1. Politique de confidentialité complète

1.1. Responsable du traitement

Pragma Learning Institute, Institut de recherche cognitive indépendant (Toulouse, France), représenté par M. Timothée Trinché (contact : tim.trinche@well-learning.io), est le responsable de traitement des données personnelles collectées sur pragmalearninginstitute.com. Les traitements sont réalisés dans le strict cadre de l’activité de formation en ligne. Conformément à la loi Informatique et Libertés et au RGPD, le responsable s’engage à ne collecter que les données indispensables au service, à les traiter loyalement et à en garantir la sécurité.

1.2. Finalités et données collectées

Le site ne collecte AUCUNE donnée à des fins publicitaires, marketing ou d’amélioration de l’expérience utilisateur. Seules les données strictement nécessaires à la fourniture du service d’apprentissage sont collectées. Les finalités du traitement sont :

• Création et gestion du compte utilisateur (authentification, identification) : pour permettre à l’utilisateur de se connecter et d’accéder à son espace personnel.

• Suivi de la progression pédagogique : enregistrement de l’avancement de l’apprenant (cours suivis, scores, certificats) afin de personnaliser l’apprentissage et produire des statistiques internes.

Les catégories de données traitées pour ces finalités sont, selon les besoins : nom, prénom, adresse email, identifiants de connexion (pseudonyme/mot de passe sous forme hachée), ainsi que les données pédagogiques (cours suivis, réponses enregistrées, scores). Aucune donnée sensible (origine, santé, opinions, etc.) n’est collectée. Par ailleurs, nous ne collectons ni données de navigation destinées à l’analyse statistique, ni données issues de réseaux sociaux.

Pour chaque finalité, la base légale est précisée. Dans tous les cas, le traitement est nécessaire à la fourniture du service demandé par l’utilisateur. En pratique, la base légale retenue est l’exécution d’un contrat (art.6.1.b RGPD) : en créant un compte et en utilisant la plateforme, l’utilisateur s’engage dans une relation contractuelle dont le suivi de ses données (progression, profil) est la contrepartie. Le responsable pourra également se prévaloir, le cas échéant, de l’intérêt légitime (art.6.1.f) pour la sécurité du site ou la lutte contre la fraude, car les droits et libertés des utilisateurs ne sont pas affectés (aucune décision automatisée à risques). En revanche, aucun traitement nécessitant le consentement préalable (p. ex. données médicales, ciblage publicitaire) n’étant prévu, il n’y a pas lieu de recueillir de consentement spécifique. Les conditions de validité du consentement (libre, explicite, rétractable) sont rappelées dans le RGPD, mais elles ne sont pas appliquées ici, car ces traitements ne reposent pas sur le consentement.

1.3. Durées de conservation

Les données sont conservées pour la durée strictement nécessaire à la finalité annoncée. Conformément aux recommandations de la CNIL, nous déterminons la durée de conservation en fonction de l’objectif pédagogique. Par exemple, les données de compte et de progression seront conservées au maximum le temps de la relation avec le site (durée de la formation ou de l’accès) et quelques mois après, pour permettre un suivi ultérieur raisonnable. Concrètement, nous prévoyons une suppression ou une anonymisation au plus tard X mois après la dernière connexion de l’utilisateur (ce X devant être précisé en fonction de la durée typique des formations). Ces durées sont mentionnées dans le registre de traitement et revues régulièrement. La CNIL rappelle que « les données personnelles ne peuvent pas être conservées indéfiniment : une durée de conservation doit être déterminée en fonction de l’objectif ayant conduit à la collecte ».

1.4. Sécurité des données

Pragma Learning Institute met en œuvre des mesures de sécurité techniques et organisationnelles pour garantir la confidentialité et l’intégrité des données. Les données sont hébergées sur les serveurs de Wix Studio, qui offrent des garanties industrielles : chiffrement des données au repos et en transit, serveurs sécurisés, sauvegardes régulières, contrôle d’accès strict, etc. De plus, Wix assure un accès sécurisé en HTTPS et protège la transmission des données sensibles (mots de passe, paiements éventuels) par SSL/TLS conforme aux normes du secteur. Les mots de passe des utilisateurs ne sont jamais stockés en clair : Wix utilise un hachage irréversible pour leur stockage. Les données des apprenants sont donc isolées et protégées par des mécanismes de sécurité conformes à l’article 32 du RGPD. Les accès internes aux données sont limités et soumis à l’obligation de confidentialité. En cas de incident affectant la confidentialité des données, les procédures de notification et de remédiation prévus par la loi seront appliqués.

1.5. Transferts hors Union européenne

Wix, en tant que sous-traitant d’hébergement, est basé en Israël (pays déclaré « adéquat » par l’UE) et utilise des centres de données aux États-Unis et en Irlande. Tout transfert de données personnelles vers un pays tiers hors UE s’effectue dans le respect du RGPD : les Clauses Contractuelles Types (CCT) de la Commission européenne sont systématiquement appliquées et Wix s’engage contractuellement à assurer un niveau de protection équivalent, complété par des mesures techniques et organisationnelles supplémentaires. Par ailleurs, Wix propose à ses clients une DPA (Data Processing Agreement) conforme au RGPD pour formaliser ces obligations.

Le responsable de traitement (Pragma) contrôle les sous-traitants : la liste des prestataires (sous-traitants) est tenue à jour. Actuellement, les principaux sous-traitants sont Wix (hébergement et plateforme) et, le cas échéant, des services d’emailing ou CRM si utilisés. Tout sous-traitant ultérieur doit respecter les mêmes engagements (voir clause type ci-après).

