Politique de confidentialité (RGPD)

Smart Office Solutions Ltd accorde une importance capitale à la protection des données personnelles de ses Utilisateurs. La présente politique de confidentialité décrit, de manière exhaustive, la manière dont vos données sont collectées, traitées, conservées et protégées, en pleine conformité avec le Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD »), la loi française « Informatique et Libertés » modifiée (loi n°78-17), ainsi que les législations applicables aux résidents de l'Union européenne et de la République de Maurice.

1. Définitions

Aux fins de la présente politique, les termes suivants ont le sens qui leur est attribué ci-après :

• Données personnelles : toute information se rapportant à une personne physique identifiée ou identifiable (article 4.1 du RGPD).
• Traitement : toute opération ou ensemble d'opportations effectuées sur des données personnelles (collecte, enregistrement, organisation, conservation, adaptation, modification, etc.).
• Responsable du traitement : la personne physique ou morale qui détermine les finalités et les moyens du traitement.
• Sous-traitant : la personne physique ou morale qui traite des données pour le compte du responsable du traitement.
• Violation de données personnelles : une violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée de données.

2. Responsable de traitement et coordonnées

Smart Office Solutions Ltd — Private Company Limited by Shares de droit mauricien, Company No. 213464, Business Registration Number C24213464, capital social 50 000 MUR. Siège social : 2nd Floor, Soobhany Building, Mahatma Gandhi Avenue, Telfair, Moka 1808-19, République de Maurice. Représentée par M. Mathieu Stevens Siliky (directeur de la publication) et M. Madeven Sooben.

Pour toute question relative au traitement de vos données, à l'exercice de vos droits, ou pour contacter notre référent protection des données :

• Email : privacy@smart-office-solutions.com (réponse visée sous 72h ouvrées)
• Voie postale : Smart Office Solutions Ltd, 2nd Floor, Soobhany Building, Mahatma Gandhi Avenue, Telfair, Moka 1808-19, Maurice
• Formulaire en ligne : page contact

Smart Office Solutions Ltd n'est pas tenue de désigner un Délégué à la Protection des Données (DPO) au sens de l'article 37 du RGPD ; néanmoins, un référent « protection des données » est nommé en interne (M. Mathieu Stevens Siliky), joignable aux coordonnées ci-dessus, et chargé de veiller au respect des obligations en matière de protection des données.

3. Données collectées et modalités de collecte

Nous collectons et traitons les catégories de données suivantes, de manière directe (formulaires) ou indirecte (cookies, logs techniques) :

• Données d'identification et d'authentification : nom, prénom, adresse email, mot de passe (haché via algorithme bcrypt/argon2, jamais stocké en clair), pays de résidence déclaré, langue préférée.
• Données de profil pédagogique : niveau d'expérience déclaré, objectifs professionnels, besoins d'accessibilité déclarés (ex. daltonisme, préférences de contraste), formule recommandée par l'algorithme de personnalisation.
• Données de paiement : traitées exclusivement par notre prestataire PayPal Holdings, Inc. ; nous ne stockons AUCUN numéro de carte bancaire, AUCUN cryptogramme, AUCUNE date d'expiration. Seuls l'identifiant de transaction PayPal, le statut (payé/échoué/remboursé), le montant et la date sont conservés dans notre base de données à des fins comptables et de facturation.
• Données d'usage et de progression : modules consultés, leçons terminées, temps passé par contenu, projets soumis, scores de quiz, résultats d'évaluation, messages postés dans la communauté ou le forum, participations aux masterclasses.
• Données techniques et de connexion : adresse IP (anonymisée pour la mesure d'audience), type et version de navigateur, système d'exploitation, résolution d'écran, identifiants de session (tokens JWT), journaux d'erreurs et de connexion, horodatages, pages visitées, referrers.
• Données de communication : échanges avec le support (email, chat, tickets), demandes de remboursement, retours qualité, évaluations et témoignages déposés volontairement.
• Données de prospection et marketing : consentement à la newsletter, préférences de communication (fréquence, canaux), historique d'ouverture des emails (pixels de tracking anonymisés si applicable).

4. Finalités, bases légales et durées de conservation détaillées

À l'issue des durées indiquées, les données sont soit supprimées de manière sécurisée (effacement logique puis physique), soit anonymisées de manière irréversible à des fins statistiques et d'amélioration des services, conformément à l'article 5.1.b du RGPD (principe de limitation de la conservation).

