Politique de confidentialité
Dernière mise à jour : 30 avril 2026
1. Introduction
CertPilot ("nous", "notre", "nos") s'engage à protéger la vie privée des utilisateurs de son service de gestion des formations et habilitations professionnelles.
Cette politique de confidentialité explique comment nous collectons, utilisons, stockons et protégeons vos données personnelles conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés.
2. Responsable du traitement
Pour les données personnelles traitées dans le cadre de la fourniture du service à un Client professionnel, CertPilot agit en qualité de sous-traitantau sens de l'article 28 du RGPD ; le Client (employeur) est responsable du traitement. Pour les données traitées en propre par CertPilot (prospects, comptes, facturation, logs de sécurité), CertPilot est responsable de traitement.
Éditeur : Louis Poulain — Entrepreneur individuel
Exploitant la marque CertPilot
Adresse : 16 Bis Rue d'Auditoire, 50300 Avranches
SIRET : 10392607700019
TVA : non applicable, art. 293B du CGI (franchise en base)
Délégué à la Protection des Données (DPO) : dpo@certpilot.eu
Contact général : contact@certpilot.eu
Délai d'engagement pour répondre à un exercice de droit RGPD : 1 mois maximumconformément à l'article 12 du RGPD, étendu à 2 mois pour les demandes complexes avec information préalable du demandeur.
3. Données collectées
Nous collectons les catégories de données suivantes :
3.1 Données d'identification des employés
- Nom et prénom
- Photo d'identité (optionnelle)
- Poste occupé
- Service / département
- Date d'embauche
- Matricule interne
3.2 Données de formation
- Historique des formations suivies
- Certificats et attestations
- Dates de validité des habilitations
- Besoins de formation identifiés
- Signatures électroniques
3.3 Données liées au Passeport de Prévention
Dans le cadre de l'obligation employeur instaurée par le décret n° 2025-748 du 1er août 2025 (article L4141-5 du Code du travail), les catégories suivantes peuvent être traitées :
- Numéro d'identification au répertoire (NIR) — 13 chiffres, obligatoire pour la déclaration à la plateforme nationale. Stocké sur notre base en Union Européenne, jamais exposé dans les interfaces consultables par des tiers.
- Nom de naissance du salarié (si différent du nom d'usage)
- Modalité de formation (présentiel / distanciel / mixte), qualification du formateur, codes RNCP / Formacode / NSF / ROME
- Référence horodatée de chaque déclaration exportée (pour audit)
Le NIR n'est ni utilisé pour identifier l'employé dans l'interface utilisateur, ni affiché sur le passeport QR code. Il sert exclusivement à la génération du fichier officiel déposé sur prevention.moncompteformation.gouv.fr (Caisse des Dépôts).
3.4 Données de connexion
- Adresse email professionnelle
- Logs de connexion
- Adresse IP
- Historique des actions (audit trail)
4. Finalités du traitement
Vos données sont traitées pour :
- Gestion des formations :suivi des habilitations, alertes d'expiration, planification des sessions
- Génération de documents : passeports formation, convocations, attestations
- Déclaration au Passeport de Prévention national : préparation du fichier officiel exigé par l'article L4141-5 du Code du travail et déposé par l'employeur sur la plateforme de la Caisse des Dépôts.
- Conformité réglementaire : respect des obligations légales en matière de formation professionnelle
- Audit et traçabilité : historique des actions pour les contrôles et audits
- Amélioration du service : statistiques anonymisées, analyse des usages
5. Base légale du traitement
Les traitements de données sont fondés sur :
- L'exécution du contrat : fourniture du service CertPilot
- L'obligation légale : respect des obligations en matière de formation professionnelle (Code du travail)
- L'intérêt légitime : sécurité, amélioration du service, prévention des fraudes
- Le consentement : pour les cookies non essentiels et les communications marketing
6. Destinataires des données
Vos données peuvent être communiquées à :
- Votre employeur : responsable de la gestion de vos formations
- Les centres de formation: dans le cadre de l'inscription aux sessions
- Nos sous-traitants techniques: hébergement (Railway — Pays-Bas, UE), envoi d'emails (Brevo — France, UE), paiements (Stripe — États-Unis, DPF+CCT), génération de QR codes (api.qrserver.com — UE), supervision de disponibilité (Better Stack — République Tchèque, UE)
- Les autorités: en cas d'obligation légale
Nous ne vendons jamais vos données à des tiers.
