Politique de confidentialité

Responsable du traitement

Le responsable du traitement des données collectées est :

THE PROJECT (exploité sous le nom commercial CertifPlus)
SASU au capital de 1 500 €
SIREN 928 081 413, RCS Aix-en-Provence
Siège social : 4 Allée des Informaticiens, 13290 Aix-en-Provence
Représenté par son Président
Contact DPO : dpo@certifplus.fr

L'identité complète du Président est disponible dans nos mentions légales.

Données collectées

Données d'identification

Civilité, nom, prénom, adresse email, numéro de téléphone, adresse postale.

Données professionnelles

Statut professionnel, employeur, salaire déclaré, date de début d'activité.

Documents uploadés

Pièce d'identité, fiches de paie, avis d'imposition, contrat de travail, justificatif de domicile et tout autre document fourni dans le cadre de la constitution du dossier.

Données de paiement

CertifPlus ne stocke aucune donnée bancaire. Le traitement des paiements est intégralement délégué à Mollie B.V. (prestataire certifié PCI-DSS). Seuls les identifiants de transaction Mollie (non-sensibles) sont conservés.

Données techniques

Adresse IP, user-agent, logs de connexion (à des fins de sécurité et d'audit).

Finalités du traitement

• Exécution du service : analyse documentaire, délivrance du certificat, communication sur l'avancement du dossier.
• Gestion des paiements : facturation et traitement des transactions via Mollie.
• Sécurité : détection de fraudes, protection contre les accès non autorisés.
• Obligations légales : conservation des données de facturation (10 ans), réponse aux réquisitions judiciaires.
• Amélioration du service : statistiques anonymisées d'usage (aucune donnée personnelle identifiable).

Base légale des traitements

• Exécution du contrat (art. 6.1.b RGPD) : analyse documentaire, délivrance du certificat.
• Consentement (art. 6.1.a RGPD) : envoi d'emails de suivi, cookies non essentiels.
• Obligation légale (art. 6.1.c RGPD) : conservation des données de facturation.
• Intérêt légitime (art. 6.1.f RGPD) : sécurité de la plateforme, détection de fraudes.

Durées de conservation

• Documents uploadés : supprimés automatiquement 90 jours après la délivrance du certificat (ou du refus).
• Données d'identification : conservées 90 jours après clôture du dossier, puis anonymisées.
• Données de facturation : conservées 10 ans conformément au Code de commerce.
• Logs de sécurité : conservés 12 mois maximum.

Destinataires des données

Vos données sont exclusivement accessibles aux :

• Analystes documentaires CertifPlus habilités, dans le cadre strict de la vérification de votre dossier ;
• Sous-traitants techniques listés ci-dessous, tous liés par un accord de traitement de données conforme RGPD.

CertifPlus ne vend, ne loue ni ne partage jamais vos données avec des tiers à des fins commerciales ou publicitaires.

Sous-traitants

Pour fournir le service, nous faisons appel aux sous-traitants suivants, qui peuvent traiter vos données dans la limite de ce qui est strictement nécessaire :

• Scaleway SAS — Hébergement des données et fichiers — France 🇫🇷 — RGPD natif
• Mollie B.V. — Traitement des paiements — Pays-Bas 🇳🇱 — RGPD natif, agréé PSP
• Resend Inc. — Envoi d'emails transactionnels — États-Unis 🇺🇸 — SCC (Clauses Contractuelles Types)
• Anthropic PBC — Analyse IA des documents — États-Unis 🇺🇸 — SCC (Clauses Contractuelles Types)

Hébergement des données

L'ensemble des données personnelles et documents sont exclusivement hébergés en France sur l'infrastructure Scaleway (région Paris). Les emails transactionnels sont traités par Resend Inc. (USA) et l'analyse IA par Anthropic PBC (USA) — dans les deux cas, un accord de traitement de données est en place conformément aux Clauses Contractuelles Types (SCC) de la Commission européenne.

Décision automatisée et profilage

L'analyse documentaire est assistée par une intelligence artificielle (Claude, fourni par Anthropic PBC), mais la décision finale est toujours prise par un humain.

Conformément à l'article 22 du RGPD, vous disposez du droit :

• De ne pas faire l'objet d'une décision purement automatisée ;
• D'obtenir une intervention humaine ;
• D'exprimer votre point de vue et de contester la décision.

Pour exercer ces droits : dpo@certifplus.fr

Vos droits

Conformément au RGPD, vous disposez des droits suivants :

• Droit d'accès : obtenir une copie de vos données personnelles.
• Droit de rectification : corriger des données inexactes.
• Droit à l'effacement (« droit à l'oubli ») : demander la suppression de vos données.
• Droit à la portabilité : recevoir vos données dans un format structuré.
• Droit d'opposition : vous opposer à certains traitements basés sur l'intérêt légitime.
• Droit à la limitation : restreindre temporairement le traitement de vos données.

Pour exercer vos droits : dpo@certifplus.fr ou via le formulaire de contact. Délai de réponse : 30 jours maximum.

En cas de réclamation non résolue, vous pouvez saisir la CNIL : cnil.fr/fr/plaintes

Cookies et traceurs

CertifPlus utilise uniquement des cookies strictement nécessaires au fonctionnement du site :

• Cookie de session : maintien de votre session de navigation sécurisée. Durée : session.
• Token CSRF : protection contre les attaques Cross-Site Request Forgery. Durée : session.
• Préférence cookies : mémorisation de votre choix de consentement (localStorage). Durée : 13 mois.

Aucun cookie publicitaire, cookie de tracking comportemental ni réseau social tiers n'est déposé sur certifplus.fr.

Mesures de sécurité

• Chiffrement AES-256 des données au repos sur Scaleway Object Storage
• Transport chiffré TLS 1.3 pour toutes les communications
• Authentification à double facteur pour l'accès admin
• Journalisation de tous les accès aux données sensibles
• Tests de pénétration annuels par un prestataire externe
• Politique de mots de passe forts et rotation régulière

Contact — Délégué à la protection des données

Pour toute question relative à la protection de vos données personnelles :
DPO CertifPlus — dpo@certifplus.fr
THE PROJECT, 4 Allée des Informaticiens, 13290 Aix-en-Provence