Politique de confidentialité

La présente politique décrit comment HelKiSea collecte, utilise et protège les données personnelles des utilisateurs de la plateforme, conformément au Règlement général sur la protection des données (Règlement UE 2016/679, ci-après « RGPD ») et à la loi Informatique et Libertés du 6 janvier 1978 modifiée.

Le responsable du traitement est {{RAISON_SOCIALE}}, représenté par {{REPRESENTANT_LEGAL}}, dont le siège social est situé {{ADRESSE_SIEGE}}. Pour toute question relative au traitement de vos données, vous pouvez écrire à {{EMAIL_CONTACT}}.

Un point de contact dédié aux questions RGPD est joignable à l'adresse {{DPO_EMAIL}}. Il instruit toute demande d'exercice de droits et assure la conformité des traitements.

Les données traitées dépendent des services utilisés et sont limitées à ce qui est strictement nécessaire :

• Données de profil : nom, prénom, adresse email, rôle (apprenant, formateur, administrateur), établissement de rattachement le cas échéant, avatar éventuel.
• Données de progression : modules consultés, quiz réalisés, scores, réponses, niveau de maîtrise des cartes de révision espacée, taux de complétion.
• Données de gamification : points d'expérience (XP), badges débloqués, streak quotidien et historique de sessions.
• Logs d'activité : horodatage de connexion, adresse IP, agent utilisateur, événements techniques utiles au diagnostic et à la sécurité.
• Données de facturation : pour les abonnements payants, les informations nécessaires au paiement sont collectées directement par notre prestataire Stripe ; HelKiSea ne stocke aucun numéro de carte bancaire.
• Communications : contenu des messages adressés au support, réponses aux formulaires de contact, préférences de communication.

Chaque traitement répond à une finalité précise :

• Fourniture du service (création de compte, authentification, parcours pédagogique, gamification) — base légale : exécution du contrat (art. 6.1.b RGPD).
• Suivi pédagogique par le CFA lorsqu'un apprenant est rattaché à une promotion — base légale : exécution d'une mission d'intérêt pédagogique prévue au contrat avec l'établissement.
• Facturation et comptabilité — base légale : obligation légale (art. 6.1.c RGPD).
• Amélioration du service via l'analyse agrégée et anonymisée de la progression — base légale : intérêt légitime de l'éditeur (art. 6.1.f RGPD) à adapter ses contenus aux besoins réels.
• Communications transactionnelles (email de bienvenue, invitations, assignations, rappels de streak, obtention de badges) — base légale : exécution du contrat.
• Sécurité et prévention de la fraude — base légale : intérêt légitime et obligation légale.

Aucun traitement à des fins de prospection commerciale tierce ni aucune décision entièrement automatisée produisant des effets juridiques n'est mis en œuvre sur la plateforme.

Les données de compte et de progression sont conservées pendant toute la durée de la relation contractuelle et pour une durée de trois ans à compter de la dernière connexion active de l'utilisateur. Passé ce délai, le compte est anonymisé ou supprimé.

Les factures et documents comptables sont conservés dix ans conformément au Code de commerce. Les logs techniques sont conservés au maximum douze mois. Les contenus anonymisés utilisés pour l'amélioration pédagogique ne permettent plus de réidentifier l'utilisateur.

Les données ne sont jamais cédées ni revendues. Elles ne sont accessibles qu'aux personnes habilitées au sein de HelKiSea et, dans le cadre du suivi pédagogique, aux formateurs et administrateurs du CFA de rattachement.

Les sous-traitants techniques suivants interviennent pour le compte de HelKiSea, encadrés par des accords de traitement conformes au RGPD :

• IONOS (France) — hébergement et infrastructure.
• Stripe (Irlande / États-Unis) — traitement des paiements et facturation.
• Meilisearch (autohébergé) — moteur de recherche interne.
• Serveur SMTP via nodemailer — acheminement des emails transactionnels.
• Anthropic (États-Unis) — génération de scénarios pédagogiques via l'API Claude, avec des requêtes ne contenant pas de données directement identifiantes.

Certains sous-traitants, notamment Anthropic et Stripe, peuvent traiter des données depuis les États-Unis. Ces transferts sont encadrés par les clauses contractuelles types adoptées par la Commission européenne (SCC 2021/914) et, le cas échéant, par les cadres de protection adéquate reconnus par la Commission. Des mesures techniques et organisationnelles complémentaires (pseudonymisation, chiffrement en transit, minimisation) sont mises en œuvre pour protéger les données transférées.

HelKiSea utilise exclusivement des cookies strictement nécessaires au fonctionnement du service : cookies de session, d'authentification et de sécurité. Ces cookies ne requièrent pas de consentement préalable, conformément à la recommandation de la CNIL.

Si des cookies de mesure d'audience ou d'analyse étaient ajoutés ultérieurement, une bannière de consentement serait mise en place et la présente politique serait mise à jour en conséquence.

HelKiSea met en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données : chiffrement TLS, hachage des mots de passe, journalisation des accès, sauvegardes régulières, cloisonnement des environnements et revue périodique des habilitations.

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :

• droit d'accèsà vos données et d'obtenir une copie,
• droit de rectification des données inexactes ou incomplètes,
• droit à l'effacement dans les conditions prévues par le règlement,
• droit à la limitation du traitement,
• droit à la portabilité des données fournies,
• droit d'opposition pour motif légitime,
• droit de définir des directives relatives au sort de vos données après votre décès.

Pour exercer ces droits, adressez votre demande à {{DPO_EMAIL}}, accompagnée de tout élément permettant de vérifier votre identité. Une réponse vous sera apportée dans un délai maximum d'un mois.

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez adresser une réclamation à la Commission nationale de l'informatique et des libertés (CNIL), 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, ou via le site cnil.fr.

La présente politique peut être amenée à évoluer en fonction des évolutions réglementaires ou des fonctionnalités de la plateforme. Toute modification substantielle est portée à la connaissance des utilisateurs par une information dans l'espace personnel ou par courriel.