Politique de Confidentialité

1. Responsable du traitement et contact RGPD

Compte tenu de la taille de la structure et de la nature des traitements, Pedagora n'a pas l'obligation de désigner un délégué à la protection des données (DPO) au sens de l'article 37 du RGPD. Une adresse dédiée (dpo@pedagora.fr) est néanmoins mise à votre disposition pour faciliter l'exercice de vos droits.

2. Qualification du rôle de Pedagora

Pedagora intervient à deux titres distincts selon les traitements :

• Responsable de traitement pour les données collectées en propre : compte client (administrateurs des organismes de formation utilisant PédagoPlace), facturation, support, navigation sur le site web pedagoplace.fr.
• Sous-traitant au sens de l'article 28 du RGPD pour les données saisies par les organismes de formation clients dans le cadre de leur activité (données de leurs stagiaires, formateurs, contacts d'entreprises…). Chaque organisme de formation reste responsable de traitement de ces données ; Pedagora n'agit que sur ses instructions documentées.

3. Données collectées et traitées

3.1. Données des utilisateurs de la plateforme (administrateurs des OF) — Pedagora responsable

• Identité : nom, prénom, adresse électronique
• Identifiants de connexion (mot de passe stocké sous forme hachée)
• Rôles et permissions dans la plateforme
• Dates et historique de connexion
• Informations de facturation et de paiement (traitées par Stripe — non conservées par Pedagora au-delà du strict nécessaire à la facturation)

3.2. Données saisies par les organismes de formation — Pedagora sous-traitant

Dans le cadre de l'utilisation de la plateforme, les organismes de formation saisissent des données relatives à leurs activités. Pedagora traite ces données en qualité de sous-traitant au sens de l'article 28 du RGPD, sous la responsabilité exclusive de chaque organisme de formation. Ces données comprennent :

• Identité des stagiaires : civilité, nom, prénom, email, téléphone, date de naissance, adresse, entreprise
• Identité des formateurs : civilité, nom, prénom, email, téléphone, qualifications professionnelles
• Identité des contacts professionnels : contacts d'entreprises clientes, organismes financeurs, référents internes
• Données d'assiduité : présences, absences, émargements électroniques, horaires réels
• Données de suivi pédagogique : réponses aux questionnaires d'évaluation, résultats, commentaires
• Données de financement : informations relatives aux OPCO, CPF, montants de prise en charge
• Données de communication : historique des emails envoyés (métadonnées et contenu)
• Données de traçabilité technique : adresses IP collectées lors des signatures électroniques et validations, à des fins probatoires exclusivement
• Données relatives aux aménagements pédagogiques : nature des aménagements mis en œuvre (sans référence à un diagnostic médical ou statut administratif de santé)

3.3. Données collectées sur le site web (pedagoplace.fr)

• Données de navigation : adresse IP, type de navigateur, pages visitées, date et heure de connexion
• Données de contact : nom, prénom, email fournis via le formulaire de contact ou d'inscription Early Access

4. Finalités et bases légales

• Gestion du compte et fourniture du service — Base : exécution du contrat (Art. 6.1.b)
• Facturation et obligations comptables — Base : obligation légale (Art. 6.1.c) — conservation 10 ans
• Traçabilité réglementaire formation — Base : obligation légale (Art. 6.1.c — Code du travail)
• Sécurité et détection des incidents — Base : intérêt légitime (Art. 6.1.f)
• Communications de service — Base : exécution du contrat (Art. 6.1.b)
• Prospection et programme Early Access — Base : consentement (Art. 6.1.a)
• Génération assistée par IA de contenus pédagogiques — Base : exécution du contrat (Art. 6.1.b), à la demande explicite du client

5. Durées de conservation

• Données de compte actif : pendant toute la durée de l'abonnement
• Données de compte résilié : 3 ans après la résiliation (prescription civile)
• Données de facturation : 10 ans (obligation légale)
• Données de formation (stagiaires, sessions, présences) : 3 ans à compter de la fin de chaque action de formation (référentiel Qualiopi)
• Corps des emails archivés : 1 an — métadonnées (date, destinataire, sujet, statut) : 3 ans
• Logs de connexion : 1 an
• Données Early Access sans conversion : 3 ans à compter de l'inscription
• Prompts soumis aux modèles IA : non conservés au-delà du temps nécessaire à la génération de la réponse côté Pedagora ; voir conditions des sous-traitants ci-dessous.

À l'issue de ces délais, les données sont supprimées ou anonymisées.

6. Destinataires et sous-traitants

6.1. Accès interne

Marie Sandré, en qualité de gérante et de responsable technique, accède aux données dans la stricte limite nécessaire à la fourniture et à la maintenance du service.

