Politique de confidentialité.
Cette politique décrit comment Alvado Conseils SARL, éditeur de la plateforme Aiffut, collecte et traite vos données personnelles dans le cadre du service.
1. Responsable de traitement
Le responsable du traitement des données personnelles collectées via la plateforme Aiffut (aiffut.fr) est Alvado Conseils(SARL), au capital de 1 000 €, dont le siège social est situé 4 rue Jean Baptiste Pradel, 38000 Grenoble — RCS Grenoble 987 458 692, SIRET 987 458 692 00017, TVA intracommunautaire FR65987458692.
- Contact / exercice des droits : contact@aiffut.fr
- Point de contact « protection des données » : dpo@aiffut.fr
L’Éditeur n’a pas désigné de délégué à la protection des données (DPO) au sens formel de l’article 37 du RGPD. L’adresse dpo@aiffut.fr constitue un point de contact dédié aux questions relatives à la protection des données personnelles.
2. Données personnelles collectées
Nous collectons et traitons les catégories de données suivantes :
2.1 Données d’identité et de compte
- Nom, prénom, adresse email.
- Provenance d’inscription (canal d’arrivée, lien de parrainage le cas échéant).
2.2 Données de facturation
- Adresse de facturation.
- Historique d’achats et factures.
- Les données de carte bancaire ne sont jamais stockées sur nos serveurs : elles sont traitées directement par Stripe — voir section 5.
2.3 Données de sécurité et d’authentification
- Mot de passe (stocké uniquement sous forme hachée, jamais en clair).
- Identifiants de connexion via OAuth Google / Microsoft (lorsque ce mode est choisi).
- Données de clé d’accès (passkey / WebAuthn) et de double authentification (TOTP), lorsqu’elles sont activées.
2.4 Données d’usage et pédagogiques
- Suivi des exercices et progression au sein des programmes.
- Conversations avec l’assistant IA et contenus saisis dans les ateliers de rédaction de prompts.
2.5 Données de parrainage
- Identifiant de parrainage (
ref) et données relatives au mécanisme de parrainage/remboursement.
2.6 Données techniques et de preuve de consentement
- Adresse IP et user agent, conservés en clair à des fins de sécurité et de preuve du consentement.
- Données de consentement aux cookies (choix, date, durée).
3. Finalités et bases légales du traitement
- Création et gestion du compte, fourniture du Service (accès aux programmes, exercices, attestations) — Exécution du contrat (art. 6.1.b).
- Traitement des prompts/conversations par l’assistant IA et évaluation des ateliers — Exécution du contrat (art. 6.1.b).
- Gestion des paiements et émission des factures — Exécution du contrat + Obligation légale (comptable/fiscale) (art. 6.1.b et 6.1.c).
- Conservation des factures pendant 10 ans — Obligation légale (art. 6.1.c — art. L123-22 Code de commerce).
- Sécurité des comptes, authentification forte, prévention des abus et de la fraude — Intérêt légitime (art. 6.1.f).
- Preuve du consentement (cookies, renonciation au droit de rétractation) — Obligation légale / Intérêt légitime (art. 6.1.c / 6.1.f).
- Emails transactionnels (compte, achat, factures, fin de programme) — Exécution du contrat (art. 6.1.b).
- Dépôt de cookies/traceurs non strictement nécessaires (le cas échéant) — Consentement (art. 6.1.a).
- Amélioration du contenu pédagogique sur données agrégées et anonymisées — Intérêt légitime (art. 6.1.f — données anonymisées).
- Relances et communications liées au service (emails marketing) — Intérêt légitime (art. 6.1.f).
4. Destinataires et sous-traitants
Vos données ne sont jamais vendues. Elles peuvent être communiquées aux destinataires et sous-traitants suivants, dans la stricte mesure nécessaire à leurs prestations :
- Stripe — traitement des paiements par carte bancaire. UE (Stripe Payments Europe) avec traitements possibles aux États-Unis, encadrés par les Clauses Contractuelles Types (CCT) et/ou le Data Privacy Framework.
- Brevo — envoi des emails transactionnels. France / UE, pas de transfert hors UE a priori.
- Mistral AI — traitement par IA des prompts et conversations (ateliers, assistant). France / UE (société française), pas de transfert hors UE a priori.
- Google— authentification OAuth (lorsque l’Utilisateur choisit ce mode). UE / États-Unis, encadrés par les CCT et/ou le Data Privacy Framework.
- Microsoft— authentification OAuth (lorsque l’Utilisateur choisit ce mode). UE / États-Unis, encadrés par les CCT et/ou le Data Privacy Framework.
