La présente Politique de confidentialité (ci-après la « Politique ») décrit la manière dont la société SCHOLA NOVA (SASU au capital de 1 000 €, RCS LA ROCHELLE, siège social 1 rue du Treuil des Filles, 17140 LAGORD) traite les données à caractère personnel collectées dans le cadre de l'utilisation du site et de la plateforme Tracfin Academy — espace indépendants. Elle est rédigée conformément au Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée.
1.Notre engagement de confidentialité
Tracfin Academy est conçue selon les principes de privacy by design et de defense in depth, avec une exigence forte de souveraineté des données. La Plateforme traite à la fois des données vous concernant (en tant qu'apprenant et utilisateur) et — lorsque vous utilisez les outils de conformité — des données particulièrement sensibles relatives à vos propres clients dans le cadre de vos obligations LCB-FT (pièces d'identité, justificatifs d'origine de fonds, analyses internes, éléments préparatoires à une déclaration de soupçon). Notre architecture est conçue pour vous permettre d'exercer vos obligations légales avec le plus haut niveau de sécurité disponible sur le marché.
2.Responsable de traitement et contact
Responsable de traitement : SCHOLA NOVA, SASU au capital de 1 000 €, RCS LA ROCHELLE [n° à compléter], siège social 1 rue du Treuil des Filles, 17140 LAGORD.
Contact général : contact@tracfinacademy.fr
Délégué à la Protection des Données (DPO) : dpo@tracfinacademy.fr
Pour toute demande relative à vos données personnelles, nous vous invitons à contacter en priorité notre DPO.
3.Notre rôle : responsable de traitement et sous-traitant
Selon la nature des données, SCHOLA NOVA agit :
- En qualité de responsable de traitement pour la gestion de votre compte, la fourniture de la formation, la délivrance de l'attestation, la facturation, la prospection commerciale et la sécurité de la Plateforme.
- En qualité de sous-traitant (article 28 du RGPD) pour votre compte lorsque vous utilisez la Plateforme pour traiter les données KYC de vos propres clients (vendeurs, acquéreurs, bailleurs, locataires), votre registre de vérification interne et vos analyses préparatoires à une éventuelle déclaration de soupçon. Vous êtes alors le responsable de traitement à l'égard de ces données.
Un accord de sous-traitance conforme à l'article 28 du RGPD est intégré aux CGU/CGV. Sur demande, un exemplaire signé peut être fourni.
4.Catégories de données traitées
Le tableau ci-dessous présente les données traitées, les finalités, les bases légales et les durées de conservation, conformément à l'article 30 du RGPD.
4.1 Données du Client (apprenant indépendant)
| Donnée | Finalité | Base légale | Conservation |
|---|---|---|---|
| Nom, prénom | Identification, attestation | Exécution du contrat (art. 6.1.b RGPD) | Durée du contrat + 5 ans |
| Email, téléphone | Communication, support, accès au compte | Exécution du contrat | Durée du contrat + 5 ans |
| Statut professionnel (agent commercial, négociateur, mandataire) | Adaptation du parcours pédagogique | Exécution du contrat | Durée du contrat + 5 ans |
| N° de carte professionnelle T/G de rattachement (le cas échéant) | Vérification d'éligibilité LCB-FT | Obligation légale | Durée du contrat + 5 ans |
| Progression et résultats de Formation | Suivi pédagogique, attestation | Exécution du contrat / Obligation légale (ALUR) | 5 ans après la fin de la Formation |
| Réponses aux quiz et examens | Évaluation, preuve de validation | Exécution du contrat | 5 ans (preuve) |
| Logs de connexion, adresse IP | Sécurité, prévention de la fraude | Intérêt légitime / Obligation légale | 13 mois (IP hachée après 30 j) |
4.2 Données de facturation
| Donnée | Finalité | Base légale | Conservation |
|---|---|---|---|
| Raison sociale / nom commercial, SIRET (si fournis) | Facturation | Obligation légale comptable | 10 ans |
| Adresse de facturation | Émission de la facture | Obligation légale | 10 ans |
| Données de paiement (carte traitée par Stripe) | Encaissement | Exécution du contrat | Non stockées par SCHOLA NOVA — gérées par Stripe |
4.3 Données KYC des clients de l'agent (SCHOLA NOVA = sous-traitant)
| Donnée | Finalité | Base légale | Conservation |
|---|---|---|---|
| