1. Identité du responsable de traitement
Jean-Luke-Junior Delhaise
Entrepreneur individuel (EI)
SIRET : 802 926 022 00038
36 Rue Notre-Dame, 08600 Givet, France
Email : contact@altrisconseil.fr
- Responsable de traitement pour les données collectées sur kursio.fr.
- Sous-traitant au sens de l'article 28 RGPD pour les données saisies par les associations clientes.
2. Rôles RGPD
Kursio opère selon deux rôles distincts au sens du RGPD :
- Responsable de traitement : pour les données collectées à l'occasion de la création de compte (email, nom, informations de facturation), de la navigation sur kursio.fr (analytics, cookies) et des communications avec les clients.
- Sous-traitant : pour toutes les données saisies par les associations clientes dans la plateforme (données des élèves, des membres, des groupes, des cours, des messages, etc.). Dans ce cadre, l'association est responsable de traitement et Kursio agit selon ses instructions. Les conditions de ce traitement sont formalisées dans l'Accord de traitement de données (DPA).
3. Données collectées et finalités
3.1 Données collectées lors de l'inscription
| Donnée | Finalité | Base légale |
|---|---|---|
| Email (administrateur) | Création de compte, communications transactionnelles | Exécution du contrat |
| Nom complet (administrateur) | Identification, facturation | Exécution du contrat |
| Nom de l'association | Identification du tenant | Exécution du contrat |
| Données de paiement (Stripe) | Traitement de l'abonnement | Exécution du contrat |
3.2 Données saisies par les associations dans la plateforme
En qualité de sous-traitant, Kursio traite pour le compte des associations les catégories de données suivantes :
- Données des membres (administrateurs, professeurs, parents) : email, nom complet, rôle, avatar.
- Données des élèves : nom complet, date de naissance, photo (optionnel), besoins spécifiques (champ libre pouvant contenir des données de santé), statut adulte/mineur.
- Données pédagogiques : présences, compétences, bulletins, cahier de textes, portfolio, objectifs.
- Communications : messages privés et de groupe, pièces jointes.
- Données financières : suivi des cotisations (libellé, montant, statut, dates). Aucun numéro de carte ou RIB n'est stocké.
- Consentements : type, date, adresse IP, horodatage.
3.3 Données de navigation (site marketing kursio.fr)
Sous réserve du consentement de l'utilisateur, les outils suivants collectent des données de navigation :
| Outil | Données collectées | Finalité | Transfert hors UE |
|---|---|---|---|
| Google Analytics 4 | IP, user agent, pages visitées, événements | Mesure d'audience | Google LLC, USA (SCC) |
| Google Ads (gtag) | IP, conversions, clics publicitaires | Mesure de conversion publicitaire | Google LLC, USA (SCC) |
| Meta Pixel | IP, user agent, événements de conversion | Retargeting publicitaire | Meta Platforms Inc., USA (SCC) |
Aucun de ces outils n'est chargé sans consentement préalable et explicite de l'utilisateur.
3.4 Données sensibles
Le champ « besoins spécifiques » des profils élèves est un champ libre. Il peut contenir des données de santé au sens de l'article 9 RGPD (allergies, handicaps, traitements médicaux). Ces données sont saisies et contrôlées exclusivement par l'association cliente, responsable de traitement. Kursio ne les consulte jamais en dehors des opérations de sous-traitance strictement nécessaires.
3.5 Données relatives aux mineurs
La grande majorité des élèves gérés dans Kursio sont des mineurs. Leurs données sont saisies par les associations clientes (administrateurs, professeurs), qui en sont responsables de traitement. Kursio, en qualité de sous-traitant, ne sollicite pas directement de données auprès des mineurs et ne dispose d'aucun accès à ces données en dehors des opérations de sous-traitance autorisées et tracées.
4. Durées de conservation
| Catégorie de données | Durée de conservation |
|---|---|
| Données de compte client (admin) | Durée de l'abonnement + 3 ans (obligations légales) |
| Données saisies par l'association | Durée de l'abonnement, puis suppression définitive sous 7 jours |
| Journal d'audit | 3 ans minimum, sous forme anonymisée après résiliation |
| Données analytics (Google Analytics) | 13 mois (paramétrage GA4) |
| Données de navigation (cookies tiers) | 90 jours (Meta Pixel, Google Ads) à 13 mois (GA4) |
| Emails transactionnels (logs Resend) | 90 jours |
5. Transferts de données hors Union européenne
Certains sous-traitants de Kursio sont établis hors de l'Union européenne. Tous les transferts sont encadrés par des Clauses Contractuelles Types (SCC) adoptées par la Commission européenne, conformément à l'article 46 RGPD.
