CISSPro

Politique de confidentialité

Dernière mise à jour : 15 mai 2026 · Conforme au RGPD (Règlement (UE) 2016/679)

1. Responsable du traitement

Le responsable du traitement des données personnelles est CISSPro.

Contact : support@cisspro.com

2. Données collectées

2.1 Données fournies par l'utilisateur

  • Compte : adresse e-mail, nom complet, mot de passe (haché bcrypt côté Supabase)
  • Préférence linguistique : FR ou EN
  • MFA : secret TOTP (chiffré), codes de récupération hachés

2.2 Données générées par l'usage

  • Réponses aux questions, scores, temps passé par question
  • Statistiques par domaine CISSP
  • Historique des sessions d'examen
  • Journaux de sécurité (auth_events) : type d'événement, horodatage, adresse IP, user-agent

2.3 Cookies et stockage local

CISSPro utilise uniquement des cookies strictement nécessaires au fonctionnement du Service (session d'authentification Supabase). Aucun cookie publicitaire ni traceur tiers n'est déposé. Le localStorage du navigateur stocke notamment la préférence linguistique pour limiter les allers-retours serveur au chargement.

3. Bases légales et finalités

FinalitéBase légale
Fournir le Service (compte, examens, suivi)Exécution du contrat (art. 6.1.b RGPD)
Sécurité du compte (journaux d'authentification, MFA)Intérêt légitime (art. 6.1.f) et obligation légale (art. 32)
Améliorer le Service (statistiques agrégées anonymisées)Intérêt légitime (art. 6.1.f)
Facturation et lutte contre la fraude (plans Pro)Exécution du contrat / obligation légale

4. Durées de conservation

  • Compte actif : durée du contrat + 3 ans d'inactivité
  • Journaux d'authentification : 12 mois glissants
  • Données de facturation : 10 ans (obligation légale)
  • Données pédagogiques (réponses, scores) : 3 ans après suppression du compte (sous forme anonymisée à des fins statistiques)

5. Destinataires / sous-traitants

Les données sont accessibles uniquement par :

  • L'équipe technique CISSPro (accès strictement nécessaire, journalisé)
  • Supabase Inc. (hébergement base de données, authentification, stockage) — datacenter UE (Francfort). Voir supabase.com/privacy.
  • Stripe Payments Europe Ltd (paiements des abonnements Pro). Voir stripe.com/privacy.
  • HaveIBeenPwned (vérification anonyme de fuite de mot de passe via k-anonymity, optionnel).
  • Anthropic PBC (modèles d'IA utilisés en interne pour l'audit qualité des questions et la génération de recommandations d'étude personnalisées). Aucune donnée personnelle identifiante (email, nom) n'est transmise à Anthropic ; seules des statistiques agrégées de progression sont utilisées pour produire le diagnostic personnalisé. Voir anthropic.com/legal/privacy.

Aucune donnée n'est vendue, louée ou échangée à des tiers à des fins commerciales.

6. Transferts hors UE

Les données sont hébergées dans l'Union européenne. Si un sous-traitant nécessite un transfert hors UE (par ex. support technique Stripe US), celui-ci s'effectue dans le cadre de clauses contractuelles types approuvées par la Commission européenne.

7. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

  • Accès à vos données personnelles
  • Rectification en cas de données inexactes
  • Effacement (« droit à l'oubli »)
  • Portabilité (export JSON de vos données)
  • Opposition au traitement fondé sur l'intérêt légitime
  • Limitation du traitement
  • Définir des directives post-mortem

La majorité de ces droits sont accessibles depuis vos paramètres de compte (/settings). Pour les autres demandes : support@cisspro.com. Réponse sous 30 jours.

Vous avez également le droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr).

8. Sécurité

Mesures techniques et organisationnelles mises en œuvre :

  • Chiffrement en transit (TLS 1.3) et au repos (AES-256 côté Supabase)
  • Mots de passe hachés (bcrypt) — jamais stockés en clair
  • Double authentification (TOTP) obligatoire
  • Politique mot de passe : 10 caractères minimum, majuscule, minuscule, chiffre, spécial
  • Row Level Security (RLS) Postgres : un utilisateur ne peut accéder qu'à ses propres données
  • Journaux d'audit immuables (table auth_events)
  • Mises à jour de sécurité régulières des dépendances

9. Mineurs

Le Service est destiné aux professionnels de la sécurité informatique majeurs. La création d'un compte n'est pas autorisée aux personnes de moins de 16 ans.

10. Modifications de la politique

Toute modification substantielle vous sera notifiée par e-mail au moins 15 jours avant son entrée en vigueur.

11. Contact

Pour toute question relative à vos données : support@cisspro.com.