← Retour/Cyber Learn

Politique de confidentialité

Dernière mise à jour : 23/05/2026 · Version 1.0

1. Responsable du traitement

Le responsable du traitement des données personnelles collectées via Cyber Learn est l’éditeur du site (voir mentions légales). Cyber Learn est édité à titre non-professionnel ; aucun délégué à la protection des données (DPO) n’est désigné conformément à l’article 37 du RGPD.

Contact RGPD : privacy@cyberlearn.fr

2. Données collectées

Nous collectons uniquement les données strictement nécessaires au fonctionnement du service.

2.1 Données de compte

  • Adresse email (authentification, communication transactionnelle)
  • Nom d’utilisateur (identifiant public)
  • Nom d’affichage (optionnel)
  • URL d’avatar (depuis votre compte OAuth GitHub ou avatar généré)
  • Biographie (optionnelle, fournie volontairement par vous)

2.2 Données d’authentification

  • Identifiants OAuth GitHub (si vous vous connectez via GitHub)
  • Horodatage de la dernière connexion
  • Adresse IP au moment de l’authentification (pseudonymisée par fonction de hachage HMAC-SHA256 avant tout stockage)

2.3 Données pédagogiques

  • Progression dans les leçons et parcours
  • Réponses aux exercices et code soumis
  • Points d’expérience (XP), badges obtenus, niveau
  • Certificats émis

2.4 Données de support

  • Si vous nous contactez via le formulaire de contact : votre email et le contenu de votre message
  • Adresse IP pseudonymisée (HMAC-SHA256) pour la lutte contre l’abus

2.5 Données techniques

  • Cookies strictement nécessaires (session d’authentification, consentement, thème)

Aucune donnée sensible au sens de l’article 9 RGPD n’est collectée.

3. Finalités et bases légales

FinalitéBase légaleConservation
Création et gestion du compte utilisateurExécution du contrat (Art. 6.1.b RGPD)Pendant la durée d’inscription
Authentification et accès sécurisé au serviceExécution du contrat (Art. 6.1.b)Pendant la durée d’inscription
Suivi pédagogique (progression, certificats)Exécution du contrat (Art. 6.1.b)Pendant la durée d’inscription
Lutte contre l’abus (rate limiting, anti-bot)Intérêt légitime (Art. 6.1.f)30 jours max
Réponse aux demandes de supportExécution mesures pré-contractuelles (Art. 6.1.b)3 mois après résolution
Logs de sécurité (audit, authentification)Obligation légale et intérêt légitime (Art. 6.1.c et 6.1.f)12 mois
Logs applicatifsIntérêt légitime (Art. 6.1.f)6 mois

4. Durées de conservation

  • Compte actif : tant que votre compte existe.
  • Compte inactif : votre compte est automatiquement anonymisé après 24 mois sans connexion, sauf demande de suppression anticipée de votre part.
  • Logs d’authentification : 12 mois.
  • Logs d’activité applicatifs : 6 mois.
  • Tickets de support résolus : 3 mois après résolution.
  • Tickets de support en cours : 12 mois.
  • Certificats émis : conservés de manière permanente pour permettre leur vérification publique. En cas de suppression de compte, votre nom est remplacé par « Utilisateur supprimé » tout en préservant la validité technique du certificat.

5. Destinataires et sous-traitants

Vos données peuvent être traitées par les sous-traitants suivants, sous notre responsabilité :

Sous-traitantRôleLocalisation des données
SupabaseBase de données, authentification, stockageFrancfort, Allemagne (eu-central-1)
VercelHébergement du site et trafic HTTPÉtats-Unis (CDN) - les données utilisateur ne transitent pas par leurs serveurs de stockage
ResendEnvoi d’emails transactionnelsÉtats-Unis (DPF + clauses contractuelles types)
UpstashCache Redis (rate limiting, sessions volatiles)Europe
CloudflareProtection anti-bot TurnstileRéseau mondial
Atlassian (Jira)Suivi interne des tickets de supportÉtats-Unis (DPF + clauses contractuelles types)

Vos données ne sont jamais vendues ni cédées à des tiers à des fins commerciales.

6. Transferts hors UE

Certains sous-traitants (Vercel, Resend, Atlassian) sont basés aux États-Unis. Les transferts sont encadrés par :

  • Le Data Privacy Framework (DPF) auquel ces sociétés adhèrent, ou
  • Les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne.

Vos données utilisateur principales (compte, progression, certificats) sont stockées uniquement dans l’Union européenne (Supabase Francfort).

7. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

  • Droit d’accès (Art. 15) : obtenir une copie de vos données.
  • Droit de rectification (Art. 16) : corriger des données inexactes.
  • Droit à l’effacement (Art. 17) : supprimer vos données (« droit à l’oubli »).
  • Droit à la limitation (Art. 18) : limiter le traitement de vos données.
  • Droit à la portabilité (Art. 20) : récupérer vos données dans un format structuré.
  • Droit d’opposition (Art. 21) : vous opposer à un traitement basé sur l’intérêt légitime.
  • Droit de retrait du consentement : à tout moment, lorsque le traitement repose sur votre consentement.

Modalités d’exercice

Vous pouvez exercer vos droits en :

  • Modifiant vos données directement depuis votre espace personnel (informations de profil),
  • Téléchargeant l’export de vos données depuis votre espace personnel /settings/data,
  • Demandant la suppression de votre compte depuis la section Mes données. La suppression est définitive et prend effet immédiatement après confirmation par email (Art. 17 RGPD),
  • Adressant un email à privacy@cyberlearn.fr depuis l’adresse associée à votre compte.

Nous répondons dans un délai maximum d’un mois conformément à l’article 12 RGPD.

Droit de réclamation

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) :

  • En ligne : cnil.fr/fr/plaintes
  • Par courrier : 3 Place de Fontenoy, TSA 80715, 75334 Paris cedex 07

8. Cookies

Cyber Learn utilise uniquement des cookies strictement nécessaires au fonctionnement du service :

CookieFinalitéDurée
sb-*-auth-tokenSession d’authentification SupabaseJusqu’à déconnexion
cl_consentMémorisation de la prise de connaissance des conditions d’utilisation365 jours
__cf_bmProtection anti-bot Cloudflare Turnstile30 minutes
Cookies de préférence (thème, sidebar)Personnalisation de l’interfaceVariable, défini par l’utilisateur

Aucun cookie publicitaire, analytique ou de tracking comportemental n’est utilisé. Conformément à l’article 82 de la loi Informatique et Libertés, ces cookies strictement nécessaires sont exemptés de consentement.

9. Sécurité

Les données sont protégées par :

  • Chiffrement TLS 1.3 pour toutes les communications,
  • Authentification via OAuth et tokens JWT à durée limitée,
  • Politique de sécurité du contenu (CSP) restrictive,
  • Pseudonymisation des adresses IP (HMAC-SHA256) avant tout stockage,
  • Limitation du taux de requêtes (rate limiting),
  • Audits de sécurité réguliers du code source.

10. Modification de cette politique

Cette politique peut être mise à jour pour refléter des évolutions techniques, juridiques ou organisationnelles. La date de dernière mise à jour est indiquée en début de document. Les modifications substantielles vous seront notifiées par email ou via une notification dans l’application.