NexusGRC · Document légal
Politique de confidentialité
Dernière mise à jour : 11 mai 2026
Cette politique de confidentialité décrit comment NexusGRC Academy (« nous », « notre ») collecte, utilise et protège tes données personnelles lorsque tu utilises le site academy.nexusgrc.net et ses services associés (collectivement, « le Service »).
En utilisant le Service, tu acceptes les pratiques décrites ici. Cette politique respecte le Règlement général sur la protection des données (RGPD, UE 2016/679).
1. Responsable du traitement
Le responsable du traitement de tes données est : Abdelilah Cherkaoui (Personne physique — entrepreneur individuel).
Contact général : privacy@nexusgrc.com
Délégué à la protection des données (DPO) : dpo@nexusgrc.com
2. Données que nous collectons
2.1 Données fournies directement
- Compte : nom, prénom, adresse e-mail, mot de passe haché (bcrypt), nom de l'organisation.
- Facturation : les coordonnées de carte bancaire ne transitent jamais par nos serveurs — elles sont collectées et stockées par notre prestataire de paiement Lemon Squeezy (« merchant of record »).
- Communications : historique des e-mails de support et conversations avec AuditBot (anonymisées sur demande).
2.2 Données collectées automatiquement
- Usage : pages consultées, durée de session, interactions avec le contenu (questions répondues, flashcards révisées, examens blancs).
- Techniques : adresse IP (anonymisée après 30 j), identifiant de session, user-agent, type d'appareil, langue.
- Cookies : voir notre politique cookies. Aucun cookie publicitaire ou de profilage tiers.
3. Finalités et bases légales
| Finalité | Base légale |
|---|---|
| Fournir le Service (compte, accès au contenu, AuditBot) | Exécution du contrat |
| Facturation et conformité comptable | Obligation légale |
| E-mails de support, notifications de fin d'essai | Exécution du contrat |
| Amélioration produit (logs anonymisés, métriques) | Intérêt légitime |
| Prospection commerciale | Consentement (opt-in explicite) |
4. Sous-traitants
Nous travaillons avec des prestataires soigneusement sélectionnés. Chacun est lié par un accord de traitement (DPA) et offre des garanties RGPD :
- Vercel Inc. — hébergement de l'application (États-Unis, DPF certifié).
- Neon Inc. — base de données PostgreSQL (États-Unis, DPF certifié).
- Lemon Squeezy LLC — paiement et facturation (États-Unis, DPF certifié, PCI-DSS).
- Resend — envoi des e-mails transactionnels (États-Unis).
- Anthropic PBC — modèles d'IA pour AuditBot (États-Unis). Les conversations sont chiffrées en transit.
5. Durée de conservation
- Compte actif : tant que ton compte est ouvert.
- Compte fermé : 30 jours puis suppression (sauf obligations légales — comptabilité : 10 ans).
- Logs techniques : 30 jours.
- Conversations AuditBot : 12 mois, anonymisées sur demande.
6. Tes droits
Tu disposes des droits suivants, exerçables à tout moment :
- Accès : obtenir une copie de tes données.
- Rectification : corriger une donnée inexacte.
- Effacement : demander la suppression de ton compte (disponible aussi en self-service depuis tes paramètres).
- Portabilité : recevoir tes données dans un format structuré (JSON).
- Opposition : t'opposer à un traitement basé sur l'intérêt légitime.
- Limitation : demander la suspension d'un traitement.
- Réclamation : auprès de la CNIL (www.cnil.fr) si tu estimes tes droits violés.
Pour exercer ces droits, écris à privacy@nexusgrc.com. Nous répondons sous un mois maximum.
7. Sécurité
Nous appliquons les mesures techniques et organisationnelles suivantes : chiffrement TLS 1.3 en transit, chiffrement au repos sur la base de données, hachage bcrypt des mots de passe (12 rounds), MFA disponible, isolation multi-tenant en base, journal d'accès centralisé, sauvegarde quotidienne avec rétention 30 jours.
Pour signaler une vulnérabilité : security@nexusgrc.com (voir aussi notre security.txt).
8. Transferts hors UE
Certains sous-traitants sont basés aux États-Unis. Les transferts sont encadrés par : certification Data Privacy Framework (Vercel, Neon, Lemon Squeezy), Clauses Contractuelles Types (CCT) le cas échéant, et chiffrement en transit systématique.
9. Cookies
Notre usage des cookies est détaillé dans notre politique cookies. En résumé : un cookie de session strictement nécessaire, un cookie de préférence linguistique, aucun cookie publicitaire ni de profilage tiers, analytics sans cookie (Plausible).
10. Modifications
Cette politique peut évoluer. Toute modification matérielle est communiquée par e-mail au moins 30 jours avant entrée en vigueur. La version applicable est toujours la plus récente publiée à cette URL.
11. Contact
Question, demande d'exercice de droits, ou signalement d'incident : privacy@nexusgrc.com.