La présente politique précise la manière dont Tutassur traite vos données personnelles dans le cadre de la plateforme academy.tutassur.fr, conformément au règlement (UE) 2016/679 (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée (Informatique et Libertés).
1. Responsable de traitement
Tutassur, [forme sociale et capital à compléter]
Siège : [adresse à compléter] · SIREN : [à compléter]
Contact général : contact@tutassur.fr
Référent RGPD / DPO : dpo@tutassur.fr
2. Finalités du traitement
Vos données sont traitées pour :
- L'exécution de votre parcours de formation (création de votre compte, signature de la convention, suivi de l'assiduité, évaluations, délivrance des documents probants).
- La constitution du dossier de preuve réglementaire (assiduité horodatée, sessions tracées, scellement cryptographique) au titre de la capacité professionnelle ORIAS.
- L'émission des documents probants (convention, attestation, certificat, livret de stage) signés et scellés.
- La facturation et comptabilité (le cas échéant, lorsque la formation est facturée à votre employeur ou financeur).
- L'information sur les évolutions réglementaires de la profession (envois ponctuels à finalité pédagogique).
- La sécurité de la plateforme (logs de connexion, détection d'usage anormal, audit ACPR).
3. Base légale
| Traitement | Base légale |
|---|---|
| Exécution du parcours, dossier de preuve | Exécution du contrat (art. 6.1.b RGPD) |
| Conservation 10 ans des documents probants | Obligation légale (art. 6.1.c) — L.6353-9 Code du travail |
| Logs de sécurité et audit | Intérêt légitime (art. 6.1.f) |
| Communications pédagogiques optionnelles | Consentement (art. 6.1.a), révocable à tout moment |
4. Données traitées
- État civil : nom, prénom, date et lieu de naissance, adresse postale
- Coordonnées : adresse e-mail, téléphone
- Données professionnelles : organisme employeur, rôle (apprenant / formateur / admin / auditeur), justificatif de capacité professionnelle
- Données de connexion : adresse IP, user-agent, horodatage des sessions (UTC)
- Données pédagogiques : progression par chapitre, temps validé, résultats des QCM et de l'examen final
- Signatures électroniques : empreintes des documents signés, références horodatées
- Données de paiement : non collectées par Tutassur — règlement géré hors plateforme
Nous ne collectons aucune donnée sensible au sens de l'art. 9 RGPD (santé, opinions, orientation…).
5. Destinataires
- Personnel habilité de Tutassur (administrateurs, formateurs)
- Auditeurs de conformité en cas de contrôle ACPR, association professionnelle agréée, ou organisme financeur (OPCO, France Travail)
- Sous-traitants techniques liés par accord de confidentialité conforme à l'art. 28 RGPD :
- Microsoft Azure (hébergement, France Central)
- Microsoft Graph (envoi d'e-mails transactionnels via notre tenant Azure AD)
Aucun transfert de données hors Union européenne n'est effectué dans le cadre normal d'exploitation.
6. Durée de conservation
| Catégorie | Durée | Fondement |
|---|---|---|
| Dossier de preuve réglementaire (convention, livret, certificat, sessions, tentatives) | 10 ans à compter de la fin du parcours | Art. L.6353-9 Code du travail |
| Documents comptables | 10 ans | Art. L.123-22 Code de commerce |
| Données de prospection éventuelle | 3 ans après le dernier contact | Recommandation CNIL |
| Logs techniques de sécurité | 1 an | Recommandation ANSSI |
| Compte utilisateur inactif | Anonymisation après 3 ans sans connexion (hors documents probants conservés 10 ans) | Principe de minimisation |
7. Vos droits
Vous disposez à tout moment des droits suivants :
- Accès (art. 15) — copie des données vous concernant
- Rectification (art. 16) — correction d'une donnée inexacte
- Effacement (art. 17) — sous réserve de nos obligations légales de conservation
- Limitation (art. 18) — gel temporaire d'un traitement contesté
- Portabilité (art. 20) — récupération de vos données dans un format structuré
- Opposition (art. 21) — au traitement fondé sur l'intérêt légitime
- Retrait du consentement (art. 7) — pour les traitements fondés sur le consentement, à tout moment
Pour exercer ces droits, écrivez à dpo@tutassur.fr en joignant une copie d'une pièce d'identité (pièce supprimée après vérification). Nous répondons dans un délai d'un mois, prorogeable de deux mois si la complexité le justifie (art. 12.3).
En cas de désaccord persistant, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés : cnil.fr/fr/plaintes.
8. Sécurité des données
Tutassur met en œuvre des mesures techniques et organisationnelles appropriées au regard de l'art. 32 RGPD :
- Connexion HTTPS obligatoire (TLS 1.2+) avec en-têtes HSTS, CSP, X-Frame-Options
- Stockage des mots de passe en hash bcrypt (10 rounds)
- Double authentification (2FA TOTP) obligatoire pour les comptes admin, formateur et auditeur
- Connexion à la base de données chiffrée SSL/TLS (Azure MySQL Flexible Server)
- Secrets stockés dans Azure Key Vault avec Managed Identity (jamais en clair dans le code ou les variables d'environnement)
- Documents probants scellés cryptographiquement (SHA-256 chaîné) et stockés en conteneur WORM (Write Once Read Many)
- Sauvegardes journalières de la base de données conservées en région secondaire
- Journal d'audit (
audit_log) de toutes les actions sensibles
9. Cookies
La plateforme n'utilise aucun cookie tiers (pas de Google Analytics, pas de Hotjar, pas de régie publicitaire). Seuls deux cookies strictement nécessaires au fonctionnement du service sont déposés :
tutassur_academy_session: votre session de connexion (expiration à la déconnexion ou après 2 heures d'inactivité)XSRF-TOKEN: protection contre la falsification de requête (CSRF)
Conformément à l'article 82 de la loi Informatique et Libertés modifiée par la transposition de la directive ePrivacy (2002/58/CE), aucun consentement n'est requis pour ces cookies techniques.
10. Modifications
La présente politique peut être modifiée pour refléter des évolutions légales, techniques ou organisationnelles. Toute modification substantielle vous est notifiée par e-mail au moins 30 jours avant son entrée en vigueur. La date de mise à jour figure en tête du document.