Cyvera← Retour au site

Politique de confidentialité

Dernière mise à jour : avril 2026

La présente politique de confidentialité décrit la manière dont Cyvera collecte, utilise et protège les données personnelles des utilisateurs de sa plateforme de sensibilisation à la cybersécurité, conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés.

1. Identité du responsable de traitement

Le responsable du traitement des données est :
[RAISON SOCIALE]
Siège social : [SIÈGE]
E-mail du Délégué à la Protection des Données (DPO) : [EMAIL DPO]

2. Données personnelles collectées

2.1 Données d'identité

  • Nom et prénom
  • Adresse e-mail professionnelle
  • Rôle au sein de la plateforme (collaborateur, manager, administrateur)
  • Rattachement à une équipe ou une organisation

2.2 Données de connexion

  • Adresse IP
  • Type et version du navigateur
  • Système d'exploitation
  • Date et heure de connexion
  • Pages consultées et durée de navigation

2.3 Données de formation (module Cours)

  • Progression dans les parcours de formation
  • Scores obtenus aux quiz et évaluations
  • Réponses aux exercices
  • Attestations de formation générées
  • Temps passé sur chaque module

2.4 Données de sensibilisation (module Sensibilisation)

  • Réponses aux simulations de phishing
  • Comportement face aux e-mails simulés (ouverture, clic, signalement)
  • Résultats des missions interactives
  • Indicateurs de vigilance

3. Finalités du traitement

Les données personnelles sont collectées et traitées pour les finalités suivantes :

  • Gestion des comptes utilisateurs : création, authentification, gestion des rôles et des accès
  • Formation à la cybersécurité : délivrance des cours, suivi de la progression, adaptation du parcours pédagogique
  • Évaluation des compétences : mesure des connaissances acquises via les quiz et les simulations
  • Génération d'attestations : production de certificats de formation au format PDF
  • Statistiques manager et administrateur : tableaux de bord de suivi de l'équipe et de l'organisation
  • E-mails transactionnels : notifications de compte, réinitialisation de mot de passe, rappels de formation
  • Amélioration du service : analyse anonymisée de l'utilisation pour améliorer la plateforme

4. Bases légales du traitement

Chaque traitement repose sur une base légale conforme à l'article 6 du RGPD :

  • Exécution du contrat (art. 6.1.b) : le traitement est nécessaire à l'exécution du contrat B2B entre Cyvera et l'organisation cliente, notamment pour la gestion des comptes, la délivrance des formations et la génération d'attestations
  • Intérêt légitime (art. 6.1.f) : la sécurité de la plateforme, la prévention des fraudes, la production de statistiques agrégées et l'amélioration du service
  • Consentement (art. 6.1.a) : le dépôt de cookies non essentiels (analytiques, préférences) est soumis au consentement préalable de l'utilisateur

5. Destinataires des données

Les données personnelles sont accessibles aux catégories de destinataires suivantes :

  • Managers : accès aux données de formation et de sensibilisation des membres de leur équipe uniquement (scores, progression, résultats des simulations)
  • Administrateurs : accès aux données globales de l'organisation (statistiques agrégées, gestion des utilisateurs, rapports)
  • Hébergeur : notre prestataire d'hébergement a accès aux données dans le cadre strict de l'hébergement de la plateforme, encadré par un accord de traitement des données (DPA)

Cyvera ne vend, ne loue et ne partage aucune donnée personnelle avec des tiers à des fins commerciales ou publicitaires.

6. Durée de conservation

  • Données de compte et de formation : conservées pendant toute la durée du contrat entre Cyvera et l'organisation cliente, puis supprimées dans un délai de 3 ans après la fin du contrat
  • Logs de connexion : conservés pendant 12 mois conformément aux obligations légales
  • Attestations de formation : conservées pendant la durée du contrat + 3 ans
  • Données anonymisées : les données statistiques anonymisées peuvent être conservées sans limitation de durée

7. Droits des personnes concernées

Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :

  • Droit d'accès (art. 15) : obtenir la confirmation que vos données sont traitées et en recevoir une copie
  • Droit de rectification (art. 16) : corriger des données inexactes ou compléter des données incomplètes
  • Droit à l'effacement (art. 17) : demander la suppression de vos données, sous réserve des obligations légales de conservation
  • Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine
  • Droit d'opposition (art. 21) : vous opposer au traitement de vos données fondé sur l'intérêt légitime
  • Droit à la limitation (art. 18) : demander la suspension du traitement dans certains cas prévus par le RGPD

Pour exercer vos droits, contactez notre DPO à l'adresse : [EMAIL DPO]. Nous nous engageons à répondre dans un délai d'un mois.

Vous disposez également du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr.

8. Cookies

La plateforme Cyvera utilise des cookies strictement nécessaires au fonctionnement du service (authentification, préférences de session). Des cookies analytiques peuvent être déposés sous réserve de votre consentement préalable.

Pour en savoir plus, consultez notre politique de cookies.

9. Sécurité des données

Cyvera met en oeuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données personnelles :

  • Hachage des mots de passe : algorithme Argon2id, considéré comme l'état de l'art en matière de hachage de mots de passe
  • Authentification sécurisée : tokens JWT signés (HS256), transmis via cookies HttpOnly, Secure et SameSite
  • Chiffrement en transit : toutes les communications sont chiffrées via HTTPS (TLS 1.2+)
  • Chiffrement au repos : les données sont chiffrées au niveau de l'hébergement
  • Contrôle d'accès : système de rôles (RBAC) appliqué côté serveur, isolation stricte des données par organisation et par équipe
  • Protection contre les injections : requêtes paramétrées via l'ORM Prisma
  • Journalisation : aucun secret, mot de passe ou token n'est enregistré dans les logs

10. Transferts de données hors Union européenne

Les données personnelles sont hébergées exclusivement en France ou au sein de l'Union européenne. Cyvera ne transfère aucune donnée personnelle en dehors de l'Espace économique européen (EEE).

En cas d'évolution de cette politique, tout transfert hors UE serait encadré par les garanties appropriées prévues par le RGPD (clauses contractuelles types, décision d'adéquation).

11. Modification de la politique

Cyvera se réserve le droit de modifier la présente politique de confidentialité à tout moment. En cas de modification substantielle, les utilisateurs seront informés par e-mail ou via une notification sur la plateforme. La date de dernière mise à jour est indiquée en haut de ce document.

12. Contact

Pour toute question relative à la protection de vos données personnelles, vous pouvez contacter notre Délégué à la Protection des Données :
E-mail : [EMAIL DPO]
Adresse postale : [RAISON SOCIALE] — [SIÈGE]