Politique de confidentialité
Édition inaugurale 2026 · mise à jour : juin 2026
1. Responsable du traitement
Le responsable du traitement des données personnelles collectées via le site cfs-institute.org et la plateforme d'apprentissage CFSI est l'entreprise individuelle CFS-Institute, SIREN 947 500 310, siège social 99 rue de la Rabaterie, 37700 Saint-Pierre-des-Corps, France. Contact : contact@cfs-institute.org.
2. Finalités, données et bases légales
Le CFS-Institute traite les données à caractère personnel pour les finalités suivantes :
| Finalité | Données traitées | Base légale | Durée |
|---|---|---|---|
| Création de compte et accès aux certifications | Nom, prénom, e-mail, mot de passe haché, pays | Exécution du contrat | Compte actif + 3 ans après inactivité |
| Suivi pédagogique et examen | Progression, tentatives, scores, certificats émis | Exécution du contrat | Durée d'accès + 10 ans (preuve de certification) |
| Paiement | Montant, méthode, identifiant transaction (jamais le n° de carte) | Obligation légale | 10 ans (obligations fiscales et comptables) |
| Communauté professionnelle (Club OHADA) | Profil public, publications, numéro de membre brouillé | Consentement | Jusqu'à demande de suppression |
| Support utilisateur | E-mail, contenu des échanges | Intérêt légitime | 3 ans après dernier contact |
| Sécurité, prévention de la fraude et intégrité des examens | Logs techniques, adresse IP, métadonnées des tentatives | Intérêt légitime | 12 mois (logs) / durée certificat + 10 ans (métadonnées d'examen) |
3. Destinataires et sous-traitants
Les données sont accessibles aux personnels habilités du CFS-Institute et aux sous-traitants strictement nécessaires à la prestation :
- Supabase Inc. (970 Toa Payoh North, Singapour) : hébergement de la base de données et des fichiers, conformément à un contrat de sous-traitance encadré par les clauses contractuelles types européennes.
- Hostinger International Ltd (61 Lordou Vironos, Larnaca, Chypre) : hébergement des sites web et des API.
- CinetPay et Campay : traitement des paiements Mobile Money et carte.
- Anthropic, PBC et autres prestataires d'IA, pour les requêtes adressées à l'assistant Legix'IA, dans le respect de l'absence d'entraînement sur les données utilisateurs.
- Resend et Hostinger SMTP : acheminement des e-mails transactionnels.
Aucune donnée n'est revendue à des tiers à des fins commerciales ni utilisée pour de la publicité comportementale.
4. Transferts hors Union européenne
Certains sous-traitants sont établis hors Union européenne (Singapour, Chypre, États-Unis). Ces transferts sont encadrés par les clauses contractuelles types adoptées par la Commission européenne en 2021 et, le cas échéant, par les décisions d'adéquation applicables. Les durées et la sécurité des transferts sont auditées annuellement.
5. Vos droits
Conformément au Règlement (UE) 2016/679 (RGPD) et à la loi française n° 78-17 du 6 janvier 1978 modifiée, vous disposez des droits suivants sur vos données :
- Droit d'accès et de copie
- Droit de rectification
- Droit à l'effacement (sous réserve des obligations légales de conservation)
- Droit à la limitation du traitement
- Droit d'opposition pour les traitements fondés sur l'intérêt légitime
- Droit à la portabilité pour les données traitées par contrat ou consentement
- Droit de retirer son consentement à tout moment (pour les traitements fondés sur ce dernier)
- Droit d'introduire une réclamation auprès d'une autorité de contrôle
Pour exercer ces droits, écrivez à contact@cfs-institute.org en précisant votre demande. Une copie de pièce d'identité peut être demandée pour vérifier votre identité. La réponse est apportée dans un délai d'un mois, prolongeable de deux mois en cas de complexité.
6. Autorité de contrôle
L'autorité de contrôle compétente est la Commission nationale de l'informatique et des libertés (CNIL) : 3 place de Fontenoy, 75007 Paris, www.cnil.fr.
7. Sécurité
Le CFS-Institute met en œuvre des mesures techniques et organisationnelles proportionnées au risque, parmi lesquelles : chiffrement TLS de toutes les communications, hachage des mots de passe (bcrypt), authentification à deux facteurs disponible, journalisation des accès administrateurs, sauvegardes chiffrées, revue d'accès semestrielle, formation continue des collaborateurs.
8. Cookies et traceurs
Le site utilise uniquement les cookies strictement nécessaires au fonctionnement du service. Le détail figure sur la page Cookies.
9. Modifications
La présente politique peut être mise à jour pour tenir compte des évolutions réglementaires ou des évolutions du service. La version en vigueur est toujours celle publiée sur cette page, datée en tête. Les modifications substantielles sont notifiées par e-mail aux utilisateurs disposant d'un compte actif.