Conformité RGPD & CNIL

Politique de confidentialité

Comment l'IFPA Poitiers collecte, utilise et protège vos données personnelles — en transparence, conformément au Règlement Général sur la Protection des Données (UE 2016/679) et à la loi Informatique et Libertés modifiée.

1. Responsable du traitement

Le responsable du traitement est :

IFPA POITIERS — Société par actions simplifiée (SAS) au capital social de 10 000 €
Siège social : 11 rue Victor Grignard, Pôle République II, 86000 Poitiers, France
RCS Poitiers 851 195 289 — immatriculée le 28/05/2019
N° TVA intracommunautaire : FR 60 851 195 289
Représentée par Benjamin DUPLAA, en sa qualité de Directeur général.
Contact dédié RGPD : poitiers@ifpa86.fr

Compte tenu du volume et de la nature des traitements, l'IFPA POITIERS n'est pas soumis à l'obligation de désigner un Délégué à la Protection des Données (DPO). Les demandes RGPD sont traitées directement par le Directeur général, qui en assume la responsabilité.

2. Finalités du traitement & bases légales

Les données que vous nous communiquez sont traitées pour les finalités suivantes, chacune fondée sur une base légale précise (article 6 du RGPD) :

Finalité Base légale Données traitées Durée de conservation
Répondre à une demande de contact ou de candidature Mesures précontractuelles à la demande de la personne (art. 6.1.b) Nom, email, téléphone, formation visée, message, IP anonymisée (dernier octet à zéro) 3 ans à compter du dernier échange si pas de suite
Constituer le dossier administratif et pédagogique d'un apprenant Exécution du contrat de formation (art. 6.1.b) + obligation légale (art. 6.1.c) État civil, CV, justificatifs financiers, attestations, évaluations, présences Durée du contrat + durées légales (10 ans selon nature des pièces — Code du travail, Qualiopi)
Information ponctuelle sur les sessions de formation Consentement explicite (art. 6.1.a) Email, formation d'intérêt Jusqu'à retrait du consentement, ou 36 mois sans interaction
Sécurisation du site (limitation des soumissions abusives) Intérêt légitime (art. 6.1.f) — sécurité du système IP anonymisée + horodatage des soumissions 24 heures glissantes (rotation automatique)
Mesure d'audience du site (Google Analytics 4) Consentement explicite (art. 6.1.a + art. 82 LIL) Identifiants _ga, IP tronquée, pages vues, source de trafic 13 mois (durée maximale CNIL)
Respect des obligations Qualiopi (audit qualité, traçabilité) Obligation légale (art. 6.1.c) Dossier apprenant complet + preuves pédagogiques 3 ans après la fin de l'action de formation (décret 2019-565)

3. Destinataires & sous-traitants

Vos données sont destinées exclusivement à l'équipe pédagogique et administrative de l'IFPA Poitiers, dans la limite stricte de leurs missions.

Elles peuvent être transmises aux destinataires suivants :

  • Financeurs de votre formation, à votre demande et avec votre accord : France Travail (AIF, POE), Conseil Régional Nouvelle-Aquitaine (PRF), OPCO, Association Transitions Pro, AGEFIPH, Cap Emploi.
  • Organismes certificateurs dans le cadre du passage du Titre Professionnel (Ministère du Travail / DREETS) ou autres certifications visées.
  • Autorités de contrôle sur réquisition légale : inspection du travail, certificateur Qualiopi, CNIL.
  • Sous-traitants techniques agissant sur instruction documentée du responsable, et liés par un contrat de sous-traitance art. 28 RGPD :
    • Gandi SAS (France) — hébergement du site et messagerie.
    • Google Ireland Limited (Irlande, UE) — mesure d'audience Google Analytics 4 uniquement après votre consentement explicite. Transferts techniques possibles vers Google LLC (États-Unis) dans le cadre du EU-US Data Privacy Framework.
    • Bunny.net (Slovénie, UE) — diffusion des polices d'écriture du site.
    • [À compléter — outil de gestion administrative / SI apprenants si externalisé]

Aucune donnée n'est transmise à des tiers à des fins commerciales ou publicitaires.

4. Transferts hors Union européenne

Le responsable du traitement minimise les transferts hors Espace économique européen. Certaines fonctionnalités impliquent toutefois des services tiers susceptibles de transférer des données vers les États-Unis, toujours sur action ou consentement explicite du visiteur et dans le cadre du EU-US Data Privacy Framework (décision d'adéquation CE 2023/1795 du 10 juillet 2023) :

  • Google Analytics 4 (Google Ireland Ltd, sous-traitant principal ; Google LLC pour le traitement technique) — uniquement après votre consentement explicite via le bandeau cookies. En cas de refus, seuls des pings agrégés et anonymisés (Consent Mode v2) sont transmis, sans cookie ni identifiant. Voir détails en section 7.
  • Google Maps (Google LLC) — affichage interactif du plan d'accès. L'iframe n'est chargée qu'au clic explicite sur « Afficher la carte ». Tant que vous ne cliquez pas, aucune donnée n'est transmise à Google.
  • Polices d'écriture — servies depuis fonts.bunny.net (Bunny.net, opérateur slovène, infrastructure européenne). Aucun appel à Google Fonts n'est effectué.

