Politique de confidentialité

ProfOrga accorde une importance fondamentale à la protection de vos données. Cette politique explique quelles données nous traitons, pourquoi, et quels sont vos droits. Elle est rédigée en français clair, sans jargon inutile.

1. Responsable du traitement

MS MEDIA (Entreprise Individuelle)
SIRET : 508 904 752 00062
Contact : contact@proforga.fr

Vous pouvez exercer l'ensemble de vos droits RGPD ou poser toute question relative au traitement de vos données en écrivant à contact@proforga.fr.

2. Données collectées

2.1 — Données de compte

À l'inscription, nous collectons :

Civilité (Madame / Monsieur, pour personnaliser l'interface)
Prénom et nom (pour personnaliser l'interface et les communications)
Adresse e-mail (pour la connexion et les notifications)
Mot de passe (stocké sous forme hachée bcrypt, jamais en clair)
Établissement (facultatif, pour personnaliser certains contenus)

Aucune autre information personnelle n'est demandée à l'inscription (pas d'académie, pas de pièce justificative, pas de date de naissance, pas de matière obligatoire). Vous choisissez librement les informations complémentaires que vous renseignez dans votre espace personnel.

2.2 — Données pédagogiques

Vous saisissez librement dans votre espace les contenus pédagogiques nécessaires à votre activité : progressions, séquences, séances, classes, élèves, stages, notes. Ces contenus vous appartiennent.

2.3 — Données d'élèves

Les noms d'élèves ne sont jamais stockés en clair. Vous choisissez vous-même un pseudonyme pour chaque élève (par exemple "A. Martin", "élève 12", ou toute autre forme). Seul ce pseudonyme est enregistré dans notre base. La correspondance pseudonyme ↔ vrai nom reste sous votre seul contrôle, sur votre poste.

Aucune donnée nominative complète d'élève, aucune date de naissance, aucune photo, aucune adresse ne transite par nos serveurs.

2.4 — Données techniques

Comme tout site web, nos serveurs enregistrent automatiquement certaines informations techniques : adresse IP, type de navigateur, date et heure d'accès. Ces journaux sont limités au strict minimum nécessaire à la sécurité et au bon fonctionnement du service.

2.5 — Données de paiement

Les paiements sont traités par notre prestataire Stripe (voir section 5). Lorsque vous souscrivez à un abonnement payant, les informations suivantes sont transmises à Stripe :

votre adresse email et votre nom (pour émettre la facture),
l'adresse de facturation que vous saisissez,
les données de votre carte bancaire (numéro, date, CVC) que vous saisissez directement sur la page sécurisée de Stripe,
votre adresse IP au moment du paiement (pour la lutte anti-fraude).

Nous ne voyons et ne stockons jamais votre numéro de carte bancaire : il est saisi directement sur l'interface chiffrée de Stripe, certifiée PCI-DSS niveau 1 (le plus haut niveau de sécurité bancaire). ProfOrga conserve uniquement les éléments comptables obligatoires : montant, date, statut du paiement, et un identifiant technique opaque permettant de retrouver la transaction côté Stripe en cas de réclamation.

3. Finalités et bases légales

Vos données sont traitées exclusivement pour les finalités suivantes :

Fourniture du service (gestion de votre espace, sauvegarde de vos contenus) — base légale : exécution du contrat
Facturation — base légale : obligation légale (comptabilité)
Sécurité (détection d'abus, journaux techniques) — base légale : intérêt légitime
Communication relative au service (e-mails techniques, mises à jour importantes) — base légale : exécution du contrat

Nous n'utilisons jamais vos données à des fins publicitaires, de profilage commercial, d'analyse statistique destinée à des tiers, ou d'entraînement de modèles d'intelligence artificielle.

