1. Responsable du traitement et contact RGPD
Responsable de traitement : Pedagora — SARL à associé unique (EURL) au capital de 500 €
Siège social : 146 rue Bonnat, 31400 Toulouse, France
SIREN : 102 955 382 — RCS : Toulouse 102 955 382
Représentée par : Marie Sandré, gérante
Contact général : contact@pedagora.fr
Contact dédié RGPD : dpo@pedagora.fr
Compte tenu de la taille de la structure et de la nature des traitements, Pedagora n'a pas l'obligation de désigner un délégué à la protection des données (DPO) au sens de l'article 37 du RGPD. Une adresse dédiée (dpo@pedagora.fr) est néanmoins mise à votre disposition pour faciliter l'exercice de vos droits et toute question relative à la protection de vos données personnelles.
2. Données collectées
Selon votre usage du Site, Pedagora peut collecter les données suivantes :
2.1 À la création de compte
- nom, prénom ;
- adresse e-mail ;
- mot de passe (stocké sous forme hachée — jamais en clair) ;
- éventuellement : profession, organisation, objectifs d'apprentissage (si renseignés volontairement).
Cas particulier — achat sans compte préexistant : si vous lancez un achat sans être connecté, un compte Pedagora est automatiquement créé à partir du nom, prénom et e-mail saisis dans le tunnel d'achat, avant la redirection vers Stripe. Ce traitement est nécessaire à l'exécution du contrat (art. 6.1.b du RGPD) pour vous garantir l'accès aux produits commandés. En cas d'abandon du paiement, aucun accès n'est ouvert ; le compte inactif est conservé au maximum 12 mois puis purgé automatiquement.
2.2 Lors des achats
- détails de la commande (formations, forfaits) ;
- historique de facturation ;
- les données bancaires ne transitent pas par nos serveurs : elles sont collectées et traitées exclusivement par Stripe.
2.3 Lors de l'utilisation des formations
- progression, modules consultés, quiz réalisés, scores ;
- messages échangés avec les assistants IA Ma'ia et Lid'ia ;
- évaluations et commentaires que vous laissez sur les formations ;
- données techniques : adresse IP, type de navigateur, pages consultées, événements d'interaction (à des fins de mesure d'audience et de sécurité).
2.4 Lors de l'accompagnement individuel
- créneaux réservés, historique de sessions ;
- notes prises lors des séances (conservées uniquement si vous les sauvegardez dans l'espace).
3. Finalités et bases légales
| Finalité | Base légale (RGPD art. 6) | Durée indicative |
|---|---|---|
| Gestion du compte utilisateur et accès aux formations | Exécution du contrat (art. 6.1.b) | Durée de la relation + 3 ans |
| Traitement des achats et facturation | Exécution du contrat + obligation légale (art. 6.1.b et 6.1.c) | 10 ans (obligation comptable) |
| Suivi pédagogique et délivrance du certificat | Exécution du contrat (art. 6.1.b) | Durée du compte + 3 ans |
| Réponse aux assistants IA (Ma'ia, Lid'ia) | Exécution du contrat (art. 6.1.b) | Conservation des échanges : 12 mois |
| Envoi d'e-mails de service (confirmations, rappels) | Exécution du contrat (art. 6.1.b) | Durée du compte |
| Envoi de communications marketing | Consentement (art. 6.1.a) — retirable à tout moment | Jusqu'au retrait ou 3 ans d'inactivité |
| Mesure d'audience anonymisée (Plausible) et tracking interne | Intérêt légitime (art. 6.1.f) — sans cookies d'identification | 13 mois pour les données agrégées |
| Sécurité du service (détection de fraude, rate limiting) | Intérêt légitime (art. 6.1.f) | 12 mois (logs de sécurité) |
| Amélioration des formations à partir des retours agrégés | Intérêt légitime (art. 6.1.f) | Agrégation sans lien avec un utilisateur identifié |
4. Destinataires et sous-traitants
Vos données sont accessibles uniquement à Pedagora (la gérante) et à ses sous-traitants techniques, tous liés par un engagement de confidentialité et un contrat conforme à l'article 28 du RGPD :
| Prestataire | Rôle | Localisation |
|---|---|---|
| o2switch | Hébergement du Site et de la base de données | Clermont-Ferrand, France (UE) |
| Stripe Payments Europe Ltd. | Traitement des paiements par carte bancaire | Dublin, Irlande (UE) |
| Mistral AI | Modèle IA pour génération des réponses Ma'ia / Lid'ia et de contenus pédagogiques | Paris, France (UE) |
| OpenAI, L.L.C. | Modèle IA (ChatGPT via API) utilisé en complément pour certaines générations de contenu pédagogique et certaines réponses des assistants. Aucune donnée personnelle identifiable de l'apprenant n'est transmise au-delà du contenu strictement nécessaire à la requête. Les conditions de l'API OpenAI Business prévoient que les données ne sont pas utilisées pour entraîner les modèles. | États-Unis — encadré par les clauses contractuelles types de la Commission européenne (décision 2021/914) et le Data Processing Addendum d'OpenAI |
| Plausible Analytics | Mesure d'audience sans cookies ni données personnelles identifiables | Allemagne (UE) |
| Microsoft (Bookings) | Planification des sessions d'accompagnement individuel | UE (option de localisation activée) |
Vos données ne sont jamais vendues ni cédées à des tiers à des fins commerciales.