| Sous-traitant | Service | Localisation | Garantie |
|---|---|---|---|
| Supabase Inc. | Base de données + stockage | Frankfurt EU (Allemagne) | Serveurs UE — DPA signé |
| Vercel Inc. | Hébergement web + CDN | USA + edge UE | SCC + DPA signé |
| Stripe Inc. | Paiement | USA + Stripe Payments Europe (Irlande) | SCC + DPA signé |
| Resend Inc. | Emails transactionnels | USA | SCC + DPA signé |
| Google LLC | Analytics + Ads | USA | SCC + DPA Google signé |
| Meta Platforms Inc. | Pixel publicitaire | USA | SCC (Conditions Meta Business Tools) |
| Apple (APNS) | Notifications push iOS | USA / EU | Conditions Apple Developer |
| Google (FCM) | Notifications push Android | USA / global | SCC (Conditions Firebase) |
| Google Fonts | Polices web (site marketing) | USA | IP transmise, mentionnée à titre d'information |
| OVH SAS | Gestion DNS | France (UE) | Traitement en UE |
6. Accès aux données par l'opérateur Kursio
6.1 Principe de minimisation
L'équipe Kursio n'accède aux données des associations qu'en cas de nécessité opérationnelle stricte (support, résolution d'incident, maintenance). Tout accès est conditionné à la saisie d'un motif obligatoire et est tracé dans le journal d'audit.
6.2 Périmètre d'accès autorisé
L'opérateur Kursio ne peut accéder, dans le cadre du support, qu'aux données suivantes :
- Liste des membres (sans données de santé ni date de naissance des mineurs),
- Structure des groupes et planning des sessions,
- Statistiques de présence agrégées,
- Statut des cotisations (sans détail des moyens de paiement).
6.3 Données inaccessibles à l'opérateur
L'opérateur ne peut en aucun cas accéder aux données suivantes :
- Messages privés et pièces jointes de la messagerie,
- Documents uploadés par l'association,
- Bulletins de compétences, cahiers de textes, portfolios,
- Données de santé des élèves (champ besoins spécifiques),
- Dates de naissance des élèves mineurs.
7. Procédure de suppression des données (droit à l'effacement)
Conformément à l'article 17 RGPD, tout administrateur d'association peut demander la suppression complète de ses données en adressant une demande à contact@altrisconseil.fr. La procédure est la suivante :
- L'accès au compte est immédiatement suspendu.
- Un email est adressé à tous les administrateurs de l'association, indiquant la date de suppression définitive (7 jours plus tard) et un lien permettant d'annuler la procédure.
- Pendant ce délai de 7 jours, la suppression peut être annulée par tout administrateur ou par l'opérateur.
- À l'expiration du délai, toutes les données sont supprimées définitivement par cascade : membres, élèves, groupes, cours, messages, documents, cotisations, fichiers Storage.
- Un email de confirmation de suppression est adressé aux ex-administrateurs.
- Les entrées du journal d'audit sont conservées 3 ans sous forme anonymisée (le nom de l'association est remplacé par un identifiant neutre).
8. Droits des personnes concernées
Conformément au RGPD, toute personne dont les données sont traitées dispose des droits suivants :
- Droit d'accès (article 15) : obtenir une copie des données vous concernant.
- Droit de rectification (article 16) : corriger des données inexactes ou incomplètes.
- Droit à l'effacement (article 17) : demander la suppression de vos données.
- Droit à la limitation du traitement (article 18) : restreindre l'utilisation de vos données.
- Droit à la portabilité (article 20) : recevoir vos données dans un format structuré et lisible.
- Droit d'opposition (article 21) : vous opposer à certains traitements.
Pour exercer ces droits, adressez votre demande à : contact@altrisconseil.fr
En cas de réponse insatisfaisante, vous disposez du droit d'introduire une réclamation auprès de la CNIL (Commission nationale de l'informatique et des libertés) : www.cnil.fr
9. Sécurité
Kursio met en œuvre les mesures techniques et organisationnelles suivantes pour protéger les données :
- Chiffrement des communications (HTTPS/TLS sur toutes les URL),
- Authentification par JWT + refresh token stockés en cookies httpOnly et Secure,
- Contrôle d'accès par Row Level Security (RLS) sur toutes les tables de la base de données,
- Accès aux fichiers sensibles exclusivement par URL signées à durée limitée,
- Journal d'audit horodaté et non modifiable,
- Sauvegardes automatiques quotidiennes sur 7 jours glissants (plan Supabase Pro),
- Séparation stricte des données entre associations (isolation multi-tenant),
- Journalisation de tout accès opérateur aux données du Client (motif obligatoire, horodatage, traçabilité),
- Procédure de notification de violation de données dans les 72 heures conformément à l'article 33 RGPD.
10. Cookies
Pour une information complète sur les cookies utilisés par Kursio, consultez le lien « Gérer mes cookies » en bas de chaque page du site kursio.fr. Vous pouvez à tout moment modifier votre consentement.
11. Modifications de la présente politique
La présente Politique de confidentialité peut être mise à jour à tout moment. En cas de modification substantielle, les utilisateurs en seront informés par email ou par notification dans l'application. La date de dernière mise à jour figure en haut de ce document.
12. Contact DPO / Référent protection des données
Kursio ne dispose pas d'un délégué à la protection des données (DPO) au sens de l'article 37 RGPD, la désignation n'étant pas obligatoire pour un éditeur de la taille de Kursio.
Pour toute question relative à la protection de vos données : contact@altrisconseil.fr