Politique de confidentialité (RGPD)
Dernière mise à jour : 12/05/2026 — Version 2.0
Smart Office Solutions Ltd accorde une importance particulière à la protection des données personnelles de ses Utilisateurs. La présente politique de confidentialité décrit la manière dont vos données sont collectées, traitées, conservées et protégées, en pleine conformité avec le Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD »), la loi française « Informatique et Libertés » modifiée, ainsi que les législations applicables aux résidents de l'Union européenne.
1. Responsable de traitement et contact
Smart Office Solutions Ltd — Private Company Limited by Shares de droit mauricien, Company No. 213464, Business Registration Number C24213464, capital social 50 000 MUR. Siège social : 2nd Floor, Soobhany Building, Mahatma Gandhi Avenue, Telfair, Moka 1808-19, République de Maurice. Représentée par M. Mathieu Stevens Siliky (directeur de la publication) et M. Madeven Sooben.
Pour toute question relative au traitement de vos données ou à l'exercice de vos droits :
- Email : privacy@smart-office-solutions.com
- Voie postale : à l'adresse du siège social ci-dessus
- Formulaire en ligne : page contact
Smart Office Solutions Ltd n'est pas tenue de désigner un Délégué à la Protection des Données (DPO) au sens de l'article 37 du RGPD ; néanmoins, un référent « protection des données » est nommé en interne et joignable aux coordonnées ci-dessus.
2. Données collectées
Nous collectons et traitons les catégories de données suivantes :
- Données d'identification : nom, prénom, email, mot de passe (haché via algorithme bcrypt/argon2), pays de résidence déclaré
- Données de profil pédagogique : niveau, objectifs, besoins d'accessibilité déclarés, formule recommandée
- Données de paiement : traitées exclusivement par notre prestataire PayPal Holdings, Inc. ; nous ne stockons aucun numéro de carte bancaire — seul un identifiant de transaction et un statut sont conservés
- Données d'usage : progression dans les modules, leçons consultées, projets soumis, scores de quiz, soumissions d'évaluation, messages dans la communauté
- Données techniques : adresse IP, type et version de navigateur, système d'exploitation, identifiants de session, journaux d'erreurs et de connexion, horodatages
- Données de communication : échanges avec le support, demandes de remboursement, retours qualité
3. Finalités, bases légales et durées de conservation
| Finalité | Base légale | Conservation |
|---|---|---|
| Création et gestion de votre compte | Exécution du contrat (art. 6.1.b) | Durée du compte + 3 ans |
| Accès aux contenus pédagogiques | Exécution du contrat | Durée du compte (accès à vie) |
| Personnalisation du parcours (recommandation, accessibilité) | Exécution du contrat | Durée du compte |
| Facturation et obligations comptables | Obligation légale (art. 6.1.c) | 10 ans |
| Newsletter et communication produit | Consentement (art. 6.1.a) | Jusqu'au retrait du consentement, max 3 ans d'inactivité |
| Mesure d'audience anonymisée | Intérêt légitime (art. 6.1.f) | 13 mois maximum |
| Lutte contre la fraude et la sécurité | Intérêt légitime | 3 ans après l'évènement |
| Réponse aux demandes de support | Exécution du contrat / Intérêt légitime | 3 ans après le dernier échange |
| Délivrance et vérification du certificat | Exécution du contrat | 10 ans |
À l'issue des durées indiquées, les données sont soit supprimées, soit anonymisées de manière irréversible à des fins statistiques.
4. Destinataires et sous-traitants
Vos données sont accessibles uniquement par les personnes habilitées de Smart Office Solutions Ltd et par les sous-traitants suivants, agissant sous instruction écrite et soumis à des engagements contractuels stricts conformes à l'article 28 du RGPD :
- Cloudflare Inc. (États-Unis) — hébergement applicatif edge et CDN
- Supabase Inc. (Singapour / Union européenne) — base de données PostgreSQL et authentification
- PayPal Holdings, Inc. (Luxembourg pour l'UE) — traitement des paiements
- Outils d'envoi d'emails transactionnels et de support client (le cas échéant : Resend, Postmark ou équivalent)
- Outils de mesure d'audience anonymisée (le cas échéant : Plausible, Cloudflare Analytics)
Vos données ne sont jamais vendues, louées ou cédées à des tiers à des fins commerciales.
