Politique de confidentialité - Protection des données (RGPD)

Dernière mise à jour : mai 2026

Préambule

La présente politique vise à informer les utilisateurs du site mindrampart.com des modalités de collecte, de traitement et de conservation de leurs données personnelles, conformément au RGPD (UE 2016/679) et à la loi Informatique et Libertés (loi n° 78-17 du 6 janvier 1978 modifiée).

MindRampart collecte uniquement les données strictement nécessaires à l'exécution de ses services. Aucune donnée sensible au sens de l'article 9 du RGPD n'est recherchée via ce site, sauf besoin d'accessibilité déclaré volontairement par l'utilisateur dans son espace personnel.

MindRampart ne constitue pas un conseil juridique au sens de la loi n° 71-1130 du 31 décembre 1971.

1. Responsable du traitement

Matthias De Forni - MindRampart
Entrepreneur individuel (micro-entreprise)
SIRET : 999 543 283 00017
Adresse : 8 place Roger Salengro, 31000 Toulouse, France
Email : contact@mindrampart.com
Site : https://mindrampart.com

Pour toute question relative à vos données : contact@mindrampart.com

MindRampart agit en qualité de responsable de traitement indépendant pour la gestion de la relation commerciale, des formulaires, de la facturation, des espaces utilisateurs et des obligations administratives. MindRampart agit en qualité de sous-traitant au sens de l'article 28 du RGPD uniquement pour les données traitées pour le compte du client dans le cadre des missions d'audit, de diagnostic, de PoC ou d'accompagnement IA.

2. Données collectées

2.1 Via les formulaires publics (contact, lead magnet, diagnostic, check-list) : Prénom, nom, email professionnel, entreprise, message, consentement RGPD, adresse IP hashée (SHA-256 + sel) pour rate limiting. Le champ « website » est un honeypot anti-spam ; toute soumission le renseignant est automatiquement rejetée sans traitement.

2.2 Espace personnel (formations) : Prénom, nom, email, genre, entreprise, besoin d'accessibilité (optionnel et déclaré volontairement), mot de passe (haché par Supabase Auth - jamais stocké en clair).

2.3 Données générées lors des formations : Réponses QCM pré/post, scores par thème, questionnaire de besoins, questionnaire de satisfaction, horodatage d'émargement, date de téléchargement de l'attestation, logs d'emails (hash du destinataire uniquement).

2.4 Données commerciales : Historique des devis, prestations, facturation, coordonnées des interlocuteurs clients.

2.5 Données de navigation : Umami Analytics, sans cookie, sans données personnelles identifiables (voir section 10).

2.6 Via les missions d'audit et d'accompagnement IA : Dans le cadre des missions Diagnostic Automatisation IA Sécurisée, PoC IA et Audit Flash IA, MindRampart peut être amené à traiter des données relatives aux systèmes d'information du client : inventaire des outils IA utilisés, contrats fournisseurs SaaS, organigrammes fonctionnels, données issues des entretiens métier, réponses au questionnaire Shadow AI collaborateurs.

Ces données sont traitées exclusivement dans le cadre de la mission concernée, stockées sur des supports chiffrés et supprimées dans un délai de six (6) mois suivant la restitution du rapport final, sauf accord écrit de conservation entre les parties ou obligation légale de conservation. Pour ces traitements missionnels, MindRampart agit en qualité de sous-traitant (art. 28 RGPD) pour le compte du client - voir section 1 pour la distinction avec les traitements dont MindRampart est responsable de traitement.

Dans le cadre d'un PoC IA ou d'une automatisation connectée aux outils du client, les connecteurs, API, services cloud ou outils tiers utilisés sont définis contractuellement avec le client avant mise en œuvre. Aucun flux vers un outil tiers non validé par le client n'est mis en place.

Le questionnaire Shadow AI collaborateurs est anonymisé à la source (aucune adresse email collectée, aucun identifiant individuel). Les résultats sont exploités exclusivement sous forme agrégée dans le rapport d'audit.