4. Durées de conservation

Données de compte et contenus pédagogiques (compte actif) : conservés tant que votre compte est actif. En cas de suppression volontaire de votre compte depuis votre espace, les données sont définitivement effacées dans un délai de 30 jours. Les sauvegardes les contenant sont rotées dans les 30 jours suivants (60 jours maximum après suppression du compte).
Compte d'essai expiré sans souscription : à l'issue de votre période d'essai de 14 jours, si vous ne souscrivez pas à l'abonnement payant, votre compte est bloqué mais vos données restent conservées en sécurité pendant 3 ans. Cette durée correspond à la durée maximale de conservation des données de prospects autorisée par le RGPD (cf. recommandation CNIL). Elle vous permet de réactiver votre compte plus tard sans perdre votre travail si vous changez d'avis. Vous pouvez à tout moment demander la suppression immédiate de vos données via votre espace ou par email à contact@proforga.fr.
Données comptables (factures) : conservées 10 ans conformément à l'article L. 123-22 du Code de commerce.
Journaux techniques : conservés 12 mois maximum.
Cookie de session : effacé à la déconnexion ou expire automatiquement après une période d'inactivité.

5. Destinataires et sous-traitants

Vos données sont accessibles uniquement par l'éditeur (MS MEDIA) dans le cadre strict de l'exploitation du service. Nous faisons appel à un nombre minimal de sous-traitants, tous situés en Union européenne, encadrés par des contrats de sous-traitance conformes à l'article 28 du RGPD.

🇩🇪 Hébergement applicatif
IONOS SE · Elgendorfer Str. 57, 56410 Montabaur, Allemagne
Finalité : hébergement du site, des bases de données et des sauvegardes
Données concernées : intégralité des données du service (compte, contenus pédagogiques, données techniques)
Localisation : datacenters en Allemagne (Union européenne)
Garanties : certifications ISO 27001, conformité RGPD, hébergeur allemand soumis au droit allemand (BDSG) et au RGPD européen

💳 Traitement des paiements
Stripe Payments Europe, Ltd · 1 Grand Canal Street Lower, Dublin 2, Irlande
Finalité : traitement sécurisé des paiements par carte bancaire, émission des factures, lutte contre la fraude
Données concernées : email, nom, adresse de facturation, données carte bancaire (jamais visibles par ProfOrga), adresse IP au moment du paiement, montant et date des transactions
Localisation : Irlande (Union européenne) avec stockage des données dans des datacenters européens
Garanties : certification PCI-DSS niveau 1 (norme bancaire la plus exigeante), conformité RGPD, contrat de sous-traitance signé
Transparence : politique de confidentialité de Stripe consultable sur stripe.com/fr/privacy

📧 Emails transactionnels
Brevo (Sendinblue SAS) · 106 boulevard Haussmann, 75008 Paris, France
Finalité : acheminement des emails techniques (confirmation d'inscription, réinitialisation de mot de passe, factures, notifications de service)
Données concernées : adresse email du destinataire, contenu du message
Localisation : France (Union européenne)
Garanties : entreprise française, conformité RGPD, contrat de sous-traitance signé

Aucun sous-traitant n'a accès à vos contenus pédagogiques (séquences, classes, notes, etc.) en dehors de l'hébergeur, qui ne peut techniquement pas les lire (chiffrement applicatif côté ProfOrga pour les données sensibles).

ProfOrga ne vend, ne loue, ni ne partage vos données à des tiers à des fins commerciales, publicitaires ou de profilage. Aucun cookie tiers de tracking n'est déposé sur votre navigateur.

6. Localisation et transferts

Vos données du service sont hébergées exclusivement en Union européenne, chez IONOS SE (Allemagne). Aucun transfert n'est effectué vers les États-Unis ou tout autre pays hors UE pour ce qui concerne vos contenus pédagogiques, votre compte et vos données techniques.

ProfOrga n'est pas soumis au Cloud Act américain ni à toute autre législation extraterritoriale similaire pour son hébergement applicatif.

Cas particulier : données de paiement

Notre prestataire de paiement Stripe est juridiquement établi en Irlande (UE) via l'entité Stripe Payments Europe Ltd, et stocke vos données dans des datacenters européens. Cette entité est toutefois filiale de Stripe Inc. (États-Unis).