1.6. Cookies et traceurs

Le site utilise uniquement des cookies strictement nécessaires à son fonctionnement. Selon la CNIL, les cookies d’authentification ou de session destinés à maintenir la connexion de l’utilisateur sont exemptés du consentement préalable. Par exemple, la plateforme Wix installe des cookies tels que XSRF-TOKEN, wixSession, svSession, etc. pour des fonctions de sécurité et de session. Aucun cookie publicitaire, de ciblage ou d’analyse (Google Analytics, Facebook, etc.) n’est déposé sur ce site : ceux-ci nécessitent normalement le consentement préalable de l’utilisateur, mais ne sont pas employés ici. Les seuls cookies déposés sont ceux identifiés comme essentiels par Wix (voir tableau dans la documentation Wix) et servent à la sécurité du site. Néanmoins, une bannière de cookies peut être affichée pour informer l’utilisateur et lui permettre de gérer ses préférences, même si seuls des cookies techniques sont utilisés.

1.7. Destinataires des données

Les données personnelles des utilisateurs sont exclusivement destinées au responsable de traitement (Pragma Learning Institute) et à ses services habilités (support pédagogique). Lorsqu’elles sont transmises à des sous-traitants (notamment Wix), c’est uniquement pour l’exécution des finalités décrites ci-dessus. Les employés de Pragma concernés et les équipes de support technique sous NDA (accord de confidentialité) peuvent y avoir accès pour les besoins du service. Aucun transfert commercial ou cession de données à des fins externes (publicitaires, recherche marketing, revendeurs) n’est effectué.

1.8. Registre des traitements

Conformément à l’article 30 du RGPD, Pragma Learning Institute tient un registre des activités de traitement. Ce registre contient pour chaque traitement déclaré les informations suivantes : identité du responsable, finalités, catégories de données et de personnes concernées, destinataires (y compris transferts hors UE), durées de conservation et mesures de sécurité associées. Cette exigence ne s’applique pas aux très petites structures lorsqu’un traitement est occasionnel et sans risque élevé, mais notre institut maintient néanmoins ce registre par souci de transparence et de bonne gestion.

1.9. Droit d’introduire une réclamation

En cas de non-respect des obligations RGPD, les utilisateurs peuvent adresser une réclamation à la CNIL (Commission Nationale de l’Informatique et des Libertés) via le site https://www.cnil.fr/plaintes. Ce recours est garanti par la loi et le RGPD.

1.10. Droits des personnes concernées

Conformément aux articles 12 à 23 du RGPD, tout utilisateur bénéficie des droits suivants sur ses données :

• Droit d’accès (art.15) : obtenir communication des données le concernant.

• Droit de rectification (art.16) : corriger ou mettre à jour ses données inexactes ou incomplètes.

• Droit à l’effacement (art.17) : demander la suppression de ses données, sous réserve des obligations légales (ex. archives comptables).

• Droit à la limitation (art.18) : obtenir le blocage temporaire du traitement dans certains cas.

• Droit d’opposition (art.21) : s’opposer à un traitement fondé sur l’intérêt légitime, pour un motif légitime. (Les utilisateurs peuvent par exemple refuser l’utilisation de leurs coordonnées à des fins de prospection commerciale au moment de la création du compte.)

• Droit à la portabilité (art.20) : recevoir les données fournies dans un format structuré, ou les transmettre à un autre responsable.

• Droit de retirer son consentement (art.13-2.c), le cas échéant : bien que nous n’utilisions pas de consentements explicites pour les finalités principales, si un consentement avait été recueilli pour d’autres opérations, il peut être retiré à tout moment sans motif.

Le responsable du traitement devra fournir une réponse à toute demande d’exercice de ces droits « sans retard et au plus tard dans un délai d’un mois ». Ce délai peut être prolongé de deux mois supplémentaires en cas de demandes complexes, avec information préalable de l’utilisateur. Les demandes doivent être adressées par écrit (email postal ou électronique) au contact du responsable (voir ci-dessous), accompagnées de tout élément permettant d’authentifier le demandeur (voir modèle ci-après). Les utilisateurs sont informés qu’ils peuvent exercer leurs droits gratuitement et sans formalité excessive.

1.11. Procédure de demande (contact et délais)

Pour exercer ses droits, l’utilisateur doit adresser une demande claire et motivée à Pragma Learning Institute (par exemple par email à tim.trinche@well-learning.io). La demande précise le droit sollicité (accès, rectification, suppression, etc.), identifie clairement les données concernées, et est accompagnée d’une copie d’une pièce d’identité pour authentification. Par exemple, le modèle de formulaire ci-après détaille les informations à fournir. Dès réception, Pragma accusera réception de la demande et y répondra dans le mois. En cas de refus ou d’absence de réponse, l’utilisateur peut saisir la CNIL (dépôt de plainte).

1.12. Analyse d’impact (DPIA)

La CNIL exige une Analyse d’Impact sur la Protection des Données (DPIA) uniquement pour les traitements susceptibles d’engendrer un risque élevé pour les droits et libertés. Dans notre cas, les données traitées sont très limitées (aucune donnée sensible ni catégorielle, pas de prise de décision automatisée autre que la gestion normale du compte), et l’ampleur du traitement est modeste. Nous estimons donc que ce traitement n’implique pas de risque aggravé nécessitant une DPIA. Néanmoins, nous restons vigilants à toute évolution du traitement qui pourrait changer cette évaluation.

1.13. Mentions légales

Cette politique de confidentialité est affichée sur le site pragmalearninginstitute.com et doit être lisible par tout utilisateur. Elle intègre les mentions obligatoires (identité du responsable, délégué à la protection des données si applicable, finalités, destinataires, durée, droits des personnes, recours, etc.) conformément à l’article 13 du RGPD. En l’absence de collecte de données commerciales, aucune information relative au marketing ou au profilage n’est fournie. Le responsable s’engage à mettre à jour cette politique en cas de modification des traitements.