Politique de confidentialité

La présente politique de confidentialité s'applique au site aipr-formations.com.

Elle a pour but d'exposer aux utilisateurs du site :

• la manière dont sont collectées et traitées leurs données à caractère personnel ;
• l'identité du responsable du traitement et la liste de ses sous-traitants ;
• les bases légales, finalités et durées de conservation des traitements ;
• les éventuels transferts hors de l'Union européenne ;
• les droits des utilisateurs et les modalités d'exercice ;
• la politique du site en matière de cookies.

Cette politique complète les mentions légales et les conditions générales de vente, que les utilisateurs peuvent consulter à tout moment.

Le responsable du traitement des données à caractère personnel est :

• SAS Centre National de Formation en Sécurité et Environnement (CNFSE)
• 231 rue Saint-Honoré, 75001 Paris
• SIRET 482 379 302 00029 — RCS Paris 482 379 302
• Représentée par M. Frédéric Lambert, Président de SAS
• Téléphone : 01 84 16 38 25 (du lundi au vendredi, 9 h — 18 h)
• Email : contact@cnfse.fr

Délégué à la protection des données (DPO) : conformément à l'article 37 du RGPD, la SAS CNFSE n'a pas l'obligation de désigner un DPO (effectif < 250 et absence de traitement à grande échelle de données sensibles). Pour toute question relative à la protection des données, vous pouvez écrire à contact@cnfse.fr.

Conformément à l'article 5 du Règlement (UE) 2016/679 (RGPD), la collecte et le traitement des données respectent les principes suivants :

• Licéité, loyauté et transparence : information claire au moment de la collecte.
• Finalités déterminées et limitées : les données ne sont utilisées que pour les fins annoncées.
• Minimisation : seules les données nécessaires aux finalités sont collectées.
• Exactitude : les données sont tenues à jour ; vous pouvez demander leur rectification.
• Conservation limitée : voir Article 5.
• Intégrité et confidentialité : connexion HTTPS sur tout le site, accès aux données strictement limité aux personnes habilitées.

Le tableau ci-dessous synthétise par traitement les données collectées, la finalité, la base légale (article 6 RGPD) et le caractère obligatoire ou facultatif.

4.1 — Formulaire de contact

• Données : civilité, nom, prénom, email, téléphone, entreprise, secteur, formation demandée, ville, message libre.
• Finalité : répondre à votre demande d'information ou de devis.
• Base légale : intérêt légitime (gestion de la relation prospect, art. 6.1.f).
• Obligatoire : nom, prénom, email, téléphone (sans ces données, nous ne pouvons pas vous répondre).

4.2 — Inscription à une session inter-entreprises

• Données : civilité, nom, prénom, email, téléphone, employeur (le cas échéant), formation, ville, date souhaitée, financement (OPCO, plan de formation, personnel), message.
• Finalité : traiter l'inscription, exécuter la convention de formation, émettre l'attestation et la facture.
• Base légale : exécution du contrat (art. 6.1.b) + obligations légales (art. 6.1.c, comptabilité et traçabilité Qualiopi).

4.3 — Inscription en ligne (paiement immédiat)

• Données : identique à 4.2 + identifiants de transaction (Stripe Session ID ou PayPal Order ID), montant, date de règlement.
• Finalité : traiter l'inscription, encaisser le paiement, émettre la facture, exécuter la formation, délivrer les accès à la plateforme.
• Base légale : exécution du contrat + obligations comptables.

4.4 — Avis clients (Google Reviews)

• Données : nom public Google, avatar, note, texte libre, date.
• Source : avis publiés volontairement par les stagiaires sur la fiche Google Business du CNFSE, importés depuis l'API Google Places.
• Finalité : affichage public sur le site.
• Base légale : intérêt légitime (réutilisation d'avis déjà rendus publics par leurs auteurs sur Google).
• Suppression : sur simple demande à contact@cnfse.fr.

4.5 — Espace administration

• Données : email administrateur, mot de passe (haché bcrypt), token de session JWT.
• Finalité : sécuriser l'accès à l'espace de gestion du site.
• Base légale : intérêt légitime (sécurité du système d'information).

• Demandes de contact / prospects sans suite : 3 ans à compter du dernier contact.
• Données d'inscription et de formation : 5 ans (traçabilité Qualiopi) puis archivage en base inactive jusqu'à 10 ans pour les obligations comptables (article L. 123-22 du Code de commerce) et le contentieux éventuel.
• Données de facturation et comptables : 10 ans (article L. 123-22 du Code de commerce).
• Identifiants de paiement (Stripe / PayPal) : 10 ans (justification comptable).
• Cookie d'authentification administrateur : 8 heures (durée de la session).
• Logs serveur de sécurité : 1 an (article L. 34-1 du Code des postes et des communications électroniques).