6.2. Sous-traitants techniques

• O2switch (hébergement) — France — 222-224 Bd Gustave Flaubert, 63000 Clermont-Ferrand — UE
• Stripe Payments Europe Ltd. (paiement sécurisé) — Dublin, Irlande — UE — soumis au DPA Stripe et aux clauses contractuelles types UE
• Mistral AI (modèle d'intelligence artificielle utilisé en API pour la génération assistée de contenus pédagogiques) — Paris, France — UE
• OpenAI, L.L.C. (modèle d'intelligence artificielle ChatGPT utilisé en API pour la génération assistée de contenus pédagogiques) — États-Unis — encadré par les clauses contractuelles types de la Commission européenne et le Data Processing Addendum d'OpenAI ; les conditions de l'API OpenAI Business prévoient que les données ne sont pas utilisées pour entraîner les modèles

Les données transmises à Mistral AI et à OpenAI sont strictement limitées aux contenus contextuels nécessaires à la génération demandée (intitulés de formations, objectifs pédagogiques, structure de programme). Aucune donnée personnelle identifiable de stagiaires, formateurs ou contacts n'est transmise à ces sous-traitants IA.

Aucune donnée n'est vendue, louée ou cédée à des tiers à des fins commerciales.

7. Transferts hors Union Européenne

Les données sont hébergées en France (O2switch) et ne font l'objet d'aucun transfert hors de l'Union Européenne, à l'exception des sous-traitants suivants :

• OpenAI (États-Unis) : utilisation à la demande explicite de l'utilisateur pour la génération assistée de contenus pédagogiques. Encadré par les clauses contractuelles types de la Commission européenne (décision 2021/914) et le Data Processing Addendum d'OpenAI. Données transmises limitées aux contenus contextuels non identifiants.

Stripe et Mistral AI traitent les données depuis l'Union européenne ; les flux résiduels éventuels sont encadrés par les clauses contractuelles types.

8. Vos droits

Conformément au RGPD, vous disposez des droits suivants sur vos données :

• Droit d'accès : obtenir une copie des données vous concernant
• Droit de rectification : faire corriger des données inexactes
• Droit à l'effacement : demander la suppression, sous réserve des obligations légales de conservation
• Droit à la portabilité : recevoir vos données dans un format structuré
• Droit d'opposition : vous opposer aux traitements fondés sur l'intérêt légitime ou à des fins de prospection
• Droit à la limitation : demander le gel temporaire d'un traitement
• Retrait du consentement : à tout moment pour les traitements fondés sur votre consentement (Early Access, communications marketing)
• Directives post-mortem relatives à la conservation et la communication de vos données après votre décès

Pour exercer vos droits : dpo@pedagora.fr — Réponse sous 1 mois maximum.

Note pour les stagiaires et formateurs : vos données sont gérées par votre organisme de formation, responsable de traitement. Adressez vos demandes directement à lui en premier lieu.

Vous pouvez également déposer une réclamation auprès de la CNIL : www.cnil.fr

9. Sécurité des données

Pedagora met en œuvre les mesures techniques et organisationnelles suivantes :

• Chiffrement SSL/TLS des connexions (HTTPS)
• Hachage des mots de passe (bcrypt)
• Isolation stricte des données entre organismes (architecture multi-tenant)
• Stockage des fichiers hors répertoire web public, servi via des routes sécurisées
• Contrôle d'accès par rôle
• En-têtes HTTP de sécurité (CSP, HSTS, X-Frame-Options, X-Content-Type-Options)
• Limitation du nombre de tentatives de connexion et mécanismes anti-brute force
• Hébergement certifié en France
• Sauvegardes régulières

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, vous en serez informé dans les meilleurs délais conformément à l'article 34 du RGPD.

10. Cookies

PédagoPlace utilise principalement des cookies techniques strictement nécessaires :

• Cookie de session (PHPSESSID) : gestion de l'authentification. Durée : session de navigation.
• Cookie de consentement (pedagoplace_cookie_consent) : mémorisation de vos préférences cookies. Durée : 6 mois.

Tout cookie additionnel non strictement nécessaire (mesure d'audience, fonctionnel non essentiel) ne sera déposé qu'après recueil de votre consentement explicite via le bandeau de gestion des cookies, conformément à l'article 82 de la loi Informatique et Libertés et aux recommandations de la CNIL.

11. Modification de la politique

Cette politique peut être modifiée à tout moment. Toute modification substantielle sera notifiée par email au moins 30 jours avant son entrée en vigueur. La date de mise à jour est indiquée en haut de cette page.

12. Contact

• Contact RGPD : dpo@pedagora.fr
• Support produit : support@pedagoplace.fr
• Contact général Pedagora : contact@pedagora.fr
• Par courrier : Pedagora — 146 rue Bonnat, 31400 Toulouse