Politique de confidentialité — Protection des données (RGPD)

Préambule

La présente politique vise à informer les utilisateurs du site mindrampart.com des modalités de collecte, de traitement et de conservation de leurs données personnelles, conformément au RGPD (UE 2016/679) et à la loi Informatique et Libertés (loi n° 78-17 du 6 janvier 1978 modifiée). MindRampart collecte uniquement les données strictement nécessaires à l'exécution de ses services. Aucune donnée sensible n'est recherchée via ce site.

1. Responsable du traitement

Matthias De Forni — MindRampart. Entrepreneur individuel (micro-entreprise). SIRET : 999 543 283 00017. Adresse : 8 place Roger Salengro, 31000 Toulouse, France. Email : contact@mindrampart.com. Site : https://mindrampart.com. Pour toute question relative à vos données : contact@mindrampart.com

2. Données collectées

2.1 Via les formulaires publics (contact, lead magnet, diagnostic) : Prénom, nom, email professionnel, entreprise, message, consentement RGPD, adresse IP (hashée) pour rate limiting. Le champ « website » est un honeypot anti-spam ; toute soumission le renseignant est rejetée.

2.2 Espace personnel (formations) : Prénom, nom, email, genre, entreprise, besoin d'accessibilité (optionnel), mot de passe (haché par Supabase Auth).

2.3 Données générées lors des formations : Réponses QCM pré/post, scores par thème, questionnaire de besoins, questionnaire de satisfaction, horodatage d'émargement, date de téléchargement attestation, logs d'emails (hash du destinataire).

2.4 Données commerciales : Historique devis, prestations, facturation.

2.5 Données de navigation : Umami Analytics (sans cookie, pas de données personnelles identifiables).

3. Finalités du traitement

Répondre aux demandes (formulaires) ; établir devis ; gérer les inscriptions ; émettre factures ; suivi relation client ; évaluer la progression (QCM, diagrammes) ; permettre aux dirigeants de suivre l'avancement de leurs équipes ; garantir la sécurité du site et prévenir les abus.

4. Bases légales

Formulaires : consentement (art. 6.1.a). Inscriptions et formations : exécution du contrat (6.1.b). Attestations et facturation : obligation légale (6.1.c). Indicateurs de formation : intérêt légitime (6.1.f). Emails transactionnels : exécution du contrat. Suivi dirigeant : exécution du contrat avec l'entreprise. Rate limiting et logs : intérêt légitime — sécurité.

5. Outils, hébergement et stockage

Hébergement : Vercel Inc. (USA). Données utilisateurs : Supabase (EU West). Emails : Resend. Paiements : Stripe (PCI-DSS). DNS : Cloudflare. Aucune donnée revendue ni transmise à des tiers à des fins commerciales.

6. Destinataires des données

Supabase (BDD, EU) ; Vercel (app, USA) ; Resend (emails, USA) ; Stripe (paiement, USA/EU) ; Upstash (Redis, EU) ; Umami (analytics) ; Cloudflare (DNS). Transferts hors UE encadrés par clauses contractuelles types. Accès dirigeant : le dirigeant peut consulter le statut de formation et les scores agrégés des collaborateurs qu'il a inscrits ; il n'a pas accès aux réponses détaillées ni aux données sensibles (accessibilité, empêchements).

7. Durée de conservation

Leads : 3 ans (dernière interaction). Profils : durée de la relation + 3 ans. Données de formation (évaluations, satisfaction) : 5 ans (fin de formation). Attestations et conventions : 5 ans. Données comptables : 10 ans. Logs d'emails : 1 an glissant. Logs sécurité (IP hashée) : 90 jours. À l'expiration : suppression ou anonymisation.

8. Transferts hors Union européenne

Certains sous-traitants (Vercel, Resend, Stripe, Cloudflare) sont établis aux États-Unis. Ces transferts sont encadrés par des clauses contractuelles types (art. 46 RGPD).

9. Sécurité des données

Mesures : chiffrement HTTPS (TLS), mots de passe hachés, tokens httpOnly ; contrôle d'accès (RLS Supabase, vérification de rôle) ; isolation des données par utilisateur ; hachage des IP (SHA-256 + sel) ; logs sans PII ; rate limiting ; revue OWASP documentée. En cas de violation susceptible d'engendrer un risque, notification dans les 72 h (art. 34 RGPD).

10. Cookies et traceurs

MindRampart s'engage à minimiser l'utilisation des cookies. Voici l'inventaire complet des cookies et traceurs utilisés :

Cookies strictement nécessaires

Ces cookies sont indispensables au fonctionnement du site. Ils ne peuvent pas être désactivés. Aucun consentement n'est requis (Article 5.3 de la Directive ePrivacy — exemption CNIL).

Analytics — sans cookie

Le site utilise Umami Analytics, un outil de mesure d'audience qui ne pose aucun cookie et ne collecte aucune donnée personnelle. La mesure est effectuée via un identifiant anonyme calculé à partir d'un hash non réversible, réinitialisé chaque jour. Aucun consentement n'est requis (délibération CNIL 2022-272 relative aux outils de mesure d'audience exemptés).

Cookies de paiement

Stripe, notre prestataire de paiement, peut poser des cookies techniques (__stripe_mid, __stripe_sid) strictement nécessaires au traitement sécurisé des transactions. Ces cookies ne sont actifs que lors du processus de paiement.

Absence de cookies publicitaires ou de tracking tiers

MindRampart n'utilise aucun outil publicitaire, pixel de conversion, réseau social embarqué ou outil de suivi comportemental tiers (Google Analytics, Facebook Pixel, Hotjar, Intercom, etc.).

Vos droits

En l'absence de cookies non essentiels, aucune bannière de consentement n'est affichée conformément aux recommandations de la CNIL. Si cette politique venait à évoluer, une bannière de consentement conforme serait mise en place préalablement à tout dépôt de nouveau cookie.

11. Vos droits

Droit d'accès (art. 15), rectification (art. 16), effacement (art. 17), limitation (art. 18), opposition (art. 21), portabilité (art. 20), retrait du consentement. Pour exercer vos droits : contact@mindrampart.com, en précisant votre identité. Réponse sous 1 mois (prolongeable de 2 mois si complexe). Réclamation possible auprès de la CNIL : https://www.cnil.fr — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.

12. Données des mineurs

Les services MindRampart s'adressent exclusivement à des professionnels (B2B). La collecte de données de mineurs n'est pas intentionnelle. En cas de données de mineur fournies, contactez contact@mindrampart.com pour procéder à leur suppression.

13. Modification de la politique

La présente politique peut être mise à jour pour refléter les évolutions légales, réglementaires ou techniques. La date de dernière mise à jour figure en haut du document. En cas de modification substantielle, vous serez informé par email ou lors de votre prochaine connexion.