Politique de Confidentialité
Conforme au Règlement Général sur la Protection des Données (RGPD – Règlement UE 2016/679)
Dernière mise à jour : 6 mars 2026
1. Responsable du traitement
Le responsable du traitement des données personnelles collectées via la plateforme Evalearn est :
Société : EVAVEO
Forme juridique : SAS, société par actions simplifiée
SIREN : 822 798 344
SIRET (siège social) : 822 798 344 00021
N° TVA Intracommunautaire : FR57 822 798 344
Siège social : Parc d'Affaires de Crécy, 17 avenue Charles de Gaulle, 69370 Saint-Didier-au-Mont-d'Or, France
E-mail : dpo@evaveo.com
2. Données collectées
Dans le cadre de la fourniture du service Evalearn, EVAVEO collecte et traite les catégories de données suivantes :
2.1 Données d'identification et de compte
- Nom et prénom
- Adresse e-mail professionnelle
- Mot de passe (stocké sous forme hachée – bcrypt, jamais en clair)
- Photo de profil (optionnelle)
- Langue préférée
- Rôle au sein de l'organisation (apprenant, formateur, administrateur, etc.)
2.2 Données d'utilisation et de progression
- Cours consultés, leçons complétées, temps passé
- Scores aux quiz et exercices d'évaluation
- Badges et certificats obtenus
- Enregistrements audio produits dans le cadre d'exercices de prononciation (traités en temps réel, non conservés)
- Contenus de messagerie interne (messages échangés entre utilisateurs)
- Commentaires laissés sur les cours et leçons
- Soumissions aux modèles de travaux écrits (Job Templates)
2.3 Données de connexion et techniques
- Adresse IP et données de session
- Type et version du navigateur
- Journaux d'accès (logs serveur)
- Cookies de session (voir section 9)
2.4 Données de l'organisation
- Nom de l'entreprise cliente, domaine, secteur d'activité
- Logo et paramètres de personnalisation de l'interface
- Informations de facturation et d'abonnement (traitées via Stripe)
3. Finalités et bases légales du traitement
| Finalité | Base légale (RGPD) |
|---|---|
| Fourniture et gestion de l'accès à la plateforme | Exécution du contrat (Art. 6.1.b) |
| Suivi de la progression pédagogique et génération de rapports | Exécution du contrat (Art. 6.1.b) |
| Envoi de notifications et e-mails transactionnels (invitations, rappels, certificats) | Exécution du contrat (Art. 6.1.b) |
| Gestion de la facturation et des abonnements | Obligation légale / Exécution du contrat (Art. 6.1.b et 6.1.c) |
| Amélioration des services et analyse des usages (données agrégées) | Intérêt légitime (Art. 6.1.f) |
| Sécurité de la plateforme et prévention des fraudes | Intérêt légitime (Art. 6.1.f) |
| Communication commerciale (newsletter, offres) aux contacts professionnels | Intérêt légitime B2B / Consentement (Art. 6.1.a) |
4. Destinataires des données
Les données personnelles sont accessibles aux catégories de destinataires suivantes :
- Personnel EVAVEO habilité (équipes techniques et support), dans la limite du nécessaire ;
- Administrateurs et managers de l'organisation cliente pour les données de leurs propres utilisateurs ;
- Formateurs pour les données de progression des apprenants de leurs groupes ;
- Sous-traitants techniques agissant pour le compte d'EVAVEO, liés par un accord de traitement des données (DPA) :
Sous-traitants principaux :
- • Scaleway (Iliad) – Hébergement serveur (UE, France)
- • AWS S3 – Stockage des fichiers et médias (région EU configurée)
- • Stripe Inc. – Traitement des paiements (certifié PCI-DSS)
- • Mailgun / Mailgun EU – Envoi d'e-mails transactionnels
- • Google Cloud (Speech-to-Text / Translate) – Traitement vocal et traduction (données traitées en temps réel, non conservées par Google dans ce contexte)
- • Google Gemini (Alphabet Inc.) – IA générative pour les exercices de roleplay (les échanges peuvent être transmis à l'API Gemini)
EVAVEO ne vend jamais les données personnelles de ses utilisateurs à des tiers à des fins commerciales.
5. Transferts hors Union Européenne
L'hébergement principal de la plateforme est assuré par Scaleway, dont les datacenters sont situés en France (UE). Certains sous-traitants (AWS, Stripe, Google) peuvent traiter des données hors UE.
Dans ce cas, EVAVEO s'assure que ces transferts sont encadrés par des garanties appropriées : clauses contractuelles types (CCT) de la Commission européenne, ou certification sous un cadre d'adéquation reconnu par la Commission (ex. Data Privacy Framework UE-États-Unis).
