Transaction Services Training

Politique de confidentialité

Dernière mise à jour: 2026-05-21

Cette politique décrit les données personnelles que collecte Transaction Services Training (« nous »), la manière dont elles sont utilisées, conservées, et tes droits à leur égard. Elle s'applique au site transactionservicestraining.com et à la plateforme de formation associée.

1. Responsable de traitement

Transaction Services Training — contact : contact@transactionservicestraining.com. Les questions liées à la vie privée, demandes RGPD ou signalements peuvent être envoyées à cette adresse.

2. Données que nous collectons

2.1 À l'inscription d'un compte

  • Nom + adresse email (saisis ou récupérés via Google Sign-In)
  • Mot de passe (hashé bcrypt cost=12 — nous ne stockons jamais le mot de passe en clair)
  • Locale détectée au signup (FR/EN/DE/ES/IT/PT)
  • Source d'acquisition (UTM source/medium/campaign, referrer externe, page d'atterrissage) — capturée via sessionStorage pour mesurer nos canaux marketing

2.2 Pendant l'utilisation de la plateforme

  • Progression pédagogique : leçons complétées, quiz tentés, devoirs soumis, score
  • Gamification : XP, streak, badges débloqués
  • Activité publique communauté : posts, réponses, likes (uniquement si tu interagis)
  • Dernière connexion (timestamp, pour l'indicateur « en ligne »)
  • Photo de profil (uniquement si tu en uploades une)
  • URL LinkedIn (uniquement si tu la renseignes volontairement)

2.3 À l'achat

  • Données de paiement : gérées exclusivement par Stripe. Nous ne voyons jamais ton numéro de carte. Nous recevons uniquement : statut de la transaction, montant, devise, ID Stripe, date.
  • Facture : URL hébergée chez Stripe, conservée pour obligation comptable (10 ans, Code de commerce art. L123-22).

3. Utilisation des données utilisateur Google (Google API Services)

Cette section décrit en détail comment l'application utilise les données Google, conformément à la Google API Services User Data Policy et aux Google APIs Terms of Service.

3.1 Google Sign-In (utilisateur final)

Quand tu choisis de te connecter via Google plutôt qu'avec un email + mot de passe, l'application demande l'accès aux scopes suivants :

  • openid
  • https://www.googleapis.com/auth/userinfo.email
  • https://www.googleapis.com/auth/userinfo.profile

Données accédées :ton adresse email, ton nom d'affichage, ta photo de profil (URL publique Google).

Utilisation :créer ton compte sur la plateforme, t'authentifier lors des connexions ultérieures, t'envoyer les emails transactionnels (confirmation d'inscription, notifications de devoir corrigé, etc.) et — si tu n'as pas utilisé le bouton de désinscription — la séquence email d'onboarding.

Stockage :ton email, ton nom et l'URL de ta photo Google sont stockés dans notre base de données PostgreSQL hébergée chez Neon (région UE), chiffrée au repos. Nous ne conservons pas de jeton OAuth Google pour les utilisateurs finaux au-delà du temps strictement nécessaire à l'authentification (NextAuth.js JWT, session 30 jours).

Partage avec des tiers :ces données ne sont pas partagées avec d'autres services tiers, à l'exception de notre fournisseur d'envoi d'emails (Resend) qui reçoit ton email pour pouvoir te livrer les emails transactionnels.

3.2 Accès administratif aux APIs Google Ads, Search Console et Analytics (GA4)

L'application accède également aux APIs Google Ads, Search Console et GA4, uniquement avec le compte Google personnel du fondateur de Transaction Services Training(pas avec les comptes des utilisateurs finaux). Scopes :

  • https://www.googleapis.com/auth/adwords — Google Ads API
  • https://www.googleapis.com/auth/webmasters.readonly — Search Console (lecture seule)
  • https://www.googleapis.com/auth/analytics.readonly — GA4 Data API (lecture seule)

Données accédées : performance publicitaire (dépense, impressions, clics, conversions, mots-clés) de notre propre compte Google Ads ; statistiques Search Console (queries, positions, CTR) du domaine que nous possédons ; sessions et événements GA4 de notre propre propriété.