5. Destinataires et sous-traitants (Délégués au traitement)

Vos données sont accessibles uniquement par les personnes habilitées de Smart Office Solutions Ltd (fonctionnels, pédagogiques, techniques) et par les sous-traitants suivants, agissant sous instruction écrite et soumis à des engagements contractuels stricts conformes à l'article 28 du RGPD :

• Cloudflare, Inc. (101 Townsend Street, San Francisco, CA 94107, États-Unis) — hébergement applicatif edge, Content Delivery Network (CDN), protection DDoS et sécurité réseau. Transfert encadré par les Clauses Contractuelles Types de la Commission européenne.
• Supabase Inc. (970 Toa Payoh North #07-04, Singapour 318992 / hébergement UE à Francfort, Allemagne) — base de données PostgreSQL, authentification, stockage de fichiers et fonctions edge. Les données des résidents de l'UE sont stockées dans la région EU-Central-1 (Francfort).
• PayPal (Europe) S.à r.l. et Cie, S.C.A. (22-24 Boulevard Royal, L-2449 Luxembourg) — traitement des paiements en ligne, gestion des transactions et remboursements. Agrément bancaire CSSF Luxembourg.
• Prestataires d'envoi d'emails (Resend, Postmark ou équivalent selon période) — envoi d'emails transactionnels (confirmation d'inscription, réinitialisation de mot de passe, notifications de session) et marketing (sous réserve de consentement).
• Outils d'analyse d'audience (Plausible Analytics, Cloudflare Web Analytics ou équivalent) — mesure d'audience strictement anonymisée, sans cookie de traçage personnel, conforme aux exemptions de consentement de la CNIL.

Engagement de confidentialité : vos données ne sont jamais vendues, louées, cédées ou échangées à des tiers à des fins commerciales, publicitaires ou de profilage. Nous ne partageons vos données qu'en cas d'obligation légale (réquisition judiciaire) ou pour la protection de nos droits.

6. Transferts internationaux de données

Certains sous-traitants peuvent traiter vos données en dehors de l'Union européenne (notamment États-Unis pour Cloudflare, Singapour pour le siège de Supabase, Maurice pour le siège social de Smart Office Solutions). Ces transferts sont strictement encadrés par :

• Les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne dans sa décision d'exécution (UE) 2021/914 du 4 juin 2021 ;
• Des mesures supplémentaires de protection : chiffrement en transit (TLS 1.3), chiffrement au repos (AES-256), pseudonymisation des identifiants, minimisation des données transférées ;
• Les décisions d'adéquation de la Commission européenne lorsqu'elles existent ;
• La conformité au Data Protection Act 2017 de la République de Maurice, législation inspirée des standards internationaux de protection des données.

Pour obtenir une copie des garanties applicables aux transferts, contactez-nous à privacy@smart-office-solutions.com.

7. Sécurité des données — mesures techniques et organisationnelles

Conformément à l'article 32 du RGPD, nous mettons en œuvre un ensemble de mesures techniques et organisationnelles appropriées au regard du risque, garantissant la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes et services de traitement :

• Chiffrement : chiffrement des communications en transit via TLS 1.3 (HTTPS partout) ; chiffrement au repos des bases de données (AES-256) ; chiffrement des sauvegardes.
• Pseudonymisation : hachage des mots de passe avec bcrypt/argon2 (coût élevé, salage unique) ; pseudonymisation des identifiants techniques dans les journaux d'audit.
• Contrôle d'accès : authentification multi-facteurs (MFA) pour les comptes administrateurs ; principe du moindre privilège (RBAC) ; révocation automatique des sessions inactives.
• Isolation des données : Row Level Security (RLS) au niveau de la base de données PostgreSQL, garantissant qu'un utilisateur ne peut accéder qu'à ses propres données ; séparation stricte des schémas entre l'espace public, l'espace stagiaire et l'espace administrateur.
• Journalisation et audit : enregistrement des accès sensibles (connexions admin, modifications de rôles, accès aux données de paiement) dans des logs immuables et chiffrés ; revue mensuelle des journaux de sécurité.
• Sauvegarde et reprise d'activité : sauvegardes automatisées chiffrées quotidiennes avec stockage multi-site (rétention 30 jours) ; plan de reprise d'activité testé semestriellement ; objectif de point de récupération (RPO) de 24h maximum.
• Tests et revues : tests de vulnérabilité périodiques (scan automatisé hebdomadaire, pentest annuel) ; revue de code systématique avant déploiement ; gestion des correctifs de sécurité sous 72h pour les vulnérabilités critiques.
• Formation : sensibilisation annuelle de l'ensemble du personnel aux bonnes pratiques de sécurité et de protection des données.