5. Vos droits (RGPD articles 15 à 22)

Conformément au RGPD, vous disposez sur vos données personnelles des droits suivants, exerçables à tout moment :

  • Droit d'accès — obtenir confirmation que vos données sont traitées et en recevoir une copie.
  • Droit de rectification — faire corriger des données inexactes ou incomplètes.
  • Droit à l'effacement (« droit à l'oubli ») — sous réserve des obligations légales de conservation Qualiopi.
  • Droit à la limitation du traitement.
  • Droit d'opposition au traitement, notamment à des fins de prospection.
  • Droit à la portabilité — récupérer les données dans un format structuré, couramment utilisé et lisible par machine.
  • Droit de retirer votre consentement à tout moment lorsque le traitement est fondé sur celui-ci (sans effet rétroactif).
  • Droit de définir des directives relatives au sort de vos données après votre décès (art. 85 loi Informatique et Libertés).

Pour exercer ces droits, contactez-nous :

  • Par courriel à poitiers@ifpa86.fr (avec justificatif d'identité)
  • Par courrier : IFPA Poitiers — RGPD, 11 rue Victor Grignard, Pôle République, 86000 Poitiers

Nous nous engageons à répondre dans un délai d'un mois (prolongeable de deux mois en cas de demande complexe, avec information).

6. Décisions automatisées et profilage

Aucune décision produisant des effets juridiques à votre égard ou vous affectant de manière significative n'est prise sur la base d'un traitement automatisé. Aucun profilage n'est effectué. Toutes les décisions d'admission, d'orientation et de financement sont prises par des conseillers humains de l'IFPA Poitiers.

7. Cookies et traceurs

L'IFPA Poitiers a fait le choix d'une approche respect par défaut : aucun cookie publicitaire ou de réseau social, aucun pixel Meta/LinkedIn/TikTok, aucune empreinte navigateur (fingerprinting). La mesure d'audience est désactivée par défaut et ne s'active qu'avec votre consentement explicite.

7.1 Cookies strictement nécessaires (dispensés de consentement)

Déposés sans consentement préalable conformément à l'article 82 de la loi Informatique et Libertés et à la délibération CNIL du 17 septembre 2020 :

  • IFPASESS — cookie de session PHP. Finalité : protection CSRF du formulaire de contact. Durée : session navigateur.
  • ifpa_consent — stockage local (localStorage). Finalité : mémoriser votre choix de consentement cookies pour ne plus vous le redemander. Durée : 13 mois.

7.2 Mesure d'audience Google Analytics 4 (consentement requis)

Avec votre consentement explicite (bandeau cookies, bouton « Tout accepter » ou personnalisation), nous utilisons Google Analytics 4 (propriété G-DGRZMVFGPD) pour mesurer l'audience anonymisée du site :

  • Finalité : mesurer les pages visitées, les sources de trafic, comprendre comment les visiteurs naviguent pour améliorer le site.
  • Base légale : consentement explicite (article 82 LIL + RGPD art. 6.1.a).
  • Cookies déposés : _ga, _ga_DGRZMVFGPD, durée 13 mois.
  • Pseudonymisation : l'option anonymize_ip est activée — les adresses IP sont tronquées avant traitement par Google.
  • Sous-traitant : Google Ireland Limited (siège européen), avec transferts techniques possibles vers Google LLC aux États-Unis dans le cadre du EU-US Data Privacy Framework (décision d'adéquation CE 2023/1795 du 10 juillet 2023). Google LLC est inscrite sur la liste des organisations certifiées DPF.
  • Mode Consent Mode v2 : avant votre choix (ou en cas de refus), seuls des pings agrégés anonymes sont envoyés à Google, sans cookie ni identifiant — c'est une fonctionnalité native de Consent Mode v2 conforme aux exigences CNIL.

7.3 Lorsque vous activez les contenus tiers

Sur les pages d'accueil, « Contact », « À propos » et les pages locales, un encart Google Maps n'est chargé qu'après votre clic explicite sur « Afficher la carte ». Avant ce clic, aucune donnée n'est envoyée à Google LLC.

7.4 Retirer ou modifier votre consentement

Vous pouvez à tout moment :

  • Cliquer sur le lien « Cookies » en bas de chaque page pour rouvrir le bandeau et changer vos choix.
  • Supprimer manuellement les cookies depuis les paramètres de votre navigateur.
  • Activer le signal « Do Not Track » ou Global Privacy Control (GPC) — ces signaux sont respectés.

Votre choix est conservé 13 mois maximum (durée maximale recommandée par la CNIL).

8. Sécurité

L'IFPA Poitiers met en œuvre les mesures techniques et organisationnelles appropriées pour garantir la sécurité de vos données :

  • Transmission chiffrée HTTPS (TLS 1.2+) — HSTS activé.
  • Protection CSRF, rate-limiting, validation d'origine, en-têtes de sécurité HTTP (CSP, X-Frame-Options, Permissions-Policy, Referrer-Policy).
  • Accès aux dossiers physiques et numériques restreints aux personnes habilitées.
  • Mots de passe administrateurs hachés (algorithme moderne), authentification durcie.
  • Sauvegardes régulières chiffrées chez l'hébergeur Gandi (UE).
  • Pseudonymisation des IP collectées (dernier octet à zéro avant stockage).
  • Politique de minimisation : nous ne demandons que ce qui est strictement nécessaire.

9. Violation de données

En cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, l'IFPA Poitiers s'engage à notifier la CNIL dans les 72 heures (art. 33 RGPD) et, en cas de risque élevé, à vous en informer personnellement dans les meilleurs délais (art. 34 RGPD).

10. Réclamation auprès de la CNIL

Si vous estimez, après nous avoir contactés, que vos droits Informatique et Libertés ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

CNIL — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
Téléphone : 01 53 73 22 22
Site web : www.cnil.fr

11. Mise à jour de la politique

La présente politique peut être modifiée pour refléter l'évolution de nos pratiques ou de la réglementation. Toute modification substantielle vous sera notifiée par un encart visible sur la page d'accueil ou par courriel pour les personnes inscrites.

Version en vigueur : .