Article 1 — Responsable du traitement et DPO
Responsable du traitement
MARLOONA — SASU au capital de 100 €
RCS Perpignan : 942 743 006
Siège social : 19 rue Jean Brunet, 66000 Perpignan
N° de déclaration d'activité : 76660319666 — Certifié Qualiopi
Délégué à la Protection des Données (DPO)
Rudy Molinillo
Email : [email protected]
Le DPO est joignable pour toute question relative à la protection de vos données personnelles, pour exercer vos droits ou pour formuler une réclamation.
Article 2 — Données collectées
Nous collectons les catégories de données suivantes :
- Données d'identification : nom, prénom, adresse email, mot de passe (hashé via algorithme bcrypt)
- Données de formation : progression pédagogique, résultats aux quiz et évaluations, certificats obtenus, temps de connexion
- Données de paiement : traitées exclusivement par Stripe (certifié PCI-DSS). MARLOONA ne stocke aucune donnée bancaire
- Données de navigation : cookies techniques (session, préférences) et cookies analytiques (sous réserve de consentement)
- Données communautaires : contributions publiées dans les espaces communautaires, commentaires, réponses
- Données professionnelles : informations renseignées dans le profil professionnel (poste, secteur, compétences)
Article 3 — Finalités du traitement
Vos données sont collectées et traitées pour les finalités suivantes :
- Gestion de votre compte utilisateur et accès aux formations
- Suivi pédagogique, évaluation et délivrance des certifications
- Communication par email (newsletters, notifications de suivi)
- Amélioration continue du service et de l'expérience utilisateur (analytics anonymisées)
- Gestion de la relation commerciale et facturation
- Respect des obligations légales (Qualiopi, obligations comptables et fiscales)
Article 4 — Base légale du traitement
Conformément à l'article 6 du RGPD, chaque traitement repose sur l'une des bases légales suivantes :
- Exécution du contrat (art. 6.1.b) : gestion de votre inscription, accès aux formations, suivi pédagogique et certification
- Consentement (art. 6.1.a) : envoi de newsletters, dépôt de cookies non essentiels, utilisation de certains services IA
- Intérêt légitime (art. 6.1.f) : amélioration de nos services, sécurité de la plateforme, prévention de la fraude
- Obligation légale (art. 6.1.c) : conservation des données de facturation, obligations Qualiopi, déclarations fiscales
Article 5 — Localisation des données
MARLOONA met en oeuvre une approche de localisation hiérarchisée des données, privilégiant systématiquement le stockage le plus proche et le plus souverain :
| Priorité | Localisation | Hébergeur / Système | Type de données |
|---|---|---|---|
| 1re Priorité | Localement (Perpignan) | Siège social MARLOONA (serveurs internes) | Données utilisateurs, stagiaires, partenaires |
| 2e Priorité | France | O2Switch (Clermont-Ferrand) | Site web (WordPress), bases de données |
| 3e Priorité | Union Européenne | Prestataires européens (si priorités 1 et 2 impossibles) | Services spécifiques |
| Dernier Recours | Hors UE | Sous clauses contractuelles types (CCT) | Prestataires spécifiques (voir Art. 7) |
En résumé : Toutes les données utilisateur, stagiaires et partenaires sont prioritairement stockées soit localement au siège social MARLOONA à Perpignan, soit en France chez O2Switch. Le recours à des prestataires hors UE n'intervient qu'en dernier ressort et sous garanties contractuelles conformes au RGPD.
Article 6 — IA, LLMs et Automatisation
L'utilisation de l'intelligence artificielle par MARLOONA suit un protocole à trois niveaux de traitement, garantissant que la sensibilité des données détermine le prestataire utilisé :
| Niveau | Type de données | Prestataire | Localisation |
|---|---|---|---|
| Niveau 1 | Informations sensibles ou confidentielles | Serveurs internes exclusivement (Ollama) | Local (Perpignan) |
| Niveau 2 | Données professionnelles modérément sensibles | Mistral AI | Union Européenne |
| Niveau 3 | Informations anonymisées ou pseudonymisées | OpenAI, Anthropic, Google | International |
Principe directeur : Aucune donnée personnelle identifiable n'est transmise aux prestataires de Niveau 3. Seules des données préalablement anonymisées ou pseudonymisées sont traitées par ces services.