3. Finalités du traitement

Répondre aux demandes entrantes (formulaires de contact, lead magnets, demandes de diagnostic) ;
Établir les devis et gérer la relation commerciale ;
Gérer les inscriptions aux formations et sessions d'accompagnement ;
Émettre les factures et assurer le suivi comptable ;
Évaluer la progression pédagogique des participants (QCM, scores, diagrammes) ;
Permettre aux dirigeants de suivre l'avancement de formation des collaborateurs qu'ils ont inscrits ;
Réaliser les diagnostics et audits de conformité IA (Diagnostic Automatisation IA, Audit Flash IA) et produire les livrables associés ;
Garantir la sécurité du site et prévenir les abus (rate limiting, détection de spam) ;
Envoyer des communications transactionnelles liées aux prestations (confirmation, accès, rapport).

4. Bases légales

Traitement	Base légale
Formulaires de contact et lead magnets	Consentement (art. 6.1.a)
Inscriptions et exécution des formations	Exécution du contrat (art. 6.1.b)
Missions d'audit et d'accompagnement IA	Exécution du contrat (art. 6.1.b)
Attestations, conventions et facturation	Obligation légale (art. 6.1.c)
Indicateurs pédagogiques et suivi dirigeant	Exécution du contrat (art. 6.1.b)
Emails transactionnels	Exécution du contrat (art. 6.1.b)
Rate limiting et logs de sécurité	Intérêt légitime - sécurité (art. 6.1.f)
Analytics Umami	Intérêt légitime - mesure d'audience exemptée CNIL (délibération 2022-272)

5. Outils, hébergement et stockage

Outil	Rôle	Localisation
Vercel Inc.	Hébergement de l'application	USA (CCT)
Supabase	Base de données utilisateurs	EU West
Resend	Envoi d'emails transactionnels	USA (CCT)
Stripe	Traitement des paiements (PCI-DSS)	USA / EU
Upstash	Redis - rate limiting	EU
Cloudflare	DNS et protection réseau	USA (CCT)
Umami Analytics	Mesure d'audience sans cookie	Auto-hébergé ou EU

Aucune donnée n'est revendue ni transmise à des tiers à des fins commerciales.

CCT = transfert encadré par Clauses Contractuelles Types (art. 46 RGPD).

6. Destinataires des données

Les données sont accessibles aux seuls sous-traitants techniques listés à la section 5, dans la stricte limite de leurs attributions.

Accès dirigeant : le dirigeant peut consulter le statut de formation et les scores agrégés des collaborateurs qu'il a inscrits. Il n'a pas accès aux réponses détaillées aux questionnaires, aux données d'accessibilité ni aux motifs d'empêchement déclarés par les participants.

Missions d'audit : les données collectées lors des missions sont accessibles uniquement à Matthias De Forni dans le cadre de l'exécution de la mission. Aucun sous-traitant n'y accède, sauf infrastructure technique chiffrée (stockage local ou Supabase selon la mission).

7. Durée de conservation

Catégorie de données	Durée de conservation
Leads et formulaires de contact	3 ans à compter de la dernière interaction
Profils utilisateurs	Durée de la relation commerciale + 3 ans
Données de formation (évaluations, satisfaction, scores)	5 ans à compter de la fin de la formation
Attestations de formation et conventions	5 ans (obligation réglementaire)
Données comptables et factures	10 ans (obligation légale)
Données de mission d'audit	6 mois après restitution du rapport (sauf accord contraire écrit)
Logs d'emails (hash destinataire)	1 an glissant
Logs de sécurité (IP hashée)	90 jours

À l'expiration de ces délais : suppression définitive ou anonymisation irréversible.

8. Transferts hors Union européenne

Certains sous-traitants (Vercel, Resend, Stripe, Cloudflare) sont établis aux États-Unis. Ces transferts sont encadrés par des clauses contractuelles types adoptées par la Commission européenne (art. 46 RGPD), garantissant un niveau de protection adéquat des données transférées.

