Mentions légales & politique de confidentialité
1. Mentions légales
Éditeur du service
Le service Prolys est édité par CFAED, entreprise individuelle représentée par Yanis BENMAIZA.
| Nom commercial | CFAED |
|---|---|
| Marque exploitée | Prolys |
| Forme juridique | Entreprise individuelle |
| Représentant légal | Yanis BENMAIZA |
| Directeur de la publication | Yanis BENMAIZA |
| SIRET | 849 635 214 00018 |
| SIREN | 849 635 214 |
| Adresse | 541 rue Pierre Mendès France, 73300 Saint-Jean-de-Maurienne, France |
| Contact | contact@prolys.fr |
Hébergement
L'application Prolys s'appuie sur deux hébergeurs complémentaires :
- Frontend (interface web) — Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, États-Unis. Le transfert de données vers les États-Unis est encadré par les Clauses Contractuelles Types (CCT) de la Commission européenne et la certification au Data Privacy Framework (DPF).
- Base de données, authentification et fonctions serveur — Supabase Inc., infrastructure AWS region eu-west-1 (Irlande, Union européenne).
Propriété intellectuelle
L'ensemble des éléments composant le service Prolys (code source, interface, identité graphique, textes, logos) est protégé par le droit de la propriété intellectuelle. Toute reproduction ou réutilisation sans autorisation préalable écrite de l'éditeur est interdite.
2. Politique de confidentialité
La présente politique de confidentialité décrit la manière dont Prolys collecte, utilise et protège les données personnelles des utilisateurs du service, conformément au Règlement général sur la protection des données (RGPD, règlement UE 2016/679) et à la loi française Informatique et Libertés modifiée.
Responsable du traitement
CFAED (Yanis BENMAIZA), 541 rue Pierre Mendès France, 73300 Saint-Jean-de-Maurienne, contact : contact@prolys.fr.
Données collectées
Selon votre rôle au sein de l'établissement qui vous donne accès à Prolys (prestataire, coordinatrice, gestionnaire, directeur ou enseignant), nous collectons les catégories de données suivantes :
- Identité : nom, prénom, adresse email, téléphone (optionnel).
- Profil : rôle attribué au sein de l'établissement, établissement de rattachement.
- Données pédagogiques (accès selon rôle) : classes, élèves, présences, taux d'assiduité, notes CCF, anomalies détectées sur feuilles d'émargement.
- Données professionnelles (enseignants) : taux horaire, heures déclarées et validées, clôtures mensuelles.
- Données de connexion : adresse IP, type de navigateur, horodatages des actions sensibles (audit trail).
- Stockage local (localStorage) : préférences d'interface et cache temporaire. Aucun cookie tiers, aucun traceur publicitaire.
Finalités du traitement
- Suivi de la qualité de la formation et conformité Qualiopi.
- Gestion administrative et pédagogique des parcours.
- Émargements, alertes d'assiduité, suivi des contrôles en cours de formation (CCF).
- Paie des formateurs (calcul des heures réalisées et validées).
- Sécurité du service (logs de connexion, audit trail des actions sensibles).
Base légale du traitement
Les traitements reposent, selon le cas, sur les fondements suivants (article 6 RGPD) :
- Exécution d'un contrat — contrat de formation professionnelle ou contrat de travail enseignant.
- Obligation légale — Qualiopi, code du travail (notamment article L6353-9), code de l'éducation.
- Intérêt légitime — sécurité de l'application, monitoring des erreurs techniques.
Durées de conservation
| Catégorie | Durée |
|---|---|
| Données pédagogiques (présences, notes, suivi formation) | Durée de la formation + 3 ans (art. L6353-9 code du travail, Qualiopi) |
| Données comptables (paie, facturation) | 10 ans (code de commerce) |
| Logs de connexion | 12 mois (CNIL délibération 2006-066) |
| Logs Sentry (erreurs techniques) | 90 jours |
Logs d'envoi d'emails (email_usage) |
24 mois (audit RGPD des envois) |
Sous-traitants (article 28 RGPD)
Pour assurer le fonctionnement du service, Prolys fait appel aux sous-traitants suivants. Chaque sous-traitant est lié à CFAED par un accord de traitement de données (DPA) conforme au RGPD.