Article 7 — Prestataires externes et transferts
MARLOONA fait appel aux prestataires suivants dans le cadre de son activité. Chaque prestataire est sélectionné selon les critères de localisation (Art. 5) et de niveau de sensibilité (Art. 6) :
| Prestataire | Localisation | Données traitées | Finalité |
|---|---|---|---|
| Brevo | UE | Email, prénom | Marketing email |
| Google Analytics | UE (paramètres anonymisation) | Données de navigation (anonymisées) | Statistiques |
| Hotjar | UE | Données comportementales pseudonymisées | Amélioration UX |
| Mistral AI | UE | Données professionnelles non sensibles | Assistance IA |
| OpenAI, Anthropic, Google | Hors UE | Données préalablement anonymisées | Traitements IA avancés |
| Stripe | Hors UE (certifié PCI-DSS) | Données de paiement | Paiement sécurisé |
Pour les transferts hors UE, MARLOONA applique les garanties prévues par le RGPD, notamment les Clauses Contractuelles Types (CCT) adoptées par la Commission Européenne, ainsi que toute mesure supplémentaire nécessaire pour assurer un niveau de protection adéquat.
Article 8 — Vos droits
Conformément au RGPD (articles 15 à 22), vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès (art. 15) — Obtenir la confirmation que vos données sont traitées et en recevoir une copie
- Droit de rectification (art. 16) — Faire corriger toute donnée inexacte ou incomplète vous concernant
- Droit à l'effacement (art. 17) — Demander la suppression de vos données, sous réserve des obligations légales de conservation
- Droit de limitation (art. 18) — Obtenir la limitation du traitement dans certaines circonstances (contestation de l'exactitude, traitement illicite...)
- Droit de portabilité (art. 20) — Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine
- Droit d'opposition (art. 21) — Vous opposer à tout moment au traitement de vos données fondé sur l'intérêt légitime, y compris le profilage
Comment exercer vos droits ?
Envoyez votre demande par email à [email protected] en précisant votre identité et le droit que vous souhaitez exercer. Vous pouvez également modifier vos données directement depuis votre espace personnel sur la plateforme.
Nous nous engageons à répondre dans un délai d'un mois à compter de la réception de votre demande. Ce délai peut être prolongé de deux mois en cas de complexité, auquel cas vous en serez informé.
Article 9 — Procédure en cas de violation de données
En cas de violation de données personnelles, conformément aux articles 33 et 34 du RGPD, MARLOONA s'engage à :
- Notifier la CNIL dans les 72 heures suivant la prise de connaissance de la violation (art. 33)
- Informer les personnes concernées dans les meilleurs délais lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés (art. 34)
- Mettre en oeuvre immédiatement les mesures correctives nécessaires pour contenir la violation et en atténuer les effets
- Documenter toute violation dans un registre interne, incluant les faits, les effets et les mesures prises
Article 10 — Durée de conservation
Les données personnelles sont conservées pour une durée proportionnelle à leur finalité :
| Type de données | Durée de conservation | Fondement |
|---|---|---|
| Données de compte | Durée de la relation + 3 ans | Prescription civile |
| Données de formation | 5 ans après la fin de la formation | Obligations Qualiopi / DREETS |
| Données de paiement / facturation | 10 ans | Obligations comptables et fiscales |
| Cookies analytiques | 13 mois maximum | Recommandations CNIL |
| Journaux de connexion | 1 an | Obligation légale (LCEN) |
À l'expiration de ces durées, les données sont supprimées ou anonymisées de manière irréversible.
Article 11 — Cookies
Ce site utilise les catégories de cookies suivantes :
- Cookies essentiels : nécessaires au fonctionnement du site (session, authentification, préférences). Ils ne requièrent pas de consentement
- Cookies analytiques : mesure d'audience via Google Analytics (données anonymisées). Activés uniquement après votre consentement explicite
- Cookies d'amélioration UX : Hotjar (enregistrements de session pseudonymisés). Activés uniquement après votre consentement explicite
Vous pouvez à tout moment modifier vos préférences de cookies via le bandeau de gestion des cookies accessible en bas de page, ou directement depuis les paramètres de votre navigateur.
Conformément aux recommandations de la CNIL, la durée de vie des cookies est limitée à 13 mois maximum. Votre consentement est redemandé à l'issue de cette période.
Article 12 — Réclamation
Si vous estimez que le traitement de vos données personnelles constitue une violation du RGPD, vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente.
Autorité de contrôle
CNIL — Commission Nationale de l'Informatique et des Libertés
3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
Téléphone : 01 53 73 22 22
Site : www.cnil.fr
Nous vous encourageons toutefois à nous contacter au préalable à l'adresse [email protected] afin que nous puissions tenter de résoudre votre problème directement.