Quelles informations nous obtenons

L'inscription à nos formations déclenche la capture de plusieurs catégories d'informations. Votre prénom, nom de famille et adresse électronique constituent le socle minimal – sans ces éléments, nous ne pouvons ni vous identifier dans nos systèmes ni vous transmettre les supports pédagogiques.

Lorsque vous complétez votre profil d'apprenant, des détails complémentaires émergent : votre numéro de téléphone facilite les relances administratives urgentes, votre adresse postale permet l'envoi de certificats papier si vous en faites la demande. Ces données dites "étendues" restent optionnelles pour la majorité de nos programmes en ligne.

Informations liées au paiement

Les transactions financières génèrent des traces spécifiques. Nous enregistrons les montants versés, les dates de règlement et les références bancaires partielles (quatre derniers chiffres de votre carte uniquement). Les données complètes de paiement transitent directement vers nos prestataires bancaires certifiés – kalystrenov n'accède jamais aux numéros de carte complets ni aux codes de sécurité.

Données d'apprentissage et de progression

Votre parcours pédagogique laisse des empreintes numériques. Les modules visionnés, les quiz complétés, les recettes téléchargées, les temps de connexion – tous ces indicateurs nous aident à mesurer votre engagement et à adapter nos contenus. Si vous participez aux forums de discussion, vos publications et commentaires rejoignent cette catégorie.

Informations techniques automatiques

Votre appareil communique avec nos serveurs et divulgue certaines caractéristiques techniques : le type de navigateur utilisé, le système d'exploitation, l'adresse IP attribuée par votre fournisseur d'accès. Ces métadonnées permettent d'optimiser l'affichage de notre plateforme et de détecter les tentatives d'accès non autorisées.

La finalité de chaque collecte

Aucune donnée ne circule sans raison d'être. Voici comment nous justifions chaque catégorie d'information retenue.

Certaines utilisations répondent à des obligations légales françaises : conservation des données de facturation pendant dix ans pour les contrôles fiscaux, déclaration des formations éligibles au CPF auprès des autorités compétentes. D'autres utilisations dépendent de votre consentement explicite – notamment l'envoi de nos newsletters mensuelles avec recettes exclusives et offres promotionnelles.

Comment nous travaillons avec vos données

Le traitement quotidien de vos informations implique plusieurs opérations distinctes. Notre équipe pédagogique consulte vos résultats aux quiz pour identifier les notions mal assimilées et ajuster le contenu des sessions suivantes. Le service administratif vérifie la validité de vos coordonnées avant l'envoi des attestations de fin de formation.

Les opérations automatisées jouent un rôle croissant. Un algorithme analyse vos préférences culinaires déclarées et les corrèle avec votre historique de visionnage pour suggérer des modules complémentaires. Un autre système déclenche l'envoi d'emails de relance si vous n'avez pas progressé dans votre parcours depuis quinze jours.

Qui accède à quoi en interne

L'accès aux données personnelles suit une logique stricte de besoin professionnel. Les formateurs voient vos noms et prénoms dans les listes de participants, mais n'accèdent pas à vos coordonnées bancaires. Le responsable comptable consulte vos informations de facturation sans pouvoir lire vos commentaires sur les forums. Notre responsable pédagogique dispose d'une vue d'ensemble incluant progression et coordonnées de contact, nécessaire pour le suivi individualisé.

Chaque membre de l'équipe kalystrenov signe un engagement de confidentialité lors de son arrivée. Les violations de cette règle entraînent des sanctions disciplinaires pouvant aller jusqu'au licenciement.

Transferts vers des entités externes

Certaines fonctions essentielles nécessitent l'intervention de prestataires spécialisés basés en France ou dans l'Union européenne.

