1. Introduction
La présente politique s'applique à l'ensemble des traitements de données à caractère personnel mis en œuvre par QR Communication dans le cadre de l'exploitation de la plateforme QualiForma (ci-après la « Plateforme »). Elle est rédigée en application du Règlement (UE) 2016/679 du 27 avril 2016 (le « RGPD ») et de la loi française n° 78-17 du 6 janvier 1978 modifiée.
Cette politique s'adresse à toute personne physique dont les données sont traitées par QualiForma : visiteurs, prospects, utilisateurs disposant d'un compte, apprenants, formateurs, administrateurs d'organismes de formation.
2. Responsable du traitement
Le responsable des traitements mis en œuvre dans le cadre de la Plateforme est :
- QR Communication, Société par Actions Simplifiée
- Siège social : 23 rue de Richelieu, 75001 Paris, France
- SIREN : 940 163 496
- Courriel : contact@qrcommunication.com
- Téléphone : +33 1 88 83 34 51
Lorsque QualiForma traite des données pour le compte d'un Organisme de formation Client (par exemple, données des Apprenants inscrits par cet Organisme), QR Communication agit en qualité de sous-traitant au sens de l'article 28 du RGPD. L'Organisme demeure responsable de traitement de ces données et formalise les modalités d'exécution dans un contrat de sous-traitance dédié.
3. Délégué à la protection des données
QR Communication a désigné un Délégué à la protection des données (DPO) auprès de la Commission nationale de l'informatique et des libertés (CNIL), conformément aux articles 37 à 39 du RGPD.
Pour toute question relative au traitement de vos données personnelles ou à l'exercice de vos droits, vous pouvez contacter le DPO à l'adresse suivante : contact@qrcommunication.com, ou par courrier postal à : QR Communication — Délégué à la protection des données, 23 rue de Richelieu, 75001 Paris, France.
4. Données collectées
QualiForma collecte uniquement les données nécessaires à la fourniture de ses services, en application du principe de minimisation prévu à l'article 5.1.c du RGPD. Selon votre profil et votre activité sur la Plateforme, les catégories suivantes peuvent être traitées :
| Catégorie | Données concernées |
|---|---|
| Compte et identification | Nom, prénom, adresse électronique, numéro de téléphone, mot de passe (haché Argon2id), rôle (apprenant, formateur, administrateur) |
| Profil | Photographie, biographie, préférences de notification, langue, fuseau horaire |
| Activité de formation | Inscriptions, progression, scores aux quiz, réponses aux questionnaires, signatures d'émargement, attestations |
| Sessions live | Enregistrements vidéo et audio (lorsque la session est enregistrée avec consentement explicite des participants), transcriptions automatiques associées |
| Paiement | Identifiant de transaction, montant, statut. Aucune donnée bancaire (numéro de carte, cryptogramme) n'est stockée par QualiForma — ces données sont collectées et conservées directement par Viva Wallet, prestataire certifié PCI-DSS. |
| Facturation | Raison sociale, adresse de facturation, numéro de TVA, SIRET, montants facturés, statut des règlements |
| Données techniques | Adresse IP, type et version du navigateur (User-Agent), pages consultées, horodatages, journaux d'authentification, cookies (cf. section 12) |
| Données fournies par l'Apprenant | Productions remises au Formateur, messages échangés via la messagerie interne lorsqu'elle est activée |
QualiForma ne collecte aucune catégorie particulière de données au sens de l'article 9 du RGPD (origine, opinions, santé, etc.) sauf si l'Apprenant les communique volontairement dans une production libre. Dans ce cas, l'Apprenant est invité à ne pas divulguer d'informations sensibles non requises pour la formation.
5. Finalités et bases légales
Chaque traitement repose sur l'une des bases légales prévues à l'article 6 du RGPD, comme indiqué dans le tableau ci-dessous.
| Finalité | Base légale (RGPD) |
|---|---|
| Création et gestion du Compte utilisateur | Exécution du contrat (art. 6.1.b) |
| Fourniture des Services et accès aux formations | Exécution du contrat (art. 6.1.b) |
| Émission et conservation des factures, tenue de la comptabilité | Obligation légale (art. 6.1.c) |
| Production des preuves Qualiopi (émargement, attestations, évaluations) | Obligation légale (art. 6.1.c) |
| Sécurité de la Plateforme et lutte contre la fraude | Intérêt légitime (art. 6.1.f) |
| Amélioration des Services, statistiques d'usage agrégées (anonymisées) | Intérêt légitime (art. 6.1.f) |
| Envoi de communications commerciales (newsletters, actualités produit) | Consentement préalable (art. 6.1.a) |
| Dépôt de cookies non essentiels (mesure d'audience) | Consentement préalable (art. 6.1.a) |
| Réponse aux demandes d'exercice de droits RGPD | Obligation légale (art. 6.1.c) |
Aucune décision produisant des effets juridiques à l'égard d'une personne ou l'affectant de manière significative n'est prise sur la seule base d'un traitement automatisé au sens de l'article 22 du RGPD.
6. Destinataires et sous-traitants
6.1 Destinataires internes
Les données sont accessibles, dans la limite des besoins de leurs missions, aux membres habilités des équipes techniques, support et administratives de QR Communication. Ces personnes sont soumises à une obligation de confidentialité.
6.2 Destinataires liés à votre Organisme
Pour les Apprenants inscrits via un Organisme de formation, les données relatives à la formation (progression, émargement, attestations) sont accessibles aux administrateurs et formateurs dûment habilités de cet Organisme.
