Politique de confidentialité

Dernière mise à jour : mars 2026

1. Responsable du traitement

Chaque organisme de formation (OF) utilisant la plateforme C&CO Formation est responsable du traitement des données de ses apprenants, formateurs et contacts clients. C&CO Formation agit en tant que sous-traitant au sens du RGPD (Article 28).

2. Données collectées

  • Données d'identification : civilité, nom, prénom, email, téléphone, date de naissance
  • Données professionnelles : fonction, entreprise, SIRET, NDA, compétences
  • Données de formation : inscriptions, émargements, évaluations, attestations
  • Données financières : devis, factures, paiements
  • Données de connexion : adresse IP, horodatage de connexion
  • Données de messagerie : messages échangés sur la plateforme

3. Bases légales des traitements

  • Exécution du contrat : gestion des formations, inscriptions, émargements
  • Obligation légale : facturation (10 ans), BPF, conservation documents formation (5 ans), conformité Qualiopi
  • Intérêt légitime : amélioration du service, statistiques anonymisées, sécurité
  • Consentement : enquêtes de satisfaction, communications non essentielles

4. Durées de conservation

  • Données de formation (émargements, inscriptions, attestations) : 5 ans minimum (art. L6362-1 Code du travail)
  • Données financières (factures, avoirs) : 10 ans (art. L123-22 Code de commerce)
  • BPF : 3 ans
  • Données de connexion : 1 an
  • Messages : durée de la relation contractuelle + 3 ans

À l'expiration de ces durées, les données sont anonymisées ou supprimées.

5. Vos droits

Conformément au RGPD (Articles 15 à 22), vous disposez des droits suivants :

  • Droit d'accès : obtenir une copie de vos données personnelles
  • Droit de rectification : corriger vos données (via votre profil extranet)
  • Droit à l'effacement : demander la suppression de vos données (sous réserve des obligations légales de conservation)
  • Droit à la portabilité : recevoir vos données dans un format structuré
  • Droit d'opposition : vous opposer au traitement de vos données
  • Droit à la limitation : demander la limitation du traitement

Pour exercer ces droits, contactez votre organisme de formation ou adressez votre demande à l'adresse email indiquée par celui-ci.

6. Sous-traitants

  • Supabase (self-hosted, France) : hébergement base de données
  • IONOS (Allemagne, UE) : envoi d'emails transactionnels (SMTP)

Les transferts hors UE sont encadrés par les Clauses Contractuelles Types (SCC) conformément à la décision de la Commission Européenne.

7. Sécurité

Nous mettons en œuvre les mesures techniques et organisationnelles appropriées : chiffrement des communications (HTTPS/TLS), contrôle d'accès par rôle (RBAC), isolation des données par organisme (RLS), journalisation des accès, et sauvegardes régulières.

8. Cookies

La plateforme utilise uniquement des cookies essentiels :

  • sb-* : session d'authentification Supabase (JWT)
  • x-selected-profile : choix de profil utilisateur (24h)

Aucun cookie de tracking, publicité ou analytics n'est utilisé.

9. Réclamation

Si vous estimez que le traitement de vos données ne respecte pas la réglementation, vous pouvez adresser une réclamation à la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr