identité (nom, prénom), email, pseudo Challenge Cup, scores QCM, présences, temps de réponse, photo de profil (optionnelle) |
| Destinataires | Formateurs et administrateur du centre concerné uniquement (isolation RLS) |
| Transferts hors UE | Aucun (Supabase Frankfurt) |
| Durée de conservation | Durée de la formation + 3 ans (cohérence Qualiopi) — réversibilité 30 jours après fin contrat centre |
| Mesures de sécurité | Isolation par centre, pseudo possible sur Challenge Cup, chiffrement |
Fiche n° 4 — Paiements et facturation
| Responsable | MIBsoft |
| Finalité | Encaissement des abonnements, édition des factures, suivi des paiements, recouvrement, comptabilité |
| Base légale | Exécution du contrat (art. 6.1.b) et obligation légale comptable (art. 6.1.c — L. 123-22 C. com.) |
| Catégories de personnes | Représentants des centres clients ayant la responsabilité financière |
| Catégories de données | Identité, contact, raison sociale, SIRET, adresse de facturation, montant, mode de paiement, statut, token Stripe (pas de CB stockée) |
| Destinataires | Comptabilité MIB, Stripe (paiement), expert-comptable, autorités fiscales sur réquisition |
| Transferts hors UE | Stripe : traitement principal en UE (Irlande) |
| Durée de conservation | 10 ans à compter de la clôture de l'exercice (article L. 123-22 C. com. et L. 102 B LPF) |
| Mesures de sécurité | Tokenisation Stripe, pas de stockage CB, accès limité comptabilité |
Fiche n° 5 — Support utilisateurs et contact
| Responsable | MIBsoft |
| Finalité | Traitement des demandes de support, réponse aux questions commerciales, suivi qualité |
| Base légale | Exécution du contrat / intérêt légitime à répondre aux demandes |
| Catégories de personnes | Utilisateurs ayant contacté le support, prospects |
| Catégories de données | Identité, email, contenu du message, pièces jointes éventuelles, historique d'échanges |
| Destinataires | Équipe support MIBsoft |
| Transferts hors UE | Resend (USA) pour notifications email — SCC + DPF |
| Durée de conservation | 3 ans à compter du dernier échange (prescription) |
| Mesures de sécurité | Outil interne ou helpdesk sécurisé, accès limité |
Fiche n° 6 — Journalisation et logs techniques
| Responsable | MIBsoft |
| Finalité | Détection d'incidents de sécurité, audit, diagnostic technique, lutte contre la fraude et l'abus |
| Base légale | Intérêt légitime (sécurité du SI — art. 6.1.f), obligation légale (LCEN art. 6 II — conservation 1 an des données de connexion) |
| Catégories de personnes | Tous utilisateurs du service |
| Catégories de données | Adresse IP, user-agent, horodatage, action effectuée, ressource consultée, code de réponse HTTP |
| Destinataires | Équipe technique MIB, hébergeur (Supabase, Vercel) |
| Transferts hors UE | Logs Vercel : USA — SCC + DPF |
| Durée de conservation | 1 an (conformément aux exigences LCEN), puis purge ou anonymisation |
| Mesures de sécurité | Logs en lecture seule, accès restreint aux administrateurs, alerting automatique |
Fiche n° 7 — Prospection commerciale (optionnel)
| Responsable | MIBsoft |
| Finalité | Prospection commerciale B2B auprès de centres de formation cibles, suivi opportunités |
| Base légale | Intérêt légitime (prospection B2B sur emails professionnels nominatifs, dispensée de consentement — art. L. 34-5 CPCE) |
| Catégories de personnes | Représentants de centres de formation prospects |
| Catégories de données | Nom, prénom, fonction, email pro, téléphone pro, centre employeur |
| Destinataires | Équipe commerciale MIB |
| Transferts hors UE | Aucun (CRM hébergé en UE) |
| Durée de conservation | 3 ans à compter du dernier contact |
| Droit d'opposition | Lien de désinscription dans chaque email et email dpo@mibsoft.fr |
Mise à jour du registre
Le présent registre est revu et mis à jour :
- À chaque création ou modification substantielle d'un traitement ;
- À chaque ajout ou retrait de sous-traitant ultérieur ;
- Au minimum une fois par an dans le cadre d'une revue annuelle de conformité.
Le registre est tenu à la disposition de la CNIL en cas de contrôle, conformément à l'article 30.4 du RGPD.