8. Vos droits — exercice et procédure

Conformément aux articles 15 à 22 du RGPD, et sans préjudice de conditions ou limitations particulières prévues par ces articles, vous disposez à tout moment des droits suivants sur vos données personnelles :

• Droit d'accès (art. 15) : obtenir la confirmation que des données vous concernant sont traitées, ainsi qu'une copie de ces données et des informations sur les finalités, les catégories de données, les destinataires, la durée de conservation, l'existence de transferts et les mesures de sécurité. Nous fournissons une copie gratuite ; des frais raisonnables peuvent être demandés pour les demandes manifestement infondées ou excessives.
• Droit de rectification (art. 16) : faire corriger des données inexactes ou incomplètes dans les meilleurs délais.
• Droit à l'effacement — « droit à l'oubli » (art. 17): demander la suppression de vos données lorsque (a) elles ne sont plus nécessaires aux finalités, (b) vous retirez votre consentement, (c) vous vous opposez au traitement, (d) elles ont fait l'objet d'un traitement illicite, (e) une obligation légale l'exige. Ce droit ne s'applique pas lorsque le traitement est nécessaire à l'exercice du droit à la liberté d'expression, à une obligation légale, ou à des motifs d'intérêt public.
• Droit à la limitation du traitement (art. 18) : obtenir la limitation du traitement lorsque (a) vous contestez l'exactitude des données, (b) le traitement est illicite et vous vous opposez à leur effacement, (c) nous n'avons plus besoin des données mais elles vous sont encore nécessaires pour la constatation, l'exercice ou la défense de droits en justice.
• Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON), et les transmettre à un autre responsable sans que nous n'y fassions obstacle. Ce droit s'applique aux données fournies dans le cadre du contrat ou du consentement.
• Droit d'opposition (art. 21) : vous opposer à tout moment, pour des raisons tenant à votre situation particulière, au traitement fondé sur l'intérêt légitime ; vous opposer sans motif à la prospection commerciale (newsletter, offres promotionnelles).
• Droit de retirer votre consentement (art. 7.3) : retirer votre consentement à tout moment lorsque le traitement est fondé sur ce dernier, sans que cela n'affecte la licéité du traitement antérieur.
• Droit de définir des directives post-mortem (art. 85 loi Informatique et Libertés) : donner des instructions générales ou particulières relatives au stockage, à l'effacement et à la communication de vos données après votre décès, aupr ès d'un tiers de confiance ou directement auprès de nous.
• Droit de ne pas faire l'objet d'une décision automatisée (art. 22) : ne pas être soumis à une décision fondée exclusivement sur un traitement automatisé (y compris le profilage) produisant des effets juridiques vous concernant ou vous affectant de manière significative.

Procédure d'exercice : pour exercer ces droits, adressez-nous une demande écrite (email à privacy@smart-office-solutions.com ou courrier au siège), en justifiant de votre identité (copie d'une pièce d'identité valide en cours de validité). Les demandes peuvent être formulées par voie électronique et sont traitées gratuitement. Nous nous engageons à répondre dans un délai maximum d'un mois à compter de la réception, prorogeable de deux mois supplémentaires en cas de demande complexe ou nombreuse, après information de l'utilisateur.

9. Profilage et logique algorithmique

La Plateforme utilise une logique algorithmique simple pour :

• Recommander la formule pédagogique la plus adaptée à votre profil (niveau, budget, objectifs déclarés) ;
• Adapter le module administratif à votre pays de résidence (modèle de contrat, obligations fiscales, mentions légales) ;
• Proposer des modules complémentaires en fonction de votre progression.

Ces traitements ne constituent PAS de profilage au sens de l'article 22 du RGPD, ne produisent AUCUNE décision juridique automatisée et n'ont AUCUN effet contraignant : la souscription finale, l'évaluation et la délivrance du certificat reposent toujours sur une action ou une validation humaine. Vous pouvez à tout moment ignorer les recommandations et choisir librement votre parcours.