6. Durée de conservation
| Catégorie de données | Durée de conservation |
|---|---|
| Données de compte et de profil | Durée du contrat + 3 ans après résiliation |
| Données de progression et résultats | Durée du contrat + 3 ans après résiliation |
| Certificats et badges | Durée du contrat + 5 ans (valeur probatoire) |
| Données de facturation | 10 ans (obligation comptable légale) |
| Logs de connexion et de sécurité | 12 mois |
| Données après résiliation du contrat (export) | 90 jours puis suppression définitive |
7. Vos droits
Conformément au RGPD (articles 15 à 22), vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès (Art. 15) – Obtenir une copie de vos données personnelles traitées par EVAVEO.
- Droit de rectification (Art. 16) – Corriger des données inexactes ou incomplètes. Vous pouvez modifier la plupart de vos informations directement dans votre profil.
- Droit à l'effacement (Art. 17) – Demander la suppression de vos données, sous réserve des obligations légales de conservation.
- Droit à la limitation du traitement (Art. 18) – Demander la suspension temporaire du traitement de vos données.
- Droit à la portabilité (Art. 20) – Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine.
- Droit d'opposition (Art. 21) – Vous opposer au traitement fondé sur l'intérêt légitime d'EVAVEO.
- Droit de retrait du consentement – Retirer votre consentement à tout moment pour les traitements qui y sont soumis, sans que cela ne porte atteinte à la licéité du traitement antérieur.
Pour exercer vos droits :
Envoyez votre demande par e-mail à dpo@evaveo.com, en joignant une copie d'un justificatif d'identité. EVAVEO s'engage à répondre dans un délai d'un mois à compter de la réception de la demande.
8. Sécurité des données
EVAVEO met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles contre toute perte, accès non autorisé, divulgation, altération ou destruction :
- Chiffrement des communications via HTTPS/TLS ;
- Mots de passe stockés sous forme hachée (algorithme bcrypt) ;
- Authentification sécurisée avec gestion des sessions (NextAuth.js) ;
- Accès aux données de production restreint au personnel habilité ;
- Sauvegardes quotidiennes automatisées de la base de données ;
- Infrastructure hébergée dans des datacenters certifiés en France.
En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour vos droits et libertés, EVAVEO s'engage à notifier la CNIL dans les 72 heures et à en informer les personnes concernées dans les meilleurs délais, conformément à l'article 33 du RGPD.
9. Cookies
La plateforme Evalearn utilise exclusivement des cookies strictement nécessaires à son fonctionnement :
| Cookie | Finalité | Durée |
|---|---|---|
| next-auth.session-token | Maintien de la session utilisateur authentifiée | Session / 30 jours |
| next-auth.csrf-token | Protection CSRF (sécurité) | Session |
Aucun cookie publicitaire ou de traçage tiers n'est déposé. Ces cookies étant strictement nécessaires au fonctionnement du service, ils ne nécessitent pas de consentement préalable au sens de la directive ePrivacy.
10. Données relatives aux mineurs
La plateforme Evalearn est destinée exclusivement à un usage professionnel par des adultes (personnes majeures). EVAVEO ne collecte pas sciemment de données personnelles concernant des personnes de moins de 16 ans. Si une telle situation était portée à sa connaissance, EVAVEO supprimerait ces données dans les meilleurs délais.
11. Intelligence artificielle et données
Certaines fonctionnalités de la plateforme font appel à des services d'intelligence artificielle (Google Gemini, Google Speech-to-Text, Google Translate). Dans ce cadre :
- Les enregistrements audio des exercices de parole sont transmis à l'API Google Speech-to-Text pour transcription en temps réel et ne sont pas conservés par EVAVEO après traitement ;
- Les échanges des sessions de roleplay sont transmis à l'API Google Gemini pour générer les réponses de l'IA ; ces données sont traitées conformément à la politique de Google Cloud ;
- EVAVEO n'utilise pas vos données personnelles pour entraîner ses propres modèles d'IA.
12. Modifications de la présente politique
EVAVEO se réserve le droit de modifier la présente Politique de Confidentialité à tout moment, notamment pour se conformer à l'évolution de la réglementation. Toute modification substantielle sera notifiée aux utilisateurs via la plateforme ou par e-mail au moins 15 jours avant son entrée en vigueur. La version en vigueur est toujours consultable à l'adresse /privacy.
13. Réclamation auprès de la CNIL
Si vous estimez, après nous avoir contactés, que vos droits sur vos données ne sont pas respectés, vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente :
Commission Nationale de l'Informatique et des Libertés (CNIL)
3 place de Fontenoy – TSA 80715 – 75334 Paris Cedex 07
Tél. : +33 (0)1 53 73 22 22
Site : www.cnil.fr
14. Contact – Délégué à la Protection des Données (DPO)
Pour toute question relative au traitement de vos données personnelles ou à l'exercice de vos droits, vous pouvez contacter EVAVEO :
EVAVEO – Responsable Protection des Données
Parc d'Affaires de Crécy, 17 avenue Charles de Gaulle
69370 Saint-Didier-au-Mont-d'Or, France
E-mail : dpo@evaveo.com
En l'absence de DPO désigné formellement (EVAVEO n'étant pas soumis à l'obligation de désignation selon l'Art. 37 du RGPD), le contact ci-dessus est le point d'entrée pour toute demande relative aux données personnelles.