En conséquence, dans des cas très limités (réquisition judiciaire américaine, obligation légale extraterritoriale), un transfert vers Stripe Inc. pourrait théoriquement intervenir. Ce transfert est encadré par les clauses contractuelles types de la Commission européenne (décision d'exécution 2021/914), qui constituent un mécanisme reconnu par le RGPD pour les transferts vers les pays tiers.

En pratique, les seules données concernées seraient celles strictement liées au paiement (email, nom, montant, date). Vos contenus pédagogiques restent exclusivement hébergés en Allemagne et ne sont jamais transmis à Stripe.

7. Vos droits

Conformément au RGPD, vous disposez à tout moment des droits suivants :

Droit d'accès : obtenir une copie de vos données
Droit de rectification : corriger des données inexactes
Droit à l'effacement : supprimer votre compte et vos données
Droit à la portabilité : exporter vos données dans un format ouvert (JSON)
Droit d'opposition : vous opposer à un traitement
Droit à la limitation du traitement

La plupart de ces droits peuvent être exercés directement depuis votre espace compte (export, suppression). Pour toute autre demande, écrivez à contact@proforga.fr. Nous répondons sous un mois maximum.

Vous avez également le droit d'introduire une réclamation auprès de la CNIL (Commission nationale de l'informatique et des libertés) si vous estimez que vos droits ne sont pas respectés.

8. Cookies et mesure d'audience

8.1 Cookies tiers et trackers : aucun

ProfOrga n'utilise aucun cookie tiers, aucun tracker, aucun pixel publicitaire. Pas de Google Analytics, pas de Facebook Pixel, pas de Hotjar.

Le seul cookie déposé est le cookie de session technique, strictement nécessaire au fonctionnement du service (il permet de vous garder connecté entre deux pages) :

Nom : proforga_sid
Attributs : HttpOnly, SameSite=Lax, Secure
Durée : limitée à la session, effacée à la déconnexion
Finalité : authentification et continuité de votre navigation

Ce cookie étant strictement nécessaire au service, son utilisation ne nécessite pas votre consentement préalable (article 82 de la loi Informatique et Libertés, ligne directrice CNIL).

8.2 Mesure d'audience exemptée de consentement

Pour comprendre quelles pages intéressent nos visiteurs et améliorer notre site, nous mesurons l'audience de manière strictement conforme aux critères CNIL d'exemption au consentement (lignes directrices du 17 mars 2021) :

Sans cookie ni traceur : la mesure est faite uniquement côté serveur
Sans tiers : les données restent sur les serveurs ProfOrga, jamais transmises ailleurs
Adresse IP pseudonymisée immédiatement avec un sel cryptographique renouvelé chaque jour, ce qui rend impossible le suivi d'un visiteur d'un jour à l'autre
Aucun fingerprinting du navigateur
Aucun suivi inter-sites
Conservation limitée à 13 mois, purgée automatiquement

Les informations collectées se limitent à : la page consultée, le domaine du site référent (le cas échéant), le type d'appareil (ordinateur / mobile / tablette) et la famille de navigateur. Aucune de ces informations n'est rattachée à votre identité.

Pour vous opposer à cette mesure d'audience, activez l'option « Do Not Track » de votre navigateur. ProfOrga respecte automatiquement ce signal et ne vous comptera pas dans ses statistiques.

9. Sécurité

Nous mettons en œuvre les mesures techniques et organisationnelles appropriées pour protéger vos données :

Chiffrement des échanges via TLS 1.3 (HTTPS strict, HSTS) ; mots de passe et données au repos en base hébergée chez IONOS Allemagne
Mots de passe hachés avec bcrypt (jamais stockés en clair)
Protection CSRF systématique sur les actions sensibles
Content Security Policy stricte
Cloisonnement strict entre comptes (vos données ne sont accessibles qu'à vous)
Mises à jour de sécurité appliquées régulièrement

10. Évolution de la politique

Cette politique peut être amenée à évoluer pour refléter des changements de service ou de législation. Toute modification substantielle sera notifiée par e-mail aux utilisateurs concernés et par une mention claire en haut de cette page. La date de dernière mise à jour figure en haut.