• Hébergement technique : Nos serveurs appartiennent à un datacenter français certifié ISO 27001, situé en région parisienne. Cet hébergeur accède aux données stockées uniquement dans le cadre d'opérations de maintenance programmées.
• Traitement des paiements : Les transactions bancaires passent par un établissement de paiement agréé par l'ACPR. Ce partenaire reçoit vos coordonnées de facturation et références de carte le temps de valider l'opération, puis les supprime selon ses propres règles de conservation réglementaire.
• Envoi des emails : Un service externe de routage gère l'acheminement de nos communications pédagogiques. Il stocke temporairement vos adresses email et noms pour personnaliser les messages, mais ne peut les utiliser à d'autres fins.
• Plateforme vidéo : Nos contenus vidéo sont hébergés chez un fournisseur spécialisé qui collecte des statistiques de visionnage anonymisées pour mesurer la performance de diffusion.

Chaque prestataire signe un contrat de sous-traitance conforme au RGPD, définissant précisément les opérations autorisées et interdisant toute utilisation commerciale indépendante. Nous vérifions annuellement leurs pratiques de sécurité via des audits documentaires.

Durées de conservation et suppression

Vos données ne restent pas indéfiniment dans nos systèmes. La durée de rétention varie selon la nature de l'information et sa fonction.

Données de compte actif

Tant que vous suivez activement une formation ou consultez régulièrement votre espace, vos informations de profil demeurent accessibles. Nous considérons un compte comme actif si vous vous êtes connecté au cours des vingt-quatre derniers mois.

Comptes inactifs

Passé ce délai de deux ans sans connexion, nous vous contactons par email pour vérifier votre souhait de conserver votre compte. Sans réponse de votre part dans les trois mois suivant cet avertissement, votre compte passe en archive. Les données d'identité et de progression sont alors anonymisées – votre nom devient une référence numérique aléatoire, votre email est remplacé par un identifiant technique. Seules les statistiques globales d'apprentissage sont conservées à des fins d'amélioration pédagogique.

Données de facturation

La réglementation comptable française impose la conservation des factures et justificatifs associés pendant dix ans à compter de la clôture de l'exercice. Vos informations de paiement restent donc archivées durant cette période, même si vous supprimez votre compte. Ces archives sont isolées dans un environnement sécurisé avec accès restreint au responsable comptable.

Déclencheurs de suppression anticipée

Certaines situations accélèrent l'effacement. Si vous exercez votre droit à l'oubli (détaillé plus loin), nous supprimons immédiatement toutes les données non soumises à obligation légale de conservation. Un remboursement intégral de votre formation entraîne l'annulation complète de votre inscription et la suppression de vos données d'apprentissage dans les trente jours.

Sécurité et protection contre les risques

Nos mesures de sécurité mêlent protections techniques, procédures organisationnelles et vigilance humaine.

Protections techniques

• Chiffrement des données en transit : toutes les communications entre votre navigateur et nos serveurs utilisent le protocole HTTPS avec certificat TLS 1.3 minimum.
• Chiffrement au repos : les bases de données contenant vos informations personnelles sont stockées sous forme chiffrée avec clés de déchiffrement séparées physiquement.
• Authentification renforcée : votre mot de passe subit un hachage avec sel aléatoire avant stockage. Nous n'avons aucun moyen de connaître votre mot de passe en clair.
• Pare-feu applicatif : un système de détection d'intrusion analyse le trafic entrant pour bloquer les tentatives d'injection SQL et autres attaques courantes.
• Sauvegardes quotidiennes : copies automatiques de nos bases de données conservées pendant trente jours dans un datacenter distinct.

Procédures organisationnelles

L'équipe kalystrenov applique des règles strictes de gestion des accès. Chaque collaborateur dispose d'identifiants personnels avec droits limités à ses responsabilités. Les sessions de travail expirent automatiquement après quinze minutes d'inactivité. Les opérations sensibles (modification de données de facturation, accès aux logs de connexion) génèrent des traces d'audit horodatées et nominatives.

Nos locaux du Mans bénéficient d'un contrôle d'accès physique par badge. Les documents imprimés contenant des données personnelles sont détruits par broyeur confidentiel en fin de journée.

