RGPD et centre de confiance des données

Dernière mise à jour : 14 juillet 2026

AVIS PROGRAMME BETA Ce document s'applique au programme beta de Kompunik, un pilote de recherche gratuit et sur invitation uniquement, opéré par Joss Gillet (Fondateur de Kompunik). Il s'agit d'un prototype expérimental sans garantie de service.

RGPD & Centre de confiance des données

Date d'entrée en vigueur : 1er janvier 2026

Dernière mise à jour : 1er janvier 2026

Ce document de confiance et de traitement des données est un complément, rédigé en langage clair, à notre Politique de confidentialité et à notre Aperçu de la sécurité. Il résume, en un seul endroit, la manière dont Kompunik se conforme au Règlement Général sur la Protection des Données (RGPD) de l'Union européenne : les bases légales sur lesquelles nous nous appuyons, les données que nous traitons, les sous-traitants auxquels nous faisons appel, la durée de conservation de vos données et la façon dont vous pouvez exercer vos droits.

En cas de contradiction entre le présent document et la Politique de confidentialité, cette dernière prévaut en tant que document juridiquement contraignant.


1. Responsable du traitement

Joss Gillet (Founder of Kompunik) Avignon, France

Joss Gillet (Founder of Kompunik) est le responsable du traitement des données à caractère personnel traitées via la plateforme d'apprentissage Kompunik. Nous déterminons les finalités et les moyens du traitement de vos données à caractère personnel et sommes tenus de les protéger conformément au RGPD.

Pour les organisations (entreprises, universités) qui inscrivent leurs membres, Kompunik agit en tant que sous-traitant pour le compte de l'organisation concernant les données d'apprentissage générées au sein de leur espace, et en tant que responsable du traitement pour les données de compte et de facturation.


2. Bases légales du traitement

Chaque catégorie de données à caractère personnel que nous traitons repose sur l'une des bases légales suivantes prévues par le RGPD (Article 6) :

Activité de traitement Base légale
Création et maintenance de votre compte Exécution d'un contrat (Art. 6(1)(b))
Diffusion des cours, suivi de la progression, délivrance des certificats Exécution d'un contrat (Art. 6(1)(b))
Traitement des paiements et émission des factures Exécution d'un contrat + obligation légale (Art. 6(1)(b), (c))
Conservation des documents financiers Obligation légale en vertu du droit français (Art. 6(1)(c))
Envoi d'e-mails de service et de sécurité (vérification, MFA, reçus) Exécution d'un contrat (Art. 6(1)(b))
Analyses produit calculées à partir de votre propre activité Intérêt légitime (Art. 6(1)(f))
Fonctionnalités facultatives de communauté, de profil public et de comparaison entre pairs Consentement (Art. 6(1)(a))
Analyses assistées par IA (Pulse manager, traductions) Intérêt légitime, avec possibilité de refus (Art. 6(1)(f))
E-mails marketing, le cas échéant Consentement (Art. 6(1)(a))

Vous pouvez retirer votre consentement à tout moment lorsque celui-ci constitue la base légale, sans que cela n'affecte les traitements déjà réalisés.


3. Données à caractère personnel que nous traitons

  • Identité et compte : nom, adresse e-mail, mot de passe haché, langue préférée, rôle et appartenance à une organisation.
  • Authentification : horodatages de connexion, paramètres MFA et identifiants SSO de Google Workspace ou Microsoft Entra ID (le cas échéant).
  • Données d'apprentissage : progression dans les cours, réponses aux quiz et aux auto-évaluations, résultats de diagnostic, tactiques, playlists et certificats.
  • Données communautaires (sur adhésion volontaire) : publications, commentaires, réactions et informations de profil public que vous choisissez de partager.
  • Données de paiement : nom de facturation, historique des transactions et statut de l'abonnement. Nous ne recevons ni ne stockons jamais les numéros de carte complets ou les cryptogrammes visuels (CVV) — ceux-ci sont transmis directement à Stripe.
  • Données techniques : identifiant de session anonyme, informations sommaires sur l'appareil et le navigateur, et analyses de pages en propre utilisées pour améliorer le produit.