5. Transferts hors Union européenne
Certains sous-traitants peuvent traiter vos données hors UE (notamment États-Unis, Singapour et Maurice). Ces transferts sont encadrés par les Clauses Contractuelles Types adoptées par la Commission européenne dans sa décision d'exécution (UE) 2021/914, complétées le cas échéant par des mesures supplémentaires (chiffrement, pseudonymisation), et/ou par des décisions d'adéquation, conformément aux articles 44 à 49 du RGPD. La République de Maurice dispose de sa propre loi sur la protection des données (Data Protection Act 2017) inspirée du RGPD.
6. Sécurité des données
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées au regard du risque, notamment :
- Chiffrement des communications en transit (TLS 1.2+)
- Hachage des mots de passe (bcrypt/argon2)
- Contrôle d'accès strict, principe du moindre privilège
- Isolation des données par utilisateur via Row Level Security (RLS) au niveau base de données
- Séparation des rôles entre l'espace stagiaire et l'espace administrateur
- Journalisation des accès sensibles
- Sauvegardes chiffrées régulières et plan de reprise d'activité
- Revues de sécurité périodiques et tests de vulnérabilité
7. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez à tout moment des droits suivants sur vos données :
- Droit d'accès : obtenir une copie de vos données et des informations sur leur traitement
- Droit de rectification : corriger des données inexactes ou incomplètes
- Droit à l'effacement (« droit à l'oubli »), dans les conditions prévues à l'article 17
- Droit à la limitation du traitement
- Droit à la portabilité de vos données dans un format structuré et lisible par machine
- Droit d'opposition au traitement fondé sur l'intérêt légitime ou à des fins de prospection
- Droit de retirer votre consentement à tout moment, lorsque le traitement est fondé sur ce dernier, sans remettre en cause la licéité du traitement antérieur
- Droit de définir des directives relatives au sort de vos données après votre décès (article 85 de la loi française)
- Droit de ne pas faire l'objet d'une décision automatisée produisant des effets juridiques (article 22)
Pour exercer ces droits, écrivez-nous à privacy@smart-office-solutions.com ou via la page contact, en justifiant de votre identité (copie d'une pièce d'identité valide). Nous nous engageons à répondre dans un délai maximum d'un mois, prorogeable de deux mois en cas de demande complexe.
8. Profilage et décisions automatisées
La Plateforme utilise une logique algorithmique simple pour recommander la formule la plus adaptée à votre profil et adapter le module administratif à votre pays. Ces traitements ne produisent aucune décision juridique automatisée et n'ont aucun effet contraignant : la souscription, l'évaluation finale et la délivrance du certificat reposent sur des actions humaines.
9. Cookies et traceurs
La Plateforme utilise des cookies strictement nécessaires au fonctionnement (authentification, préférences) ainsi que, sous réserve de votre consentement, des cookies de mesure d'audience anonymisée. Pour plus de détails et pour gérer vos préférences, consultez notre Politique cookies.
10. Réclamation auprès d'une autorité de contrôle
Si vous estimez que vos droits ne sont pas respectés, vous avez le droit d'introduire une réclamation auprès d'une autorité de protection des données, sans préjudice de tout autre recours. En France : Commission Nationale de l'Informatique et des Libertés (CNIL), 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr. À Maurice : Data Protection Office — dataprotection.govmu.org.
11. Mineurs
Les services ne sont pas destinés aux mineurs de moins de 16 ans. Aucune donnée n'est collectée sciemment auprès de cette population. Si vous constatez qu'un mineur de moins de 16 ans nous a transmis des données, merci de nous le signaler afin que nous procédions à leur suppression.
12. Notification de violation
En cas de violation de données susceptible d'engendrer un risque élevé pour vos droits et libertés, Smart Office Solutions Ltd s'engage à notifier l'autorité de contrôle compétente dans un délai de 72 heures et à informer les personnes concernées dans les meilleurs délais, conformément aux articles 33 et 34 du RGPD.
13. Modifications de la présente politique
La présente politique peut être mise à jour pour refléter des évolutions légales, techniques ou organisationnelles. La date en haut de page indique la version applicable. En cas de modification substantielle, les Utilisateurs enregistrés en sont informés par email.