Politique de confidentialité

Article 1 : Préambule

La présente politique de confidentialité a pour objectif d'informer les utilisateurs du site https://docstring.fr (ci-après le « Site ») édité par DOCSTRING (ci-après « l'Éditeur ») :

Sur la manière dont leurs données personnelles sont collectées, traitées et protégées, conformément au Règlement Général sur la Protection des Données (RGPD) (UE) 2016/679 et à la loi Informatique et Libertés modifiée du 6 janvier 1978 ;
Sur les droits dont ils disposent concernant ces données ;
Sur la personne responsable du traitement des données ;
Sur les destinataires de ces données personnelles.

Cette politique s'applique à l'ensemble des traitements de données réalisés dans le cadre de la navigation sur le site, de la création de compte, de l'accès aux formations, des demandes de contact ou de devis, de la gestion des abonnements, et de l'usage des fonctionnalités proposées.

Cette politique complète les mentions légales et les Conditions Générales d'Utilisation consultables par les utilisateurs à l'adresse suivante :

🔗 Mentions légales

🔗 CGU

Article 2 : Principes relatifs à la collecte et au traitement des données personnelles

Conformément à l'article 5 du Règlement européen 2016/679 (Règlement Générale sur la Protection des Données), les données à caractère personnel sont :

Traitées de manière licite, loyale et transparente au regard de la personne concernée ;
Collectées pour des finalités déterminées (cf. Article 3.1 des présentes), explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités ;
Adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ;
Exactes et, si nécessaire, tenues à jour. Toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder ;
Conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ;
Traitées de façon à garantir une sécurité appropriée des données collectées, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées.

Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

La personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
Le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci ;
Le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis ;
Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique ;
Le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ;
Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

Article 3 : Données à caractère personnel collectées et traitées dans le cadre de l'utilisation des services de Docstring

Article 3.1 : Données collectées

Les données collectées dans le cadre de notre activité sont les suivantes :

Nom, prénom, pseudonyme, adresse email, mot de passe (hashé) ;
Adresse IP, données de logs (pages visitées, date/heure de connexion) ;
Données liées aux paiements (donnés de facturation, type d'abonnement, montant) ;
Données de formation (historique de progression, réponses à des quiz) ;
Téléphone et autres informations transmises via les formulaires ;
Données de navigation via cookies (voir politique des cookies).

Finalités de la collecte :

Gestion du compte utilisateur et des services (formations, mentorat) ;
Traitement des paiements et facturation ;
Envoi de communications (emails transactionnels et newsletters) ;
Suivi pédagogique personnalisé ;
Assistance et relation client ;
Analyse de fréquentation et sécurité technique du site.

Le caractère obligatoire ou facultatif de la collecte est précisé au moment de la saisie. Le refus de fournir certaines informations peut empêcher l'accès au service ou retarder le traitement de votre demande.

Article 3.2 : Mode de collecte des données

Les données sont collectées :

Lors de la création de compte ou la souscription à un abonnement ;
Lors du remplissage des formulaires (demande CPF, TOSA, contact) ;
Lors de la navigation sur le site, via des cookies ;
Lors du paiement, via le prestataire Stripe.

Article 3.3 : Durée de conservation des données :

Les données collectées sont conservées pour une durée de :

Compte utilisateur : tant que le compte est actif, 1 an après inactivité ou suppression à la demande ;
Données pédagogiques : tant que le compte est actif, 1 an après inactivité ;
Paiements et facturation : 10 ans (obligation légale) ;
Logs techniques : 10 à 14 jours (rotation automatique) ;
Demandes de contact : 3 ans après le dernier contact ;
Données de prospection : 3 ans maximum ;
Sauvegardes techniques : 30 jours (puis suppression automatique) ;
Cookies : voir politique des cookies.

Certaines données peuvent être conservées au-delà des durées indiquées si cela est requis par une obligation légale.

Article 3.4 : Bases légales des traitements

Les traitements reposent sur les fondements suivants :

Exécution du contrat (article 6.1.b RGPD) : gestion du compte, accès aux services, paiements ;
Consentement (article 6.1.a RGPD) : inscription à la newsletter, cookies analytiques ;
Intérêt légitime (article 6.1.f RGPD) : sécurité, amélioration du site, relation client ;
Obligation légale (article 6.1.c RGPD) : facturation, conservation comptable.

Article 3.5 : Destinataires des données

Les données sont accessibles :

À l'équipe de Docstring (gestion technique, pédagogique, support, administratif)
Aux prestataires agissant en qualité de sous-traitants :
- Hostinger (hébergement) ;
- DigitalOcean (sauvegardes) ;
- Stripe (paiements) ;
- Brevo (envoi d'emails) ;
- Sentry (logs) ;
- Notion (CRM).

Chaque sous-traitant a signé ou publié un DPA conforme au RGPD.

Article 3.6 : Transfert de données hors de l'Union européenne

Certains sous-traitants peuvent héberger ou traiter des données hors de l'UE, notamment aux États-Unis (Stripe, Notion, DigitalOcean). Dans la mesure du possible, nous choisissons d'héberger les données sur des serveurs situés en Europe.

