Politique de confidentialité

Protection des données personnelles — Plateforme Pulse — Dernière mise à jour : mars 2026

1. Responsable du traitement

Le responsable du traitement des données personnelles collectées via la plateforme Pulse est l'organisation (école, centre de formation) qui utilise la plateforme pour la gestion de ses étudiants et de leurs parcours d'alternance.

Pour connaître l'identité précise du responsable de traitement applicable à vos données, veuillez contacter le Délégué à la Protection des Données (DPO) de votre établissement.

2. Données personnelles collectées

Étudiants

• Identité : nom, prénom, adresse email, numéro de téléphone
• Parcours : classe actuelle, filière, compétences déclarées
• Résultats de tests de personnalité (si renseignés)
• Documents : CV, lettre de motivation, photo de profil
• Liens professionnels : LinkedIn, portfolio, GitHub
• Données de gamification : points d'expérience, badges obtenus

Tuteurs d'entreprise

• Identité : nom, prénom, adresse email, téléphone
• Fonction dans l'entreprise
• Réponses aux formulaires d'évaluation et de suivi

Coachs / Formateurs

• Identité : nom, prénom, adresse email
• Données de calendrier (rendez-vous planifiés via Google Calendar)

Données techniques (signature électronique)

• Adresse IP, user-agent du navigateur
• Hash SHA-256 du document signé
• Code OTP (stocké uniquement sous forme hashée bcrypt)
• Horodatage de la signature

3. Finalités du traitement

• Suivi des alternances : gestion des placements en entreprise, suivi pédagogique, entretiens tripartites
• Gestion des placements : mise en relation étudiant-entreprise, suivi des conventions
• Signature électronique : authentification et preuve de signature des documents de suivi (traçabilité Qualiopi)
• Évaluation pédagogique : formulaires de suivi remplis par les tuteurs et coachs
• Engagement étudiant : système de gamification pour motiver la progression

4. Base juridique des traitements

• Étudiants : exécution contractuelle (convention de formation / contrat d'alternance)
• Tuteurs d'entreprise : consentement recueilli lors de la première connexion via le lien sécurisé
• Signature électronique : obligation légale (traçabilité requise par la certification Qualiopi)
• Gamification : intérêt légitime (engagement et motivation des apprenants)

5. Destinataires des données

Les données personnelles sont accessibles uniquement aux personnes suivantes :

• L'école / centre de formation : administrateurs et coachs de l'organisation
• Le coach assigné : accès au profil de l'étudiant et aux données de placement
• Le tuteur d'entreprise : accès limité aux formulaires de suivi de son étudiant, via un lien sécurisé à durée limitée
• L'étudiant : accès à ses propres données via son portail

Aucun transfert de données en dehors de l'Union Européenne n'est effectué.

Sous-traitants techniques : hébergement en France (OVH / Scaleway), Google Calendar API (pour la synchronisation des rendez-vous), fournisseur SMTP (envoi d'emails transactionnels).

6. Durée de conservation des données

• Profil étudiant : fin de scolarité + 3 ans
• Données de placement (entreprise, tuteur) : fin du placement + 1 an, puis anonymisation
• Données tuteur (hors placement) : 60 jours après la dernière interaction
• Logs de signature électronique : 5 ans à compter de la date de signature
• Logs de consentement : 5 ans à compter de la date de consentement
• Données anonymisées (statistiques) : durée illimitée

À l'expiration de ces délais, les données sont automatiquement anonymisées ou supprimées conformément à notre politique de rétention.

7. Vos droits

Conformément au Règlement Général sur la Protection des Données (RGPD), vous disposez des droits suivants sur vos données personnelles :

• Droit d'accès (Article 15) : obtenir une copie de vos données personnelles, disponible en export JSON depuis votre profil ou sur demande au DPO
• Droit de rectification (Article 16) : corriger des données inexactes ou incomplètes, directement via l'interface de votre profil
• Droit à l'effacement (Article 17) : demander la suppression de vos données, qui seront anonymisées sous 30 jours suivant la demande au DPO
• Droit à la portabilité (Article 20) : recevoir vos données dans un format structuré et lisible (export JSON)
• Droit d'opposition (Article 21) : vous opposer au traitement de vos données, notamment en révoquant votre consentement auprès du DPO
• Droit à la limitation du traitement (Article 18) : demander la limitation du traitement dans les cas prévus par le RGPD

Pour exercer vos droits, contactez le Délégué à la Protection des Données de votre établissement (voir section 8).

En cas de différend, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr.

8. Contact du Délégué à la Protection des Données

Chaque organisation utilisant Pulse désigne un Délégué à la Protection des Données (DPO) responsable du traitement des demandes relatives aux données personnelles.

Pour toute question ou demande d'exercice de vos droits, veuillez contacter le DPO de votre établissement à l'adresse communiquée lors de votre inscription ou disponible auprès de l'administration de votre école.

9. Cookies et traceurs

La plateforme Pulse utilise uniquement des cookies de session strictement nécessaires au fonctionnement du service. Ces cookies permettent de maintenir votre session de connexion active et d'assurer la sécurité de la navigation (protection CSRF).

Aucun cookie de tracking, publicitaire ou analytique n'est utilisé. Aucune donnée de navigation n'est transmise à des tiers.

• PHPSESSID : maintien de la session utilisateur (durée de la session)

10. Mesures de sécurité

Nous mettons en oeuvre les mesures techniques et organisationnelles suivantes pour protéger vos données personnelles :

• Chiffrement en transit (HTTPS/TLS 1.2+) avec HSTS Preload
• Politique de sécurité du contenu (CSP) stricte
• Contrôle d'accès par rôles (RBAC) : super admin, admin, coach, étudiant
• Sessions sécurisées : HttpOnly, Secure, SameSite
• Mots de passe hashés (bcrypt/argon2)
• Tokens cryptographiques (256 bits) pour les liens de partage
• OTP à usage unique avec expiration pour la signature électronique
• Rate limiting sur les endpoints publics
• Sauvegardes chiffrées quotidiennes

11. Mise à jour de cette politique

Cette politique de confidentialité peut être mise à jour pour refléter les évolutions législatives ou les changements apportés à la plateforme. En cas de modification substantielle, les utilisateurs en seront informés via la plateforme.