RGPD — Vos droits et vos données

Dernière mise à jour : mars 2026

Cette page résume de manière claire et accessible les engagements de la plateforme Pulse en matière de protection des données personnelles, conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679).

1. Vos droits

En tant qu'utilisateur de Pulse, vous disposez des droits suivants sur vos données personnelles :

• Droit d'accès (Article 15) : obtenir une copie de toutes vos données personnelles, via l'export JSON depuis votre profil ou sur demande au DPO
• Droit de rectification (Article 16) : corriger vos données inexactes ou incomplètes, directement via l'interface de votre profil
• Droit à l'effacement (Article 17) : demander la suppression de vos données. Elles seront anonymisées sous 30 jours suivant votre demande au DPO
• Droit à la portabilité (Article 20) : recevoir vos données dans un format structuré et lisible par machine (export JSON)
• Droit d'opposition (Article 21) : vous opposer au traitement de vos données, notamment en révoquant votre consentement
• Droit à la limitation du traitement (Article 18) : demander la limitation du traitement dans les cas prévus par le RGPD

2. Données collectées et finalités

Étudiants

Données : nom, prénom, email, téléphone, compétences, résultats de tests de personnalité, documents (CV, lettres), liens professionnels, données de gamification.
Pourquoi : suivi de l'insertion professionnelle et du parcours pédagogique.
Base juridique : exécution d'un contrat (convention de formation).

Tuteurs d'entreprise

Données : nom, prénom, email, téléphone, fonction, réponses aux formulaires d'évaluation.
Pourquoi : suivi des alternances et stages, évaluation pédagogique.
Base juridique : consentement recueilli lors de la première connexion.

Coachs / Formateurs

Données : nom, prénom, email, données de calendrier (rendez-vous).
Pourquoi : gestion pédagogique et planification des rendez-vous.
Base juridique : exécution d'un contrat.

Signature électronique

Données : adresse IP, user-agent du navigateur, hash SHA-256 du document, code OTP (hashé), horodatage.
Pourquoi : authentification et preuve de signature (traçabilité Qualiopi).
Base juridique : obligation légale.

3. Durées de conservation

• Profil étudiant : fin de scolarité + 3 ans
• Données de placement : fin du placement + 1 an, puis anonymisation
• Données tuteur (hors placement) : 60 jours après la dernière interaction
• Logs de signature électronique : 5 ans à compter de la signature
• Logs de consentement : 5 ans à compter du consentement
• Données anonymisées (statistiques) : durée illimitée

À l'expiration de ces délais, les données sont automatiquement anonymisées ou supprimées.

4. Comment exercer vos droits

Vous pouvez exercer vos droits de deux manières :

• Par email : contactez le Délégué à la Protection des Données (DPO) de votre établissement à l'adresse communiquée lors de votre inscription
• Révocation du consentement : utilisez le formulaire de révocation en ligne accessible depuis votre espace (/consentement/revoquer) ou contactez le DPO

Le DPO dispose d'un délai d'un mois pour répondre à votre demande. En cas de différend, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr.

5. Sous-traitants

Les données personnelles peuvent être transmises aux sous-traitants suivants, dans le cadre strict du fonctionnement de la plateforme :

• OVH / Scaleway — Hébergement VPS en France (Union Européenne)
• Google (Workspace) — API Calendar pour la synchronisation des rendez-vous (clauses contractuelles types UE)
• Fournisseur SMTP — Envoi d'emails transactionnels (notifications, OTP, invitations)

Aucun transfert de données en dehors de l'Union Européenne n'est effectué. Chaque sous-traitant dispose d'un accord de traitement des données (DPA) conforme à l'article 28 du RGPD.

6. Sécurité des données

Nous mettons en œuvre les mesures techniques et organisationnelles suivantes pour protéger vos données :

• Chiffrement en transit (HTTPS/TLS 1.2+) avec HSTS Preload
• Politique de sécurité du contenu (CSP) stricte
• Contrôle d'accès par rôles (RBAC) : super admin, admin, coach, étudiant
• Sessions sécurisées : cookies HttpOnly, Secure, SameSite
• Mots de passe hashés avec bcrypt/argon2
• Tokens cryptographiques (256 bits) pour les liens de partage
• OTP à usage unique avec expiration pour la signature électronique
• Rate limiting sur les endpoints publics
• Sauvegardes chiffrées quotidiennes
• Logs de signature immutables

7. Contact DPO

Chaque organisation utilisant Pulse désigne un Délégué à la Protection des Données (DPO) responsable du traitement des demandes relatives aux données personnelles.

Pour toute question ou demande d'exercice de vos droits, contactez le DPO de votre établissement à l'adresse communiquée lors de votre inscription ou disponible auprès de l'administration de votre école.

Pour toute question générale relative à la plateforme : contact@pulse-crm.fr