Limites inhérentes

Malgré ces dispositifs, aucun système informatique n'offre une sécurité absolue. Les risques résiduels incluent : compromission d'un compte de collaborateur par hameçonnage, exploitation d'une faille de sécurité non corrigée dans un logiciel tiers que nous utilisons, défaillance matérielle du datacenter entraînant une perte temporaire d'accès aux sauvegardes.

En cas de violation de données susceptible d'engendrer un risque élevé pour vos droits et libertés, nous vous alertons par email dans les soixante-douze heures suivant la découverte de l'incident, conformément à l'article 34 du RGPD.

Vos prérogatives sur vos données

Le RGPD vous confère plusieurs droits exercables auprès de kalystrenov. Voici comment chacun fonctionne concrètement dans notre contexte éducatif.

Droit d'accès et de portabilité

Vous pouvez demander une copie exhaustive de toutes les informations vous concernant stockées dans nos systèmes. Nous préparons un export au format CSV ou PDF listant : données de profil, historique de connexions, modules suivis avec dates et scores, échanges avec notre support pédagogique, factures émises.

Ce dossier vous est transmis par email sécurisé sous trente jours maximum, gratuitement pour la première demande. Les demandes répétées dans un intervalle de six mois peuvent donner lieu à facturation des frais administratifs réels (plafonné à 25 euros).

Le droit à la portabilité s'applique aux données que vous avez fournies directement et qui sont traitées sur base contractuelle ou de votre consentement. Vous pouvez récupérer ces informations dans un format structuré et lisible par machine (JSON) pour les transférer vers un autre organisme de formation.

Droit de rectification

Des coordonnées erronées ou obsolètes ? Connectez-vous à votre espace personnel – la section "Mon profil" vous permet de modifier directement votre adresse postale, numéro de téléphone et préférences de contact. Les changements prennent effet immédiatement.

Pour corriger votre nom légal ou votre date de naissance (utilisés pour l'émission des certificats), contactez-nous avec un justificatif d'identité. Notre équipe administrative valide manuellement ces modifications sensibles sous cinq jours ouvrés.

Droit d'opposition et de limitation

Vous pouvez vous opposer à certains traitements fondés sur notre intérêt légitime – notamment la réception de nos newsletters et communications commerciales. Un lien de désinscription figure au bas de chaque email marketing. L'effet est immédiat mais n'affecte pas les communications pédagogiques liées à votre formation en cours (rappels de sessions, mises à jour de programme).

La limitation du traitement gèle temporairement l'utilisation de certaines données le temps de vérifier leur exactitude ou la légitimité de leur conservation. Utile si vous contestez l'exactitude d'informations vous concernant et que notre vérification prend du temps.

Droit à l'effacement

Plusieurs situations légitiment une demande de suppression totale : vous retirez votre consentement initial et aucun autre fondement juridique ne justifie la conservation, vos données ont été collectées illégalement, une obligation légale européenne ou française impose leur effacement.

Ce droit connaît des limites. Nous ne pouvons supprimer vos données de facturation durant les dix années de conservation comptable obligatoire. Si vous avez publié des messages sur nos forums de discussion, nous anonymisons ces contributions plutôt que de les supprimer pour préserver la cohérence des fils de discussion.

Après validation de votre demande, la suppression effective prend entre sept et quinze jours – le temps que les différents systèmes (base principale, sauvegardes, cache) se synchronisent.

Droit de retrait du consentement

Lorsqu'un traitement repose exclusivement sur votre accord préalable, vous pouvez le retirer à tout moment. Le retrait ne remet pas en cause la licéité des opérations effectuées avant cette révocation, mais stoppe immédiatement les utilisations futures.

Concrètement : si vous aviez accepté que nous partagions votre progression avec des employeurs partenaires dans le cadre d'un dispositif de recrutement, vous pouvez annuler cette autorisation via votre espace personnel. Vos données ne seront plus transmises aux prochaines entreprises rejoignant le programme, mais les diffusions antérieures restent valides.