Ces transferts sont encadrés par des clauses contractuelles types (CCT) ou des mécanismes équivalents garantissant un niveau de protection adéquat.

Article 3.7 : Politique des cookies

Pour en savoir plus sur les cookies utilisés (finalité, durée, consentement), consultez notre page dédiée :

🔗 Politique des cookies

Article 3.8 : Sécurité des données

Les données personnelles que nous collectons sont conservées et traitées dans un environnement sécurisé. L'Éditeur met en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD.

Ces mesures visent à :

Empêcher l'accès non autorisé, la perte, l'altération ou la divulgation des données personnelles ;
Assurer l'intégrité, la disponibilité et la confidentialité des données traitées.

Mesures mises en place :

Protocole SSL (Secure Sockets Layer) ;
Protocole SET (Secure Electronic Transaction) ;
Certificat électronique HTTPS ;
Contrôle des accès aux données via une authentification par identifiants et mots de passe forts ;
Chiffrement des mots de passe, via un algorithme de hachage robuste ;
Traçabilité des accès et journalisation des actions sensibles (logs techniques) ;
Limitation des accès aux seules personnes habilitées selon leurs fonctions ;
Sauvegarde régulière des données chiffrées, hébergées chez un prestataire sécurisé différent de l'hébergeur du site ;
Surveillance des erreurs applicatives via un outil spécialisé ;
Sécurisation des paiements via un prestataire agrée (Stripe), conforme aux normes PCI-DSS ;
Protection contre les attaques automatisées via limitation de requêtes par IP et système de jetons CSRF ;
Pare-feu (firewalls) ;
Système de détection des intrusions (IDS) ;
Système de prévention des intrusions (IPS).

Nous réalisons également des revues régulières de nos pratiques de sécurité et nous assurons que nos sous-traitants présentent des garanties suffisantes en matière de protection des données.

Toutefois, comme aucun mécanisme n'offre une sécurité absolue, une part de risque est toujours présente lorsque l'on utilise Internet pour transmettre des données personnelles.

Article 4 : Responsable du traitement des données et délégué à la protection des données

Article 4.1 : Le responsable du traitement des données

Les données à caractère personnelles sont collectées par DOCSTRING, SASU au capital de 500€ inscrite au RCS de Paris sous le numéro 892309246 dont le numéro de TVA intracommunautaire est le FR29892309246.

La société est représentée par Thibault HOUDON.

Le responsable du traitement peut être contacté :

📫 Par courrier, à l'adresse du siège social : 8 B Rue Abel, 75012 Paris.

📧 Par email : [email protected]

Article 4.2 : Le délégué à la protection des données

Le délégué à la protection des données (DPO) de l'entreprise peut être contacté :

📧 Par email : [email protected]

Si vous estimez, après nous avoir contactés, que vos droits « Informatique et Libertés » ne sont pas respectés, vous pouvez adresser une réclamation à la CNIL :

CNIL – Commission Nationale de l'Informatique et des Libertés

3 place de Fontenoy – TSA 80715 – 75334 Paris Cedex 07

📞 Tél. : 01 53 73 22 22

🌐 Site internet : www.cnil.fr

Article 5 : Les droits de l'utilisateur en matière de collecte et de traitement des données

Tout utilisateur concerné par le traitement de ses données personnelles peut se prévaloir des droits suivants, en application du règlement européen 2016/679 (RGPD) et de la Loi Informatique et Libertés (Loi 78-16 du 6 janvier 1978) :

Droit d'accès (art. 15) : connaître les données détenues sur vous ;
Droit de rectification (art. 16) : corriger vos données inexactes ;
Droit à l'effacement (art. 17) : demander la suppression de vos données ;
Droit à la limitation du traitement (art. 18) : suspendre temporairement le traitement ;
Droit à la portabilité des données (art. 20) : recevoir vos données dans un format structuré ;
Droit d'opposition (art. 21) : vous opposer à certains traitements ;
Droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé (art. 22) ;
Droit de saisir l'autorité de contrôle compétente (art. 77) ;
Droit de définir le sort de vos données après la mort.

📩 Pour exercer vos droits, vous pouvez contacter le responsable du traitement ou le DPO aux moyens de contact indiqués à l'article 4.

⚠️ Pour des raisons de sécurité, vous pourrez être invité à justifier de votre identité (ex : pièce d'identité).

Article 6 : Modification de la politique de confidentialité

L'Éditeur du Site se réserve le droit de modifier à tout moment la présente politique afin d'assurer sa conformité avec le droit applicable ou ses évolutions de service.

En cas de modification substantielle, les utilisateurs seront informés via le site ou par email et la nouvelle version entrera en vigueur dès sa publication sur le site.

Nous vous encourageons à consulter régulièrement cette politique de confidentialité.

Article 7 : Loi applicable et juridiction compétente

La présente politique de confidentialité est régie par la législation française.

Tout litige relatif à l'utilisation du site sera de la compétence exclusive des tribunaux français.