6.3 Sous-traitants techniques
QualiForma fait appel aux sous-traitants suivants, chacun encadré par un contrat de sous-traitance conforme à l'article 28 du RGPD :
| Sous-traitant | Service | Localisation |
|---|---|---|
| Hetzner Online GmbH | Hébergement applicatif et base de données | Allemagne (UE) |
| IDrive Inc. (iDrive e2) | Stockage objet S3 (fichiers utilisateurs) | Paris, France (UE) |
| Viva Payment Services S.A. (Viva Wallet) | Traitement des paiements en ligne | Grèce (UE) |
| AssemblyAI Inc. | Transcription automatique des sessions vidéo | États-Unis |
| Mistral AI | Synthèse et analyse de contenu (IA générative) | France (UE) |
| Scell.io | Génération et transmission des factures électroniques (Factur-X), signature eIDAS | France (UE) |
6.4 Destinataires légaux
Sur réquisition motivée, certaines données peuvent être communiquées aux autorités administratives ou judiciaires habilitées (police, justice, administration fiscale, OPCO dans le cadre du financement des formations).
7. Transferts hors Union européenne
La majorité des traitements et hébergements est réalisée au sein de l'Union européenne. Un transfert hors UE est cependant nécessaire pour le service de transcription automatique fourni par AssemblyAI (États-Unis).
Ce transfert est encadré par les clauses contractuelles types de la Commission européenne (décision d'exécution (UE) 2021/914) et par des mesures supplémentaires techniques et organisationnelles destinées à garantir un niveau de protection essentiellement équivalent à celui de l'Union européenne.
Une copie des garanties applicables peut être demandée à : contact@qrcommunication.com.
8. Durées de conservation
Les durées de conservation appliquées sont les suivantes :
| Catégorie | Durée de conservation |
|---|---|
| Données du Compte actif | Pendant toute la durée du contrat |
| Données du Compte inactif | Suppression automatique après 3 ans d'inactivité (absence de connexion), précédée d'un courriel de rappel |
| Preuves Qualiopi (émargement, attestations, évaluations) | 4 ans à compter de la fin de la formation (durée requise pour les contrôles Qualiopi et OPCO) |
| Factures et pièces comptables | 10 ans à compter de la clôture de l'exercice comptable (article L. 123-22 du Code de commerce) |
| Enregistrements de sessions live | Selon le paramétrage de l'Organisme, plafonné à 12 mois sauf conservation prolongée justifiée pour preuve Qualiopi |
| Journaux techniques (logs applicatifs, accès) | 1 an glissant |
| Cookies et traceurs | 13 mois maximum (recommandation CNIL) |
| Données issues de prospects (formulaires de contact) | 3 ans à compter du dernier contact, sauf opposition expresse |
À l'expiration de ces durées, les données sont supprimées ou anonymisées de façon irréversible. Les sauvegardes peuvent conserver les données pour une durée additionnelle limitée nécessaire à leur cycle technique de rotation, sans accès en production.
9. Droits des personnes
Conformément aux articles 15 à 22 du RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès(art. 15) : obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie.
- Droit de rectification(art. 16) : faire corriger des données inexactes ou compléter des données incomplètes.
- Droit à l'effacement(art. 17) : obtenir l'effacement de vos données dans les cas prévus par la loi.
- Droit à la limitation du traitement(art. 18) : demander la suspension d'un traitement contesté.
- Droit à la portabilité(art. 20) : recevoir vos données dans un format structuré et lisible par machine, ou les faire transmettre à un autre responsable de traitement.
- Droit d'opposition(art. 21) : vous opposer au traitement, notamment lorsqu'il est fondé sur l'intérêt légitime ou à des fins de prospection.
- Droit de retirer votre consentement à tout moment, sans que ce retrait n'affecte la licéité des traitements antérieurs.
- Directives post-mortem(article 85 de la loi Informatique et Libertés) : vous pouvez définir des directives relatives à la conservation, à l'effacement ou à la communication de vos données après votre décès.
Pour exercer vos droits, adressez votre demande à : contact@qrcommunication.com, ou par courrier postal à QR Communication, 23 rue de Richelieu, 75001 Paris. En cas de doute raisonnable sur votre identité, une pièce d'identité pourra vous être demandée.
Une réponse vous sera adressée dans un délai d'un (1) mois à compter de la réception de la demande, prolongeable de deux mois en cas de complexité particulière.
10. Réclamation auprès de la CNIL
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL) :
- En ligne : https://www.cnil.fr
- Par courrier : CNIL — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
- Par téléphone : +33 1 53 73 22 22
11. Sécurité
QR Communication met en œuvre les mesures techniques et organisationnelles appropriées pour garantir la confidentialité, l'intégrité et la disponibilité des données traitées, notamment :
- chiffrement systématique des communications via TLS 1.2 minimum ;
- mots de passe stockés sous forme de condensats Argon2id, jamais en clair ;
- isolation logique stricte des données entre les Organismes (architecture multi-tenant) ;
- principe du moindre privilège pour les accès internes, authentification forte pour les comptes administrateurs ;
- sauvegardes chiffrées, journalisation des accès aux données sensibles, supervision continue ;
- tests de sécurité réguliers, mises à jour de sécurité appliquées sans délai sur les composants applicatifs et système.
En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, une notification est adressée à la CNIL dans les 72 heures conformément à l'article 33 du RGPD, ainsi qu'aux personnes concernées si le risque est élevé.
13. Modifications de la politique
La présente politique peut être mise à jour pour tenir compte d'évolutions réglementaires ou techniques. Toute modification substantielle fera l'objet d'une information préalable des utilisateurs par courriel ou par notification dans la Plateforme, au moins trente (30) jours avant son entrée en vigueur.
14. Contact
Pour toute question relative à la protection de vos données ou à l'exercice de vos droits, vous pouvez contacter :
- Par courriel : contact@qrcommunication.com
- Par courrier : QR Communication — Protection des données — 23 rue de Richelieu, 75001 Paris, France