Utilisation :générer des rapports analytiques hebdomadaires internes pour piloter les décisions marketing et produit. Ces données sont visibles uniquement par l'équipe admin via la console /admin/reports.

Stockage : le refresh token OAuth est stocké chiffré au repos dans Vercel Environment Variables. Les snapshots de données pulled sont stockés en base PostgreSQL (Neon, UE), accessibles uniquement aux comptes administrateur.

Partage avec des tiers :aucune de ces données n'est partagée avec un tiers.

Conformité Limited Use :conformément à la clause de Limited Use, Transaction Services Training s'engage à ne pas utiliser les données obtenues via ces APIs pour de l'entraînement de modèles d'IA / ML, à ne pas les revendre, et à ne pas y donner accès à des tiers sauf si requis par la loi.

4. Sous-traitants et services tiers

Nous utilisons les services suivants pour faire fonctionner la plateforme. Chacun a accès à un sous-ensemble strictement nécessaire de tes données :

  • Stripe (Irlande, transferts USA via SCC) — traitement des paiements
  • Neon (UE) — base de données PostgreSQL
  • Vercel(USA, sous SCC) — hébergement de l'application
  • Resend(USA, sous SCC) — envoi d'emails transactionnels et marketing
  • Crisp (France) — chat client (uniquement si tu acceptes les cookies)
  • Microsoft Clarity (USA, sous SCC) — heatmaps anonymisées (uniquement si tu acceptes les cookies)
  • Google Analytics 4(USA, sous SCC) — analyse d'audience (uniquement si tu acceptes les cookies)
  • Google Ads (USA, sous SCC) — suivi de conversion publicitaire (uniquement si tu acceptes les cookies)

5. Base légale (RGPD)

  • Contrat (art. 6.1.b) : création de compte, accès à la formation, paiement, support
  • Intérêt légitime (art. 6.1.f) : sécurité, prévention de la fraude, analyses internes
  • Consentement (art. 6.1.a) : cookies analytics, séquences email marketing (option de désinscription disponible)
  • Obligation légale (art. 6.1.c) : conservation de la facturation

6. Durée de conservation

  • Compte actif : tant que tu utilises la plateforme
  • Compte inactif 24 mois : suppression automatique (sauf historique Stripe — obligation comptable 10 ans)
  • Demande de suppression (RGPD Art. 17) : exécutée sous 30 jours via le bouton « Supprimer mon compte » dans /profile ou par email
  • Données de paiement : 10 ans (Code de commerce français)
  • Logs analytics : 14 mois maximum (recommandation CNIL)

7. Tes droits (RGPD Art. 15-22)

Tu peux à tout moment exercer les droits suivants en nous écrivant à contact@transactionservicestraining.com ou via les contrôles intégrés dans /profile :

  • Droit d'accès (Art. 15)
  • Droit de rectification (Art. 16)
  • Droit à l'effacement / « droit à l'oubli » (Art. 17)
  • Droit à la limitation du traitement (Art. 18)
  • Droit à la portabilité (Art. 20)
  • Droit d'opposition (Art. 21)
  • Droit de désinscription email (en un clic via le lien dans chaque email marketing)
  • Droit d'introduire une réclamation auprès de la CNIL (cnil.fr)

8. Cookies

Voir notre politique cookies dédiée. En résumé : aucun cookie analytics n'est posé sans ton consentement explicite (banner CNIL-compliant). Les cookies techniques (session, CSRF) sont strictement nécessaires et ne requièrent pas de consentement.

9. Sécurité

  • Chiffrement TLS 1.3 pour toutes les communications
  • Mots de passe stockés en bcrypt (cost=12)
  • HSTS, CSP, X-Frame-Options en place (headers de sécurité OWASP)
  • Bases de données chiffrées au repos (Neon, Vercel)
  • Rate-limiting sur les routes sensibles (sign-in, sign-up, password reset)

10. Modifications de cette politique

En cas de changement significatif, nous t'informerons par email au moins 30 jours avant la prise d'effet. La date de dernière mise à jour figure en haut de cette page.

11. Contact

Pour toute question, demande RGPD ou signalement : contact@transactionservicestraining.com.