9. Sécurité des données

Mesures techniques et organisationnelles mises en œuvre :

Chiffrement des communications (HTTPS / TLS) ;
Mots de passe hachés (Supabase Auth - bcrypt) ; tokens httpOnly ;
Contrôle d'accès par rôle (RLS Supabase, vérification serveur) ;
Isolation des données par utilisateur ;
Hachage des adresses IP (SHA-256 + sel rotatif) ;
Logs sans données personnelles identifiables ;
Rate limiting sur tous les endpoints sensibles ;
Revue OWASP documentée en cours de développement ;
Accès aux données de mission restreint à Matthias De Forni, stockage sur supports chiffrés.

En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, MindRampart procédera à la notification à la CNIL dans les 72 heures (art. 33 RGPD) et informera les personnes concernées si le risque est élevé (art. 34 RGPD).

10. Cookies et traceurs

MindRampart s'engage à minimiser l'utilisation des cookies. Voici l'inventaire complet des cookies et traceurs utilisés.

Cookies strictement nécessaires

Ces cookies sont indispensables au fonctionnement du site. Ils ne peuvent pas être désactivés. Aucun consentement n'est requis (Article 5.3 de la Directive ePrivacy - exemption CNIL).

Nom	Origine	Finalité	Durée
sb-*-auth-token	Supabase	Session d'authentification utilisateur	Session
next-auth.session-token	NextAuth	Session administrateur	30 jours
next-auth.csrf-token	NextAuth	Protection CSRF	Session

Analytics - sans cookie

Le site utilise Umami Analytics, un outil de mesure d'audience qui ne pose aucun cookie et ne collecte aucune donnée personnelle identifiable. La mesure est effectuée via un identifiant anonyme calculé à partir d'un hash non réversible, réinitialisé chaque jour. Aucun consentement n'est requis (délibération CNIL 2022-272 relative aux outils de mesure d'audience exemptés).

Cookies de paiement

Stripe, prestataire de paiement, peut poser des cookies techniques (__stripe_mid, __stripe_sid) strictement nécessaires au traitement sécurisé des transactions. Ces cookies ne sont actifs qu'au moment du processus de paiement.

Absence de cookies publicitaires ou de tracking tiers

MindRampart n'utilise aucun outil publicitaire, pixel de conversion, réseau social embarqué ou outil de suivi comportemental tiers (Google Analytics, Facebook Pixel, Hotjar, Intercom, etc.).

Vos droits sur les cookies

En l'absence de cookies non essentiels, aucune bannière de consentement n'est affichée, conformément aux recommandations de la CNIL. Si cette politique venait à évoluer, une bannière de consentement conforme serait mise en place préalablement à tout dépôt de nouveau cookie.

11. Vos droits

Conformément aux articles 15 à 21 du RGPD, vous disposez des droits suivants :

Droit d'accès (art. 15) : obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie.
Droit de rectification (art. 16) : faire corriger des données inexactes ou incomplètes.
Droit à l'effacement (art. 17) : demander la suppression de vos données dans les cas prévus par le RGPD.
Droit à la limitation (art. 18) : demander la suspension temporaire du traitement.
Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré et lisible par machine.
Droit d'opposition (art. 21) : vous opposer à un traitement fondé sur l'intérêt légitime.
Retrait du consentement : à tout moment, sans effet rétroactif, pour les traitements fondés sur le consentement.

Pour exercer vos droits : contact@mindrampart.com, en précisant votre identité et la nature de votre demande. Réponse sous 1 mois (prolongeable de 2 mois en cas de complexité ou de volume).

Réclamation auprès de la CNIL :
Commission Nationale de l'Informatique et des Libertés
https://www.cnil.fr - 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07

12. Données des mineurs

Les services MindRampart s'adressent exclusivement à des professionnels (B2B). La collecte intentionnelle de données de mineurs n'est pas prévue. En cas de données de mineur transmises par erreur, contactez contact@mindrampart.com pour procéder à leur suppression dans les meilleurs délais.

13. Modification de la politique

La présente politique peut être mise à jour pour refléter les évolutions légales, réglementaires ou techniques. La date de dernière mise à jour figure en haut du document.

En cas de modification substantielle affectant vos droits ou les conditions de traitement de vos données, vous serez informé par email ou lors de votre prochaine connexion sur la plateforme.

← Retour à l'accueil