5. Transferts hors Union européenne
Pedagora privilégie des prestataires européens. L'hébergement, le paiement et la mesure d'audience sont opérés par des entités situées dans l'Union européenne (o2switch, Stripe Ireland, Plausible Allemagne).
L'usage du modèle OpenAI implique en revanche un transfert de données vers les États-Unis. Ce transfert est encadré par :
- les clauses contractuelles types de la Commission européenne (décision 2021/914) ;
- le Data Processing Addendum d'OpenAI ;
- une limitation stricte aux données nécessaires à la requête (Pedagora ne transmet pas d'identifiants directs ni de données sensibles dans les prompts).
L'utilisateur est invité à ne pas communiquer d'informations particulièrement sensibles dans ses échanges avec les assistants IA.
6. Durées de conservation
Les durées indicatives figurent dans le tableau de la section 3. De manière synthétique :
- Compte actif : conservation pendant toute la durée de la relation contractuelle ;
- Compte inactif (3 ans sans connexion) : anonymisation ou suppression, avec information préalable ;
- Factures : 10 ans (obligation comptable, art. L.123-22 du Code de commerce) ;
- Logs de sécurité : 12 mois maximum ;
- Données de prospection : 3 ans à compter du dernier contact.
7. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès — obtenir la confirmation que vos données sont traitées et en recevoir une copie ;
- Droit de rectification — faire corriger des données inexactes ou incomplètes ;
- Droit à l'effacement (« droit à l'oubli ») — faire supprimer vos données sous réserve des obligations légales ;
- Droit à la limitation du traitement dans certains cas ;
- Droit à la portabilité — recevoir vos données dans un format structuré et couramment utilisé ;
- Droit d'opposition au traitement, notamment à des fins de prospection ;
- Droit de retirer votre consentement à tout moment, pour les traitements qui en dépendent ;
- Droit de définir des directives post-mortem relatives à la conservation et la communication de vos données après votre décès.
Pour exercer ces droits, adressez votre demande par e-mail à contact@pedagora.fr, accompagnée d'un justificatif d'identité si nécessaire. Nous vous répondrons dans un délai d'un mois maximum.
8. Sécurité des données
Pedagora met en œuvre des mesures techniques et organisationnelles adaptées pour protéger vos données :
- chiffrement des échanges entre votre navigateur et le serveur (HTTPS / TLS) ;
- hachage robuste des mots de passe (aucun mot de passe stocké en clair) ;
- contrôle d'accès strict aux données côté serveur ;
- limitation du nombre de tentatives de connexion et mécanismes anti-brute force ;
- en-têtes de sécurité HTTP (CSP, HSTS, X-Frame-Options…) ;
- sauvegardes régulières hébergées en France ;
- audit de sécurité interne et correctifs appliqués dès leur identification.
En cas de violation de données susceptible d'engendrer un risque élevé pour vos droits et libertés, Pedagora s'engage à vous en informer dans les meilleurs délais et à notifier la CNIL conformément aux articles 33 et 34 du RGPD.
10. Réclamation auprès de la CNIL
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez adresser une réclamation à la Commission nationale de l'informatique et des libertés (CNIL) :
CNIL
3 place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07
Téléphone : 01 53 73 22 22
Site : www.cnil.fr