La présente politique de confidentialité décrit la manière dont Rémus collecte, utilise et protège les données personnelles dans le cadre de la plateforme espace entreprise destinée aux tuteurs et maîtres d'apprentissage.
Mis à jour le 25 juin 2026
1. Responsable du traitement
Le responsable du traitement des données est [A COMPLETER - Raison sociale de l'editeur], dont le siège social est situé au [A COMPLETER - Adresse].
Contact DPO / données personnelles : [A COMPLETER - Email DPO]
2. Données collectées
Dans le cadre de l'utilisation de la plateforme, les catégories de données suivantes sont collectées :
| Catégorie | Données |
|---|---|
| Utilisateurs entreprise | Nom, prénom, adresse email, rôle au sein de l'entreprise |
| Apprentis suivis | Nom, prenom, email (le cas echeant), identifiants internes |
| Comptes rendus et documents | Contenu des entretiens, justificatifs déposés, notes |
| Donnees techniques | Logs de connexion, journal d'activité, adresse IP |
3. Finalités du traitement
Les données sont collectées pour les finalités suivantes :
- Suivi des apprentis et gestion des comptes rendus d'entretien
- Dépôt et gestion des justificatifs liés au référentiel Qualiopi
- Traçabilité des actions (audit log) pour garantir l'intégrité des données
- Administration des comptes utilisateurs et gestion des accès
4. Base légale
| Traitement | Base légale |
|---|---|
| Comptes utilisateurs | Exécution du contrat (article 6.1.b du RGPD) |
| Apprentis suivis | Intérêt légitime de l'entreprise (article 6.1.f du RGPD) -- suivi de l'apprentissage et conformité réglementaire |
| Logs et tracabilite | Intérêt légitime (securite et audit) et obligation legale le cas echeant |
5. Durée de conservation
- Données des utilisateurs et documents : conservées pendant toute la durée du contrat avec l'entreprise, puis 3 ans après la résiliation du contrat.
- Logs de connexion : conservés 12 mois conformément aux obligations légales.
- Donnees d'audit log : conservées pendant la durée du contrat + 3 ans.
6. Destinataires des données
Les données sont accessibles uniquement par l'équipe de l'entreprise concernée et le CFA partenaire. L'architecture multi-tenant de Rémus garantit une isolation stricte des données grâce au mécanisme de Row Level Security (RLS) de PostgreSQL.
Aucune donnée n'est transmise à des tiers à des fins commerciales ou publicitaires.
7. Hébergement et transferts de données
| Service | Prestataire | Localisation |
|---|---|---|
| Application web | Vercel Inc. | Edge global (CDN) |
| Base de données | Supabase (AWS) | EU-West (Irlande) |
| Authentification | Supabase Auth | EU-West (Irlande) |
| Stockage fichiers | Supabase Storage (AWS S3) | EU-West (Irlande) |
Les transferts de données hors UE (Vercel) sont encadrés par les clauses contractuelles types de la Commission européenne.
8. Vos droits
Conformément au Règlement Général sur la Protection des Données (RGPD), vous disposez des droits suivants :
- Droit d'acces : obtenir une copie de vos donnees personnelles.
- Droit de rectification : corriger des donnees inexactes ou incompletes.
- Droit de suppression : demander l'effacement de vos donnees.
- Droit a la portabilite : recevoir vos donnees dans un format structure et lisible.
- Droit d'opposition : vous opposer au traitement de vos donnees.
- Droit a la limitation : restreindre le traitement dans certains cas.
Pour exercer ces droits, contactez-nous à l'adresse : [A COMPLETER - Email DPO]
Vous pouvez également introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr
9. Cookies
Rémus utilise uniquement des cookies techniques strictement necessaires au fonctionnement de l'application :
- Cookies de session d'authentification (Supabase Auth)
- Préférences de navigation
Aucun cookie de tracking, de publicité ou d'analyse comportementale n'est utilisé. Conformément à la réglementation, ces cookies techniques ne nécessitent pas de consentement préalable.
10. Sécurité des données
Rémus met en oeuvre les mesures techniques et organisationnelles suivantes pour assurer la sécurité des données :
- Chiffrement TLS : toutes les communications sont chiffrées en transit (HTTPS).
- Row Level Security (RLS) : isolation des données par entreprise et CFA au niveau de la base de données PostgreSQL.
- Audit log : journal de toutes les actions sensibles (création, modification, suppression de données).
- Headers de sécurité : Content-Security-Policy, Strict-Transport-Security, X-Frame-Options, etc.
- Authentification sécurisée : gestion des sessions via Supabase Auth avec tokens JWT.
11. Modifications de la politique
Cette politique de confidentialité peut être mise à jour à tout moment. Les utilisateurs seront informés de toute modification substantielle. La date de dernière mise à jour est indiquée en haut de cette page.