Certavia
Rechercher…⌘KSe connecterCréer un compte

Accueil/Confidentialité

Avis de confidentialité

Comment Certavia recueille, utilise et protège vos données personnelles — en conformité avec le RGPD (Règlement général sur la protection des données) et sa transposition allemande DSGVO + BDSG (Bundesdatenschutzgesetz).

Version : 2026-06-29 · v4.2 Entrée en vigueur : 1er juillet 2026 Dernière révision : 28 juin 2026

1. Qui est responsable du traitement

Le responsable du traitement est Certavia GmbH, société constituée selon le droit allemand, dont le siège est au Friedrichstraße 68, 10117 Berlin, Allemagne (HRB 198432 B · Amtsgericht Charlottenburg · USt-IdNr. DE321987654). Pour le Royaume-Uni post-Brexit, notre représentant désigné est Certavia UK Ltd., 12 City Road, Londres EC1Y 2AA.

2. Données que nous collectons

Que vous nous donnez directement

  • Compte : nom complet, email, mot de passe haché (Argon2id), pays.
  • Profil : pseudonyme public, objectif d'apprentissage, langue préférée.
  • Paiement : les 4 derniers chiffres de la carte uniquement — le reste est traité par Stripe (PCI-DSS niveau 1), nous ne stockons jamais le PAN complet ni le CVV.

Que nous collectons automatiquement

  • Activité produit : questions répondues, score, temps passé par leçon — utilisé pour les statistiques communautaires (anonymisées) et les recommandations IA.
  • Technique : adresse IP (tronquée après géolocalisation pays), user-agent, durée de session, page d'origine.

3. Finalités du traitement

FinalitéDonnées utiliséesRétention
Service essentielCompte, profil, paiement, parcoursCompte actif + 12 mois
Statistiques communautairesRéponses aux questions (anonymisées)5 ans agrégé · anonyme
Recommandations IAErreurs, score par domaineCompte actif uniquement
Sécurité, fraudeIP, user-agent, sessions90 jours · puis hash
Comptabilité, fiscalitéFactures, paiements10 ans (loi fiscale CA/FR)
Marketing produitEmail, préférencesJusqu'à désinscription

4. Fondements légaux

Conformément à la DSGVO (art. 12 et suivants) et au RGPD (art. 6) :

  • Exécution du contrat pour la livraison du service.
  • Consentement explicite, par finalité, pour l'analytique, l'IA et les communications marketing — révocable à tout moment dans Paramètres → Confidentialité.
  • Intérêt légitime pour la sécurité et la prévention de la fraude.
  • Obligation légale pour la conservation comptable.

5. Partage avec des tiers

Nous ne vendons jamais vos données. Nous les partageons avec un nombre restreint de sous-traitants nécessaires au service :

  • Stripe Inc. (paiement) — hébergement UE/CA, conforme PCI-DSS.
  • Hetzner Online GmbH (hébergement applicatif) — datacentres Falkenstein et Nuremberg (Allemagne), Helsinki (Finlande).
  • Postmark (email transactionnel) — clauses contractuelles types validées DSGVO.
  • Anthropic (modèles IA pour recommandations) — uniquement données anonymisées agrégées, jamais d'identifiant utilisateur.

6. Durée de conservation

Détaillée dans le tableau §3. Après la fin de votre compte, les données sont supprimées sous 30 jours, à l'exception des factures (10 ans, loi fiscale) et des journaux d'audit (3 ans, sécurité).

7. Vos droits

En tant qu'utilisateur, vous avez les droits suivants — exerçables depuis Paramètres → Confidentialité ou par email à privacy@certavia.io :

AccèsObtenir copie des données vous concernant (export JSON).
RectificationCorriger un renseignement inexact.
EffacementDemander la suppression (« droit à l'oubli »).
PortabilitéRecevoir vos données dans un format structuré.
OppositionRefuser un traitement spécifique.
LimitationBloquer temporairement un traitement.
Retrait du consentementÀ tout moment, sans pénalité.
PlainteAuprès de la BfDI (Allemagne) ou de la CNIL (France).

8. Cookies et traceurs

Notre bannière (DSGVO) vous permet de choisir par finalité : essentiel (forcé, sans consentement), analytique, marketing. Détail complet sur la page Cookies.

9. Sécurité

Mesures techniques et organisationnelles : chiffrement TLS 1.3 en transit, AES-256 au repos, hash Argon2id pour les mots de passe, MFA obligatoire pour les rôles admin, journalisation d'audit immuable, rotation des secrets tous les 90 jours, tests de pénétration annuels par un tiers indépendant.

En cas d'incident affectant vos données, nous vous en notifions sous 72 heures conformément à la DSGVO et au RGPD, avec la nature de l'incident, les catégories de données touchées et les mesures correctives.

10. Contact — Responsable RPRP

Notre Responsable de la protection des renseignements personnels (RPRP) est joignable à :

privacy@certavia.io
Certavia GmbH — À l'attention du RPRP
1234, rue de la Montagne, 10115 Berlin, Allemagne

Délai de réponse maximal : 30 jours (DSGVO) · 1 mois (RGPD).