Nous ne vendons pas de données à caractère personnel, nous n'utilisons pas de cookies publicitaires tiers, et nous n'exécutons pas de traceurs tiers tels que Google Analytics.


4. Vos droits au titre du RGPD

En vertu du RGPD, vous disposez du droit :

  • D'accès — obtenir une copie des données à caractère personnel que nous détenons à votre sujet.
  • De rectification — corriger des données inexactes ou incomplètes.
  • D'effacement (« droit à l'oubli ») — demander la suppression de votre compte et de vos données.
  • De limitation — nous demander de restreindre le traitement dans certaines circonstances.
  • De portabilité — recevoir vos données dans un format structuré et lisible par machine.
  • D'opposition — vous opposer à un traitement fondé sur l'intérêt légitime.
  • De retrait du consentement — pour tout traitement fondé sur le consentement.

Comment les exercer :

  • En libre-service : depuis les paramètres de votre compte, vous pouvez exporter vos données à caractère personnel à tout moment et supprimer directement votre compte.
  • Par e-mail : écrivez à compliance@kompunik.org. Nous répondons à toutes les demandes dans un délai de 30 jours, comme l'exige le RGPD.

Vous avez également le droit d'introduire une réclamation auprès de votre autorité de contrôle locale. En France, il s'agit de la CNIL (Commission Nationale de l'Informatique et des Libertés — cnil.fr).


5. Conservation des données

Catégorie de données Durée de conservation
Données de compte et d'apprentissage Pendant toute la durée de vie de votre compte
Données de compte supprimé Effacées dans un délai de 30 jours suivant la demande de suppression
Documents financiers et de facturation 7 ans (obligation légale en vertu du droit français)
Résultats de diagnostic 90 jours (expiration automatique)
Historique des analyses générées par IA 90 jours (expiration automatique)
Analyses de pages anonymes Agrégées ; aucun identifiant personnel à long terme
Journaux d'audit Conservés à des fins de sécurité et de conformité, puis renouvelés par rotation

Lorsqu'une durée de conservation prend fin, les données sont supprimées ou anonymisées de manière irréversible.


6. Sous-traitants

Nous faisons appel à un nombre restreint de sous-traitants soigneusement sélectionnés pour exploiter la plateforme. Chacun est lié par un accord de traitement des données (DPA) et par des garanties appropriées. Les données sont hébergées dans l'UE (Frankfurt, Allemagne) partout où le prestataire propose un hébergement régional.

Sous-traitant Finalité Localisation des données
MongoDB Atlas Base de données principale (comptes, données d'apprentissage) UE — Frankfurt
DigitalOcean Spaces Stockage des médias, des certificats et des fichiers Région UE, chiffré au repos
Vercel Hébergement et diffusion de l'application Région de fonctions UE (Frankfurt)
Upstash Redis Limitation du débit UE — Frankfurt
Stripe Traitement des paiements (PCI-DSS niveau 1) UE/US avec CCT
Resend Envoi d'e-mails transactionnels UE/US avec CCT
Google & Microsoft Connexion SSO facultative (OAuth) UE/US avec CCT
OpenAI Analyses manager assistées par IA (refus possible) US avec CCT
DeepL Traduction de contenu UE (Allemagne)
Sentry Surveillance des erreurs UE/US avec CCT

Nous tenons à jour une liste des sous-traitants. Si nous ajoutons ou remplaçons un sous-traitant d'une manière qui affecte substantiellement le traitement de vos données, nous mettrons à jour cette page.


7. Transferts internationaux de données

Notre infrastructure est conçue pour maintenir les données à caractère personnel au sein de l'Union européenne dans la mesure du possible. Lorsqu'un sous-traitant traite des données en dehors de l'UE (par exemple, aux États-Unis), le transfert est protégé par des Clauses Contractuelles Types (CCT) approuvées par la Commission européenne, ainsi que par des garanties techniques supplémentaires telles que le chiffrement en transit et au repos.