Information sur le passeport formation accessible par QR code
Le passeport formation de chaque salarié est consultable via un QR code généré par votre employeur. Les données accessibles par ce lien (nom, prénom, fonction, service, photo si renseignée, liste des formations validées) sont consultables par toute personne disposant du lien. Ce fonctionnement est volontaire et nécessaireà la vérification terrain des habilitations (audit sécurité, contrôle d'accès, inspection). Si vous ne souhaitez pas que votre photo soit visible, vous pouvez demander à votre employeur de la retirer.
7. Durée de conservation
| Type de données | Durée de conservation |
|---|---|
| Données des employés actifs | Durée du contrat de travail + 5 ans |
| Données des employés archivés | Conservées pour traçabilité jusqu'à suppression définitive par le responsable de compte |
| Certificats et attestations | Durée de validité + 10 ans |
| Logs de connexion | 1 an |
| Audit trail | Minimum 5 ans — conservation sans purge automatique (forensique en cas d'incident) |
| Leads commerciaux (prospects) | 13 mois — purge automatique |
| Logs d'alertes | 2 ans — purge automatique |
| Données de facturation | 10 ans (obligation comptable) |
8. Transferts hors UE
L'hébergement de vos données est réalisé en Union Européenne (Railway, Pays-Bas — région europe-west4), l'envoi d'emails transactionnels par Brevo, hébergé en France 🇫🇷, et la supervision publique de disponibilité par Better Stack, hébergé en République Tchèque 🇨🇿. Un seul sous-traitant technique est établi aux États-Unis :
- Stripe (traitement des paiements) — certifié Data Privacy Framework (DPF) et clauses contractuelles types (CCT)
Ces transferts sont encadrés par des garanties appropriées :
- Clauses contractuelles types de la Commission européenne (Art. 46 RGPD)
- Data Privacy Framework (DPF) pour les transferts vers les USA
9. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès : obtenir la confirmation que vos données sont traitées et en recevoir une copie
- Droit de rectification : faire corriger les données inexactes
- Droit à l'effacement : demander la suppression de vos données
- Droit à la limitation : restreindre le traitement de vos données
- Droit à la portabilité : recevoir vos données dans un format structuré
- Droit d'opposition : vous opposer au traitement de vos données
Les utilisateurs disposant d'un compte CertPilot (Administrateur / Manager) peuvent exercer directement leurs droits d'effacement et de portabilité depuis leur profil (rubrique Mes droits RGPD) sans intervention de notre part.
Pour tout autre demande, contactez notre DPO à dpo@certpilot.eu
Vous pouvez également introduire une réclamation auprès de la CNIL : www.cnil.fr
10. Sécurité des données
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données :
- Chiffrement des données en transit (HTTPS/TLS)
- Chiffrement des données au repos (AES-256)
- Authentification sécurisée (bcrypt, 2FA TOTP optionnelle)
- Contrôle d'accès strict basé sur les rôles
- Sauvegardes quotidiennes (RTO 4h / RPO 24h)
- Audit trail complet
- Notification des violations sous 48h maximum
- Scan automatisé des dépendances (Dependabot)
Le détail complet est consultable sur la page Sécurité & disponibilité et la disponibilité en temps réel sur status.certpilot.eu.
11. Intelligence artificielle
Aucune donnée personnelle traitée par CertPilot n'est utilisée pour entraîner, affiner ou évaluer des modèles d'intelligence artificielle, qu'ils soient internes ou opérés par des fournisseurs tiers. Aucune donnée client n'est partagée avec un fournisseur d'IA générative dans le cadre du fonctionnement nominal du service.
12. Modifications de la politique
Nous pouvons modifier cette politique de confidentialité à tout moment. Les modifications seront publiées sur cette page avec une nouvelle date de mise à jour. Pour les modifications importantes, nous vous informerons par email ou via une notification dans l'application.
13. Contact
Pour toute question concernant cette politique de confidentialité ou vos données personnelles :
Délégué à la Protection des Données (DPO)
Email : dpo@certpilot.eu