Politique de confidentialité
Conforme RGPD (Règlement UE 2016/679) + EU AI Act (Règlement UE 2024/1689).
Article 1Responsable de traitement
GETUL CONSULTING, S.L. — Paseo Reding 43, 29016 Málaga (siège). 8 Bis rue Abel, 75012 Paris (bureau). NIF ESB12345678 — CNAE 62.20.
DPO : privacy@getulconsulting.com (ouvre dans une nouvelle fenêtre).
Pour les utilisateurs B2B, Gétul agit en tant que sous-traitant (art. 28 RGPD). Pour les utilisateurs B2C, en tant que responsable de traitement.
Article 2Données collectées et finalités
2.1 Données d’inscription
| Donnée | Source | Finalité | Base légale |
|---|---|---|---|
| Nom, prénom | Formulaire | Identification | Contrat (art. 6.1.b) |
| Formulaire | Communication, login | Contrat | |
| Mot de passe (haché bcrypt) | Formulaire | Authentification | Contrat |
| Secteur, fonction | Formulaire (optionnel) | Personnalisation | Intérêt légitime |
| Adresse IP | Connexion | Sécurité, anti-fraude | Intérêt légitime |
2.2 Données d’usage
| Donnée | Finalité | Base légale | Rétention |
|---|---|---|---|
| Logs de connexion | Sécurité, audit AI Act | Obligation légale | 5 ans |
| Progression des cours | Suivi pédagogique | Contrat | Durée + 3 ans |
| Quiz, scores | Évaluation, certificats | Contrat | 5 ans |
| Interactions IA Tutor | Amélioration, audit | Consentement + obligation | 12 mois |
| Certificats émis | Vérification publique | Intérêt légitime | Permanent (pseudonymisé) |
2.3 Données de paiement
Les données bancaires ne sont jamais collectées par Gétul. Traitement par Stripe Payments Europe Ltd. (PCI-DSS niveau 1). Données conservées par Gétul : ID client Stripe, statut d’abonnement, historique factures (10 ans, art. L. 123-22 C. com.).
Article 3Destinataires
3.1 Personnel Gétul
- Administrateurs techniques (accès strictement limité au nécessaire)
- Service support (sur demande utilisateur)
- DPO (sur demande RGPD)
3.2 Sous-traitants (art. 28 RGPD)
Liste à jour sur la page /legal/sous-traitants. Tous nos sous-traitants ont signé un DPA conforme RGPD.
Article 4Transferts hors UE
Certains traitements impliquent des transferts vers les États-Unis (Anthropic, Resend).
- Clauses Contractuelles Types (SCC) version 2021/914
- Anthropic : ZDR (Zero Data Retention) activé — vos données ne sont pas conservées par Anthropic
- Évaluation Schrems II documentée, disponible sur demande
L’Utilisateur peut s’opposer à ces transferts en désactivant l’IA Tutor dans ses préférences ; le service reste utilisable sans IA Tutor.
Article 5Durées de conservation
| Catégorie | Durée |
|---|---|
| Compte actif | Durée du contrat |
| Compte inactif | 3 ans après dernière connexion |
| Logs auditables AI Act | 5 ans (art. 12 AI Act) |
| Factures | 10 ans (Code commerce) |
| Certificats émis | Permanent (hash après anonymisation) |
| Interactions IA | 12 mois |
| Données de prospection (formulaires) | 3 ans après dernier contact |
Article 6Droits des personnes
Conformément aux articles 15 à 22 du RGPD :
| Droit | Comment l’exercer |
|---|---|
| Accès (art. 15) | Profil > Privacy > "Télécharger mes données" |
| Rectification (art. 16) | Profil > Modifier les informations |
| Effacement (art. 17) | Profil > Privacy > "Supprimer mon compte" |
| Limitation (art. 18) | Email à privacy@getulconsulting.com |
| Portabilité (art. 20) | Export JSON depuis Profil > Privacy |
| Opposition (art. 21) | Settings > Préférences communication |
| Retrait du consentement | À tout moment (IA Tutor, cookies marketing) |
Délai de réponse : 1 mois maximum (extensible à 3 mois si demande complexe, avec information). En cas de litige non résolu, l’Utilisateur peut saisir la CNIL (ouvre dans une nouvelle fenêtre) ou l’AEPD (ouvre dans une nouvelle fenêtre) (Espagne).
Article 7Cookies
Voir la politique des cookies dédiée. La bannière de consentement applique strictement les recommandations CNIL 2024 : « Refuser tout » de même visibilité qu’« Accepter tout ».
Article 8Sécurité
- Chiffrement TLS 1.3 in-transit
- Chiffrement at-rest (PostgreSQL + S3 compatible chez Hostinger)
- Hashing bcrypt des mots de passe
- 2FA obligatoire pour les comptes admin
- Logs auditables 5 ans
- Sauvegardes chiffrées AES-256 (rétention 30 j)
- Tests d’intrusion annuels
- Audit RGPD annuel par cabinet externe
- Formation sécurité du personnel
En cas de violation de données : notification CNIL/AEPD sous 72 h et information des personnes concernées si risque élevé (art. 33-34 RGPD).
Article 9Mineurs
La Plateforme est réservée aux majeurs (18 ans+). Aucun traitement de données de mineurs n’est effectué. Tout compte appartenant à un mineur sera supprimé.
Article 10Modifications
La présente Politique peut être mise à jour. L’Utilisateur sera notifié par email lors de toute modification substantielle, et invité à accepter la nouvelle version.
Article 11Contact
Questions sur ce document ? Contactez privacy@getulconsulting.com (ouvre dans une nouvelle fenêtre) (DPO) ou hello@getulconsulting.com (ouvre dans une nouvelle fenêtre).