Fondements juridiques et conformité

Chaque traitement de données personnelles doit s'appuyer sur une base légale définie par le RGPD. kalystrenov mobilise principalement trois fondements selon les situations.

Exécution du contrat

Votre inscription à une formation crée un lien contractuel entre vous et kalystrenov. Le traitement de vos données d'identité, de contact et de progression découle directement de l'exécution de ce contrat – nous ne pourrions vous délivrer la prestation pédagogique sans ces informations. Cette base légale couvre également la gestion de votre accès à la plateforme et l'émission de votre certificat final.

Obligations légales

Plusieurs règles françaises et européennes imposent certains traitements. La conservation décennale des pièces comptables répond aux exigences du Code de commerce. La déclaration des formations professionnelles auprès de la Direccte relève de notre obligation d'organisme certifié Qualiopi. Les contrôles de cohérence des financements CPF nous sont imposés par la Caisse des Dépôts.

Ces traitements ne nécessitent pas votre consentement – ils constituent des impératifs réglementaires auxquels kalystrenov ne peut se soustraire sous peine de sanctions administratives.

Intérêt légitime et consentement

Certaines utilisations reposent sur notre intérêt légitime d'entreprise, équilibré avec vos droits fondamentaux. L'analyse statistique anonymisée de vos parcours d'apprentissage pour améliorer nos méthodes pédagogiques relève de cette catégorie. La détection de connexions suspectes depuis des pays inhabituels pour protéger votre compte également.

D'autres opérations requièrent votre accord explicite préalable : prospection commerciale par email, participation à des études de satisfaction détaillées, publication de votre témoignage avec photo sur notre site. Ces consentements sont recueillis via des cases à cocher non pré-cochées, avec une formulation claire et un mécanisme de retrait simple.

Évolutions et actualisation

Cette politique de confidentialité n'est pas figée. Plusieurs facteurs peuvent déclencher une révision.

Les modifications légales ou réglementaires – adoption d'un nouveau règlement européen, décision de justice créant un précédent, recommandation de la CNIL – nous contraignent à ajuster nos pratiques et donc cette documentation. L'évolution de nos services pédagogiques peut aussi générer des changements : lancement d'une application mobile qui collecterait des données de géolocalisation avec votre accord, partenariat avec une nouvelle plateforme externe nécessitant un transfert de données.

Notification des changements significatifs

Les ajustements mineurs (corrections typographiques, clarifications rédactionnelles, mise à jour de coordonnées) interviennent sans notification particulière. La nouvelle version s'applique dès sa publication sur notre site, avec actualisation de la date en en-tête.

Les modifications substantielles affectant vos droits ou créant de nouveaux traitements vous sont signalées par email au moins quinze jours avant leur entrée en vigueur. Ce délai vous permet de prendre connaissance des changements et, si vous le souhaitez, d'exercer votre droit d'opposition ou de suppression avant l'application des nouvelles dispositions.

Nous conservons un historique des versions successives de cette politique, consultable sur demande auprès de notre délégué à la protection des données.

Mineurs et capacité juridique

Nos formations s'adressent principalement à un public adulte. Si vous avez moins de dix-huit ans et souhaitez vous inscrire, le consentement d'un titulaire de l'autorité parentale est indispensable.

Le parent ou tuteur légal doit créer le compte en son nom propre, indiquer qu'il agit pour le compte d'un mineur, et fournir son propre consentement aux traitements de données. Nous ne collectons pas délibérément d'informations personnelles auprès d'enfants de moins de quinze ans sans validation parentale préalable, conformément à l'article 8 du RGPD tel qu'appliqué en France.

Si nous découvrons qu'un mineur s'est inscrit sans autorisation parentale, nous suspendons immédiatement son compte et contactons les responsables légaux via les coordonnées fournies. Les données sont supprimées si l'autorisation n'est pas régularisée sous trente jours.