Politique de confidentialité

Le responsable du traitement est l'éditeur du site Profawz (voir mentions légales).

Pour toute question concernant vos données : contact@profawz.fr

Profawz collecte uniquement les données strictement nécessaires au service :

• Compte utilisateur : nom, prénom, e-mail, numéro de téléphone, mot de passe (haché bcrypt — jamais en clair), niveau (1^ère ou 2^ème année BTS pour les alternants)
• Compte responsable de formation : nom de l'établissement
• Bilans d'alternance : entreprise d'accueil, dates, compétences, photos, observations rédigées par l'alternant
• Évaluations pédagogiques (cours / TPs) : intitulé, date, évaluations de compétences saisies par le formateur
• Bilans de fin de semestre : note, synthèse, compétences validées / à acquérir, archivés par année scolaire
• Bulletins : notes par matière, appréciations, pièces jointes (PDF) téléversés par le responsable
• Messages internes : conversations directes, conversations de groupe, échanges avec le tuteur d'entreprise (texte + pièces jointes)
• Tuteurs entreprise : nom, prénom, e-mail, téléphone, entreprise (uniquement lorsqu'un tuteur évalue ou réserve un RDV)
• Réservations d'agenda : créneaux horaires, identité du tuteur, lien visio facultatif
• Données techniques : adresse IP (logs de connexion / sécurité brute-force), user-agent (navigateur)

Aucune donnée sensible (origine ethnique, santé, opinion politique, etc.) n'est collectée. Aucune donnée bancaire n'est collectée ni traitée par la plateforme : le règlement de l'accès se fait hors plateforme dans le cadre d'une convention bilatérale.

• Compte utilisateur actif : conservé tant que le compte est actif + 12 mois après la dernière connexion (puis suppression automatique sur demande).
• Bilans, cours, bulletins, bilans finaux : conservés tant que l'établissement est actif, puis 12 mois après la fin de l'accès (utile pour audits Qualiopi). Les bilans finaux sont archivés par année scolaire.
• Conventions et documents administratifs : 10 ans (obligation comptable et fiscale).
• Logs techniques (IP, sécurité) : 1 an maximum.
• Tentatives de connexion échouées : 1 heure (auto-purge).
• Messages internes : conservés tant que le compte ou le groupe existe ; suppressibles par leur auteur ou par l'administrateur.

Vos données ne sont jamais vendues, louées ou cédées à des tiers à des fins commerciales. Elles sont accessibles uniquement :

• aux utilisateurs autorisés au sein de votre établissement (responsable, formateurs, alternants concernés selon leur rôle) ;
• au tuteur entreprise lorsqu'un alternant lui transmet son code tuteur ;
• à l'éditeur de Profawz pour des opérations de support technique ou pour la suspension manuelle d'un établissement (cf. CGV § 04).

Sous-traitants RGPD :

• Hébergeur cloud Kubernetes managé (région UE eu-west-1)
• MongoDB Atlas (base de données chiffrée, UE)
• Resend Inc. (e-mails transactionnels, États-Unis — encadré par les clauses contractuelles types de la Commission européenne, CCT 2021/914)

Aucun prestataire de paiement n'intervient : aucune donnée bancaire ne transite ni n'est stockée par Profawz.

• Mots de passe stockés en bcrypt (jamais en clair, irréversible).
• Communications chiffrées en HTTPS / TLS 1.2+ de bout en bout.
• Cookies de session httpOnly + secure + SameSite=None (immune au vol par XSS).
• Protection brute-force : 5 tentatives max par e-mail/IP en 15 min.
• Données séparées par établissement (isolation multi-tenant stricte par establishment_id).
• Suspension manuelle par l'éditeur : possibilité de bloquer instantanément l'accès de tout l'établissement (responsable + formateurs + alternants) sans suppression des données.
• Sauvegardes quotidiennes.

Conformément aux articles 15 à 22 du RGPD, vous disposez à tout moment des droits suivants :

• Droit d'accès à vos données personnelles (art. 15) ;
• Droit de rectification de toute donnée inexacte (art. 16) ;
• Droit à l'effacement (« droit à l'oubli », art. 17) — accessible directement depuis votre espace « Mon compte » → « Zone de suppression » ;
• Droit à la limitation du traitement (art. 18) ;
• Droit à la portabilité (art. 20) — export de vos données dans un format lisible, sur demande à contact@profawz.fr ;
• Droit d'opposition au traitement pour motif légitime (art. 21) ;
• Droit de retirer votre consentement à tout moment.

Pour exercer l'un de ces droits, écrivez à contact@profawz.fr en justifiant de votre identité. Réponse sous 30 jours maximum.

En cas de désaccord, vous pouvez introduire une réclamation auprès de la CNIL (www.cnil.fr).

Profawz n'utilise aucun cookie tiers de tracking ou de publicité. Seuls les cookies techniques strictement nécessaires au fonctionnement (cookie de session JWT, préférences d'interface) sont déposés. Aucun bandeau de consentement n'est requis pour ces cookies (art. 82 LIL).

Les données opérationnelles sont stockées en Union européenne. Seul le service e-mail Resend est basé aux États-Unis : il est encadré par les clauses contractuelles types de la Commission européenne (CCT 2021/914) garantissant un niveau de protection équivalent.

Cette politique peut être mise à jour. Toute modification substantielle sera notifiée par e-mail aux comptes responsables au moins 15 jours avant son entrée en vigueur.