8. Mesures de sécurité (résumé)

Une description complète est disponible dans notre Aperçu de la sécurité. En bref :

  • Chiffrement partout : TLS 1.2+ en transit ; AES-256 au repos.
  • Contrôle d'accès : autorisations basées sur les rôles, MFA et comptes de service au moindre privilège.
  • URL signées : les médias sont diffusés via des liens signés à durée limitée (expiration après 1 heure).
  • Confidentialité par défaut : les profils sont privés sauf si vous choisissez de les rendre publics.
  • Isolation des locataires : les données de chaque organisation sont strictement cloisonnées.
  • Application renforcée : validation côté serveur, assainissement des contenus, requêtes paramétrées, CSP et limitation du débit.

9. Notification des violations de données

En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour vos droits et libertés, nous notifierons l'autorité de contrôle compétente dans un délai de 72 heures après en avoir pris connaissance, et informerons les utilisateurs concernés dans les meilleurs délais, comme l'exigent les Articles 33 et 34 du RGPD. Notre objectif interne est d'entamer l'investigation et la remédiation dans un délai de 48 heures suivant la détection.


10. Cookies et traçage

Kompunik utilise uniquement les cookies et le stockage local strictement nécessaires au fonctionnement du service (session d'authentification, sécurité, préférence linguistique), ainsi que des analyses en propre respectueuses de la vie privée. Nous n'utilisons pas de cookies publicitaires ni de traçage intersites. Une bannière de cookies est affichée aux nouveaux visiteurs, et les détails sont disponibles dans notre Politique de confidentialité.


11. Données des enfants

Kompunik ne s'adresse pas aux enfants de moins de 16 ans. Nous ne collectons pas sciemment de données à caractère personnel auprès d'enfants. Si vous pensez qu'un enfant nous a communiqué des données à caractère personnel, veuillez contacter compliance@kompunik.org et nous les supprimerons.


12. Contact

Pour toute question relative à vos données, au présent document de confiance et de traitement des données, ou pour exercer vos droits au titre du RGPD :

Joss Gillet (Founder of Kompunik) Avignon, France


Ce Centre de confiance des données RGPD entre en vigueur le 1er janvier 2026 et est fourni à des fins de transparence, en complément de notre Politique de confidentialité juridiquement contraignante.


Conditions Spécifiques au Beta

Nature Expérimentale

Cette plateforme est un prototype expérimental. Les fonctionnalités peuvent changer, être supprimées ou dysfonctionner sans préavis. Aucune garantie de disponibilité, de temps de fonctionnement ou de performance n'est fournie.

Gestion des Données

Les données collectées pendant la beta peuvent être supprimées à la fin de la période beta. Bien que nous prenions des précautions raisonnables pour protéger vos données, aucune garantie n'est faite concernant la persistance ou la sauvegarde des données.

Utilisation des Retours

Tout retour, suggestion ou idée que vous fournissez pendant la beta peut être utilisé pour améliorer le produit sans compensation ni attribution.

Pas de Compensation Financière

La participation à la beta est volontaire et non rémunérée. Aucune compensation financière, crédit ou remboursement n'est applicable.

Limitation de Responsabilité

Joss Gillet (Fondateur de Kompunik) ne saurait être tenu responsable de tout dommage direct, indirect, accessoire ou consécutif résultant de votre utilisation de cette plateforme beta. L'utilisation est entièrement à vos propres risques.

Confidentialité (Optionnel)

Vous pouvez rencontrer des fonctionnalités ou du contenu qui ne sont pas encore disponibles publiquement. Bien que non juridiquement contraignant, nous vous demandons de traiter les fonctionnalités non publiées avec discrétion.

Pas de Relation Commerciale

Cette beta ne constitue pas un service commercial, un contrat ou un abonnement. Aucune facture ne sera émise et aucun accord de niveau de service ne s'applique.