10. Cookies, traceurs et technologies similaires

La Plateforme utilise différents types de cookies et traceurs, soumis à des régimes distincts :

• Cookies strictement nécessaires : authentification (session JWT), sécurité (CSRF token), préférences utilisateur (langue, thème, consentement). Ces cookies sont exemptés de consentement préalable (article 5.3 de la directive ePrivacy). Durée : session à 13 mois maximum.
• Cookies fonctionnels : mémorisation de vos préférences de navigation, accessibilité, et paramètres du tableau de bord. Déposés après recueil de votre consentement.
• Cookies de mesure d'audience anonymisée : comptage des visites, pages les plus consultées, temps de parcours. Ces cookies sont configurés pour être exemptés de consentement (conformément aux recommandations de la CNIL) : pas de traçage cross-site, pas de recoupement avec d'autres données, pas de transmission à des tiers, finalité strictement limitée à la mesure d'audience. Durée : 13 mois maximum.
• Cookies tiers de paiement : déposés par PayPal lors du processus de paiement, soumis à leur propre politique de confidentialité.

Pour plus de détails et pour gérer vos préférences à tout moment, consultez notre Politique cookies ou cliquez sur « Gérer mes cookies » dans le pied de page.

11. Mineurs et protection de l'enfance

Les services de Smart Office Academy ne sont pas destinés aux mineurs de moins de 16 ans. Nous ne collectons sciemment aucune donnée personnelle auprès d'enfants de moins de 16 ans. Si vous êtes parent ou tuteur et que vous pensez que votre enfant nous a transmis des données sans votre consentement, contactez-nous immédiatement à privacy@smart-office-solutions.com et nous procéderons à leur suppression dans les meilleurs délais.

12. Notification de violation de données

Conformément aux articles 33 et 34 du RGPD, en cas de violation de données personnelles susceptible d'engendrer un risque élevé pour vos droits et libertés, Smart Office Solutions Ltd s'engage à :

1. Notifier la violation à l'autorité de contrôle compétente (CNIL en France, Data Protection Office à Maurice) dans un délai maximum de 72 heures après en avoir pris connaissance ;
2. Informer les personnes concernées dans les meilleurs délais, sauf si des mesures techniques et organisationnelles de protection ont été mises en œuvre (chiffrement) rendant les données inintelligibles pour les personnes non autorisées ;
3. Documenter l'incident dans un registre interne de violations, comprenant les faits, les effets, les mesures prises et les justifications.

13. Réclamation auprès d'une autorité de contrôle

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés ou que le traitement de vos données n'est pas conforme au RGPD, vous avez le droit d'introduire une réclamation auprès d'une autorité de protection des données, sans préjudice de tout autre recours administratif ou juridictionnel.

• En France : Commission Nationale de l'Informatique et des Libertés (CNIL), 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr, téléphone : 01 53 73 22 22.
• À Maurice : Data Protection Office — dataprotection.govmu.org.
• Pour les résidents de l'Union européenne : vous pouvez également saisir l'autorité de protection des données de votre pays de résidence habituelle.

14. Modifications de la présente politique

La présente politique de confidentialité peut être modifiée à tout moment pour refléter des évolutions légales, techniques, organisationnelles ou commerciales. La date et le numéro de version indiqués en haut de page permettent d'identifier la version applicable. En cas de modification substantielle (nouvelle finalité, nouveau sous-traitant, changement de base légale), les utilisateurs enregistrés en seront informés par email à l'adresse associée à leur compte, avec un préavis raisonnable et la possibilité de d'objecter ou de supprimer leur compte.

15. Droit applicable et juridiction compétente

La présente politique de confidentialité est soumise au droit mauricien. Pour les utilisateurs consommateurs résidant dans l'Union européenne, les dispositions impératives du droit de la protection des données de leur résidence habituelle demeurent applicables. En cas de litige relatif au traitement de vos données personnelles, et après échec d'une résolution amiable, les tribunaux compétents seront ceux du ressort du siège social de Smart Office Solutions Ltd (Port-Louis, Maurice), sous réserve des règles impératives de compétence internationale en faveur du consommateur.