Pour exécuter ces traitements, le CNFSE fait appel à des prestataires (sous-traitants au sens de l'article 28 RGPD) avec lesquels un contrat de confidentialité a été signé :

• OVH SAS — Hébergement du site et de la base de données. Données hébergées en France (Roubaix). Pas de transfert hors UE.
• Stripe Payments Europe Ltd (Irlande) et Stripe, Inc. (USA) — Traitement des paiements par carte bancaire. Stripe Inc. est certifiée au Data Privacy Framework UE-USA (DPF), garantissant un niveau de protection adéquat (décision d'adéquation de la Commission européenne du 10 juillet 2023).
• PayPal (Europe) S.à r.l. et Cie, S.C.A. (Luxembourg) et PayPal, Inc. (USA) — Traitement des paiements par PayPal. Idem certifié DPF.
• Google Ireland Ltd (Irlande) et Google LLC (USA) — API Places (lecture des avis publics). Certifié DPF. Les avatars des avis sont rapatriés sur nos serveurs (proxy) afin d'éviter toute requête directe du visiteur vers Google.

Aucune donnée n'est revendue ni transmise à des tiers à des fins publicitaires ou de profilage.

Les données peuvent être transférées hors UE uniquement dans le cadre des sous-traitants Stripe, PayPal et Google (cf. Article 6). Tous trois sont certifiés au Data Privacy Framework (DPF) UE-USA, mécanisme reconnu par la Commission européenne comme offrant un niveau de protection adéquat aux données personnelles transférées vers les États-Unis.

Aucun transfert hors UE n'a lieu en dehors de ces trois prestataires.

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :

• Droit d'accès (art. 15) : obtenir la confirmation que vos données sont traitées et en obtenir une copie.
• Droit de rectification (art. 16) : faire corriger des données inexactes ou incomplètes.
• Droit à l'effacement (art. 17, « droit à l'oubli ») : demander la suppression de vos données, sous réserve des obligations légales de conservation.
• Droit à la limitation du traitement (art. 18).
• Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré et lisible par machine.
• Droit d'opposition (art. 21) : vous opposer au traitement pour motif légitime ou à tout moment pour la prospection.
• Droit de retirer votre consentement à tout moment, lorsque le traitement est fondé sur le consentement (art. 7.3).
• Droit de définir des directives sur le sort des données après le décès (loi n° 2016-1321 du 7 octobre 2016).
• Droit de ne pas faire l'objet d'une décision automatisée (art. 22). Aucun traitement de profilage ni de décision automatisée n'est mis en œuvre par le CNFSE.

Comment exercer vos droits : par email à contact@cnfse.fr ou par courrier postal au siège, en joignant la copie d'un titre d'identité avec signature. Une réponse vous sera apportée dans un délai d'un mois (extensible à trois mois en cas de demande complexe, conformément à l'article 12 RGPD).

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

• Site : www.cnil.fr
• Adresse : 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
• Téléphone : 01 53 73 22 22

Le site n'utilise aucun cookie de mesure d'audience, de profilage ou publicitaire. Aucun cookie tiers n'est déposé sur les pages publiques.

Le seul cookie déposé est :

• aipr_admin_token — cookie technique strictement nécessaire à l'authentification de l'espace administration. Durée : 8 heures (durée de la session). Exempté du recueil du consentement au titre de l'article 82 de la loi Informatique et Libertés (cookies strictement nécessaires).

Les avatars affichés dans la section « Avis clients » sont servis par notre serveur (proxy) afin d'éviter toute requête directe du navigateur vers Google et toute fuite d'IP visiteur vers les États-Unis.

Le site est servi exclusivement en HTTPS (certificat SSL Let's Encrypt). Les mots de passe administrateur sont hachés (bcrypt, coût 12). Les sessions admin sont signées (JWT). Les requêtes SQL sont paramétrées (protection contre l'injection). Les contenus HTML stockés sont sanitisés (DOMPurify) avant rendu, afin d'éviter toute injection XSS.

Les sauvegardes de la base de données sont effectuées quotidiennement et conservées en local sur le serveur d'hébergement.

En cas de violation de données susceptible d'engendrer un risque élevé pour les droits et libertés des utilisateurs concernés, ces derniers seront notifiés par email dans les meilleurs délais, conformément à l'article 34 RGPD.

Le site n'est pas destiné aux mineurs de moins de 15 ans. Conformément à l'article 8 du RGPD, en cas d'inscription d'un mineur de moins de 15 ans à une formation, le consentement du titulaire de l'autorité parentale est requis.

La présente politique peut être consultée à tout moment à l'adresse aipr-formations.com/politique-confidentialite.

L'éditeur du site se réserve le droit de la modifier afin de garantir sa conformité avec le droit en vigueur. En cas de modification substantielle (notamment ajout d'un nouveau traitement ou nouveau sous-traitant), les utilisateurs concernés en seront informés par email.

L'utilisateur est invité à consulter régulièrement cette politique pour se tenir informé des derniers changements.

Dernière mise à jour : 11 mai 2026.