Politique de confidentialité

Dernière mise à jour : 8 mai 2026

La présente politique décrit comment droitdesaps.fr collecte et traite vos données à caractère personnel, conformément au Règlement (UE) 2016/679 (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée (Informatique et Libertés).

1. Responsable de traitement

Vincent DAVID — entrepreneur individuel, SIRET 524 896 792 00032
21/23 Boulevard Richard-Lenoir, 75011 Paris
Contact : contact@droitdesaps.fr

Aucun délégué à la protection des données (DPO) n'est désigné, l'activité ne relevant pas des cas d'obligation prévus à l'article 37 du RGPD. Toute demande relative à vos données peut être adressée directement à l'adresse ci-dessus.

2. Données collectées

Selon votre interaction avec le site, les catégories de données suivantes peuvent être collectées :

Identification & compte apprenant — adresse email, nom et prénom (facultatifs), identifiant interne, mot de passe haché.
Données de commande — capsules ou parcours achetés, montant, date, identifiant de paiement Stripe (jamais de numéro de carte stocké chez nous).
Données de progression pédagogique — capsules consultées, score aux quiz, date d'obtention des attestations.
Demandes de contact — message, email de contact, nom (facultatif), organisation (facultatif), métadonnées d'envoi.
Inscription veille APStualité — adresse email, date de consentement.
Données de navigation agrégées — pages vues, source de trafic, navigateur (sans cookies, voir politique cookies).
Logs techniques — adresse IP, horodatage, en-têtes HTTP, conservés par l'hébergeur à des fins de sécurité.

Aucune donnée sensible au sens de l'article 9 du RGPD (santé, opinions, biométrie…) n'est collectée.

3. Finalités et bases légales

Finalité	Base légale (RGPD art. 6)
Création et gestion du compte apprenant	Exécution du contrat — art. 6.1.b
Traitement et suivi des commandes, accès aux capsules	Exécution du contrat — art. 6.1.b
Facturation et conservation des justificatifs comptables	Obligation légale — art. 6.1.c (art. L. 123-22 C. com.)
Délivrance d'attestations PDF de fin de capsule	Exécution du contrat — art. 6.1.b
Réponse aux demandes via le formulaire de contact	Mesures précontractuelles ou intérêt légitime — art. 6.1.b / art. 6.1.f
Envoi de la veille hebdomadaire APStualité	Consentement — art. 6.1.a (révocable à tout moment)
Mesure d'audience anonyme (Plausible Analytics)	Intérêt légitime — art. 6.1.f (sans cookies, exempté de consentement)
Sécurité du service, prévention de la fraude, lutte contre les abus	Intérêt légitime — art. 6.1.f

4. Destinataires et sous-traitants

Vos données ne sont jamais vendues, louées, ni cédées à des tiers à des fins commerciales. Elles peuvent être communiquées aux sous-traitants suivants, strictement pour les finalités décrites ci-dessus, dans le cadre d'accords écrits comportant les clauses RGPD requises (article 28) :

Sous-traitant	Rôle	Localisation
Vercel Inc.	Hébergement du site et exécution serveur	États-Unis · DPF
Supabase Inc.	Base de données comptes, authentification, stockage	Union européenne (région Frankfurt)
Stripe Payments Europe Ltd	Encaissement et gestion des paiements	Irlande (UE) · groupe Stripe Inc. États-Unis · DPF
Resend (Resend Inc.)	Envoi des emails transactionnels et veille	États-Unis · DPF
Plausible Insights OÜ	Mesure d'audience anonyme (sans cookies)	Estonie (UE)
Gandi SAS	Réservation du nom de domaine, redirection email	France (UE)

5. Durées de conservation

Compte apprenant actif : pendant toute la durée d'utilisation du compte.
Compte apprenant inactif : 3 ans après la dernière connexion, puis suppression ou anonymisation, sous réserve des durées légales ci-dessous.
Données comptables (factures, justificatifs de paiement) : 10 ans à compter de la clôture de l'exercice (article L. 123-22 du Code de commerce).
Données de prospection (newsletter APStualité) : jusqu'à retrait du consentement, puis suppression sous 30 jours.
Demandes de contact : 3 ans à compter du dernier contact.
Logs techniques de sécurité : 12 mois (recommandation CNIL).
Cookies / mesure d'audience : voir la politique cookies.

6. Transferts hors Union européenne

Certains sous-traitants (Vercel, Stripe Inc., Resend) sont établis ou exploitent une infrastructure aux États-Unis. Les transferts vers ces destinataires sont encadrés par :

le Data Privacy Framework (DPF) — décision d'adéquation de la Commission européenne du 10 juillet 2023, le sous-traitant étant inscrit au registre tenu par le Département du commerce américain ; et/ou
les clauses contractuelles types (CCT) de la Commission européenne (décision d'exécution UE 2021/914), accompagnées le cas échéant de mesures techniques supplémentaires.

La liste à jour des entreprises certifiées DPF est consultable sur dataprivacyframework.gov.

7. Vos droits

Dans les conditions prévues aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

Droit d'accès : obtenir la confirmation que vos données sont traitées et en recevoir une copie.
Droit de rectification : corriger des données inexactes ou incomplètes.
Droit à l'effacement (« droit à l'oubli ») : sous réserve des obligations légales de conservation.
Droit à la limitation du traitement.
Droit à la portabilité : recevoir vos données dans un format structuré, ou les transmettre à un autre responsable.
Droit d'opposition, notamment au traitement fondé sur l'intérêt légitime ou à des fins de prospection.
Droit de retrait du consentement à tout moment, pour les traitements fondés sur celui-ci (newsletter).
Droit de définir des directives post mortem relatives à la conservation, l'effacement ou la communication de vos données après votre décès.

Pour exercer ces droits, écrivez à contact@droitdesaps.fr. Une réponse vous sera apportée dans un délai d'un mois (article 12 RGPD), porté à trois mois en cas de demande complexe. Une preuve d'identité pourra être demandée en cas de doute raisonnable.

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL), 3 place de Fontenoy, TSA 80715, 75334 Paris cedex 07 — cnil.fr/fr/plaintes.

8. Sécurité

Des mesures techniques et organisationnelles appropriées sont mises en œuvre pour protéger vos données contre l'accès non autorisé, l'altération, la divulgation ou la destruction : chiffrement HTTPS/TLS, hachage des mots de passe, authentification serveur, séparation des environnements, journalisation des accès administratifs, limitation des privilèges.

En cas de violation de données susceptible d'engendrer un risque élevé pour vos droits et libertés, vous serez informé conformément à l'article 34 du RGPD, et la CNIL sera notifiée sous 72 heures (article 33 RGPD).

9. Cookies et traceurs

Le site n'utilise pas de cookies publicitaires ni de traceurs comportementaux. La mesure d'audience est assurée par Plausible Analytics en mode privacy-by-design, sans cookies et sans collecte d'identifiants individuels (conformité aux lignes directrices CNIL — délibération n° 2020-091).

Pour le détail : politique cookies.

10. Modifications

La présente politique peut être mise à jour pour refléter des évolutions légales, techniques ou organisationnelles. La date de mise à jour figure en tête de page. Toute modification substantielle sera signalée aux utilisateurs disposant d'un compte par email.

Voir aussi : mentions légales · CGV · politique cookies.