- OVH SAS— hébergement de l’infrastructure. France (Gravelines), pas de transfert hors UE.
Les bases de données (MongoDB) et la file de messages (RabbitMQ) sont auto-hébergées par l’Éditeur sur son serveur OVH situé en France ; aucun prestataire tiers n’y a accès en dehors de l’hébergeur OVH.
Des accords de sous-traitance (art. 28 RGPD) sont signés avec chacun de ces sous-traitants.
Transferts hors Union européenne
Certains prestataires (Stripe, Google, Microsoft) peuvent traiter des données aux États-Unis. Ces transferts sont encadrés par des garanties appropriées au sens des articles 44 et suivants du RGPD : Clauses Contractuelles Types (CCT) de la Commission européenne et/ou certification au titre du EU-U.S. Data Privacy Framework. Mistral AI, Brevo et OVHtraitent les données dans l’Union européenne (France).
5. Paiements
Les paiements sont traités exclusivement par Stripe. Aucune donnée de carte bancaire (numéro, cryptogramme) n’est stockée sur les serveurs de l’Éditeur. Stripe agit en qualité de prestataire de services de paiement conforme à la norme PCI-DSS.
6. Durées de conservation
- Compte et données associées(identité, progression, conversations IA) — pendant toute la durée d’activité du compte, puis 12 mois après le dernier usage, après quoi elles sont supprimées ou anonymisées.
- Données après suppression du compte(support, gestion d’éventuels litiges) — conservation en base intermédiaire à accès restreint pendant 5 ans.
- Factures et pièces comptables — 10 ans (obligation légale — art. L123-22 du Code de commerce).
- Preuve du consentement aux cookies — 13 mois.
- Logs de connexion / sécurité (IP, user agent) — 12 mois.
À l’issue des durées applicables, les données sont supprimées ou anonymisées de manière irréversible. Les données strictement nécessaires au respect d’une obligation légale (comptabilité) sont conservées en base d’archivage à accès restreint pour la seule durée légale.
7. Vos droits
Conformément au RGPD et à la loi « Informatique et Libertés », vous disposez des droits suivants :
- Droit d’accès : obtenir la confirmation que vos données sont traitées et en obtenir une copie.
- Droit de rectification : faire corriger des données inexactes ou incomplètes.
- Droit à l’effacement(« droit à l’oubli »), dans les limites des obligations légales de conservation (factures).
- Droit à la portabilité : recevoir vos données dans un format structuré et lisible par machine. Le Service permet un export de vos données au format JSON depuis votre espace personnel.
- Droit d’oppositionau traitement fondé sur l’intérêt légitime, et au traitement à des fins de prospection.
- Droit à la limitation du traitement.
- Droit de retirer votre consentement à tout moment, pour les traitements fondés sur le consentement (sans effet rétroactif).
Comment exercer vos droits
Adressez votre demande à dpo@aiffut.fr. Nous pourrons vous demander un justificatif d’identité en cas de doute raisonnable sur l’identité du demandeur. Nous répondons dans un délai d’un (1) mois à compter de la réception de la demande (prolongeable de deux mois en cas de complexité, avec information préalable).
Réclamation auprès de la CNIL
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) : 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr.
8. Sécurité
L’Éditeur met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données : hachage des mots de passe, chiffrement des communications (HTTPS), authentification forte optionnelle (passkey, TOTP), hébergement en France et accès restreint aux données.
9. Cookies et traceurs
La Plateforme utilise principalement des cookies strictement nécessaires au fonctionnement du Service (session, authentification), qui ne requièrent pas de consentement.
Les éventuels cookies non strictement nécessaires (p. ex. cookie de parrainage ref) ne sont déposés qu’après recueil de votre consentement via le bandeau dédié. Aucun traceur tiers ni outil de mesure d’audience n’est utilisé à ce jour.
Le détail des cookies (nom, finalité, durée) et la gestion de votre consentement sont décrits sur la page dédiée Cookies. Vous pouvez modifier votre choix à tout moment depuis le pied de page du site.
10. Mineurs
Le Service s’adresse à un public adulte (professionnels et particuliers majeurs). Conformément aux CGU, l’accès est réservé aux personnes âgées d’au moins 18 ans. Nous ne collectons pas sciemment de données relatives à des mineurs.
11. Modification de la présente politique
La présente politique peut être mise à jour pour refléter l’évolution du Service ou de la réglementation. La date de dernière mise à jour figure en tête de document. En cas de modification substantielle, les Utilisateurs en sont informés par tout moyen approprié.