Politique de Confidentialité
Dernière mise à jour : 24 mars 2026 — Académie heimdall-security
1. Responsable du traitement
Le responsable du traitement des données personnelles est Heimdall Security, éditeur de la plateforme Académie heimdall-security accessible à l'adresse academie.heimdall-security.com.
Pour toute question relative à vos données personnelles, vous pouvez contacter le Délégué à la Protection des Données (DPO) à l'adresse : dpo@heimdall-security.com.
2. Données personnelles collectées
Nous collectons uniquement les données nécessaires au fonctionnement du service :
- Compte utilisateur : nom d'utilisateur, adresse e-mail, nom complet (facultatif), biographie (facultative), photo de profil (facultative)
- Authentification : mot de passe (chiffré), secret TOTP (si 2FA activé)
- Progression pédagogique : cours complétés, scores de quiz, temps passé par section de cours
- Paiements : identifiant client Stripe — aucune donnée de carte bancaire n'est stockée sur nos serveurs
- Communications : messages envoyés via la messagerie interne
- Données techniques : adresse IP, type de navigateur (User-Agent), pour les 50 dernières connexions et la sécurité du compte
- Fichiers soumis : devoirs (PDF) soumis dans le cadre des exercices
3. Bases légales du traitement
- Exécution du contrat (Art. 6(1)(b) RGPD) : création de compte, accès aux cours, paiements, progression
- Consentement (Art. 6(1)(a) RGPD) : profilage IA (mémoire d'apprentissage), utilisation de services tiers (GIFs Tenor)
- Intérêt légitime (Art. 6(1)(f) RGPD) : sécurité du compte (journalisation IP, détection de nouvelles connexions), prévention de la fraude
- Obligation légale (Art. 6(1)(c) RGPD) : conservation des données de facturation (10 ans, Code de Commerce)
4. Durée de conservation
| Données | Durée |
|---|---|
| Compte utilisateur | Jusqu'à suppression du compte |
| Historique de connexion (IP) | 50 dernières connexions (glissant) |
| Journal de sécurité | 90 jours (suppression automatique) |
| Notifications lues | 24 heures après lecture |
| Progression / notes de cours | Jusqu'à suppression du compte |
| Mémoire IA | Réinitialisable à tout moment dans les paramètres |
| Données de paiement / facturation | 10 ans (obligation légale) |
| Messages privés | Jusqu'à suppression du compte |
5. Destinataires et sous-traitants
Vos données sont traitées par les sous-traitants suivants :
- Stripe Inc. (paiements) — certifié PCI-DSS niveau 1, données hébergées en UE
- Fournisseur d'IA (assistance pédagogique) — les requêtes IA sont anonymisées et ne contiennent pas votre identité
- Service de messagerie e-mail (envoi de codes de vérification, alertes de sécurité)
Vos données personnelles ne sont jamais revendues à des tiers. Aucun cookie publicitaire ni outil d'analyse tiers (Google Analytics, etc.) n'est utilisé.
6. Profilage automatisé (Mémoire IA)
La plateforme peut construire un profil d'apprentissage automatisé basé sur votre progression (cours complétés, scores de quiz, points forts et faibles). Ce profil sert uniquement à personnaliser les réponses de l'assistant IA pédagogique.
- Ce profilage ne produit aucun effet juridique ni significatif sur vous
- Vous pouvez consulter votre profil IA dans Paramètres > Mémoire IA
- Vous pouvez réinitialiser (supprimer) votre mémoire IA à tout moment
- Vous pouvez désactiver la mémoire IA depuis vos paramètres
7. Cookies et stockage local
La plateforme utilise uniquement :
- Cookie de session (strictement nécessaire) : maintien de votre connexion. HttpOnly, Secure, SameSite=Lax
- localStorage « theme » : mémorisation de votre préférence de thème (clair/sombre)
Aucun cookie publicitaire, de suivi ou d'analyse n'est déposé.
8. Vos droits (RGPD)
Conformément au Règlement Général sur la Protection des Données, vous disposez des droits suivants :
- Droit d'accès (Art. 15) : téléchargez toutes vos données depuis Paramètres > « Exporter mes données »
- Droit de rectification (Art. 16) : modifiez vos informations depuis Paramètres
- Droit à l'effacement (Art. 17) : supprimez votre compte depuis Paramètres > « Supprimer mon compte »
- Droit à la portabilité (Art. 20) : exportez vos données au format JSON
- Droit d'opposition (Art. 21) : contactez le DPO pour toute opposition au traitement
- Droit à la limitation (Art. 18) : contactez le DPO pour limiter le traitement
Pour exercer vos droits : dpo@heimdall-security.com
Vous disposez également du droit d'introduire une réclamation auprès de la
CNIL
(Commission Nationale de l'Informatique et des Libertés).
9. Sécurité des données
- Mots de passe chiffrés (scrypt)
- Sessions serveur avec Redis, cookies signés et sécurisés
- HTTPS obligatoire (HSTS Preload)
- Protection CSRF sur toutes les requêtes
- En-têtes de sécurité (CSP, X-Frame-Options, X-Content-Type-Options)
- Antivirus sur les fichiers soumis (ClamAV)
- Limitation de débit et verrouillage de compte après tentatives échouées
- Alertes e-mail en cas de connexion depuis une nouvelle adresse IP
10. Modifications de cette politique
Nous nous réservons le droit de modifier cette politique de confidentialité. Toute modification substantielle sera notifiée aux utilisateurs. La date de dernière mise à jour figure en haut de cette page.
Dernière mise à jour : 24 mars 2026 — Académie heimdall-security