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Supabase | Base de données, authentification, stockage de fichiers, edge functions | Irlande (UE) — AWS eu-west-1 |
| Vercel | Hébergement du frontend | États-Unis — encadré par CCT + DPF |
| Sentry | Monitoring des erreurs techniques (avec masquage RGPD activé) | Allemagne (UE) — Frankfurt |
| Resend | Envoi d'emails transactionnels | Irlande (UE) |
| OVH | Nom de domaine, DNS, emails de contact | France (UE) |
Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Droit d'accès à vos données personnelles.
- Droit de rectification des données inexactes ou incomplètes.
- Droit à l'effacement (« droit à l'oubli ») — dans les limites des obligations légales de conservation (Qualiopi, comptabilité, etc.).
- Droit à la limitation du traitement.
- Droit d'opposition au traitement.
- Droit à la portabilité de vos données.
- Droit d'introduire une réclamation auprès de la CNIL (cnil.fr).
Pour exercer ces droits, contactez-nous à contact@prolys.fr ou adressez-vous à la coordination de votre établissement.
Cookies et traceurs
- Aucun cookie tiers n'est déposé par Prolys.
- Aucun traceur publicitaire ou analytics tiers (Google Analytics, Meta Pixel, etc.) n'est utilisé.
- Le stockage local du navigateur (localStorage) est utilisé uniquement pour le cache d'interface et vos préférences personnelles — exonéré du consentement préalable (article 82 de la loi Informatique et Libertés).
- Les cookies techniques de session Supabase Auth sont strictement nécessaires au fonctionnement et donc exonérés du consentement.
Sécurité
- Connexions HTTPS systématiques (TLS 1.2+).
- Authentification Supabase Auth — JWT signés, mots de passe stockés sous forme de hachages bcrypt.
- Cloisonnement multi-tenant via Row Level Security (RLS) Postgres : chaque établissement ne voit que ses propres données.
- Audit trail des actions sensibles (validation, clôture, suppression).
- Monitoring continu des erreurs via Sentry.
Modifications de la présente politique
La présente politique peut être mise à jour pour refléter une évolution des traitements ou de la réglementation. Toute mise à jour fait l'objet d'un incrément de version (1.0, 1.1, etc.) et vous est notifiée lors de votre prochaine connexion, avec demande d'acceptation explicite.
3. Conditions d'utilisation
Objet
Les présentes conditions définissent les modalités d'utilisation du service Prolys par les utilisateurs autorisés des établissements clients.
Accès au service
L'accès au service est strictement réservé aux utilisateurs disposant d'un compte personnel attribué par l'établissement qui leur donne accès à Prolys. Vos identifiants de connexion sont personnels et confidentiels : vous êtes responsable de leur conservation et ne devez en aucun cas les partager.
Obligations de l'utilisateur
- Utiliser le service conformément à sa destination professionnelle.
- Ne pas tenter de contourner les mesures de sécurité.
- Signaler sans délai tout incident de sécurité (compte compromis, suspicion d'accès non autorisé).
- Respecter la confidentialité des données auxquelles vous avez accès dans le cadre de vos fonctions.
Propriété intellectuelle
L'utilisateur dispose d'un droit d'usage personnel et non exclusif du service. Aucune cession de droit de propriété intellectuelle n'est consentie. Les données saisies par l'utilisateur restent la propriété de l'établissement de rattachement.
Responsabilité
CFAED met en œuvre les moyens techniques et organisationnels nécessaires pour assurer la disponibilité et la sécurité du service. Sa responsabilité ne saurait être engagée en cas d'indisponibilité due à un cas de force majeure, à une défaillance d'un sous-traitant indépendant, ou à un usage non conforme du service par l'utilisateur.
Droit applicable
Les présentes conditions sont régies par le droit français. Tout litige relatif à leur interprétation ou à leur exécution relève de la compétence des tribunaux français.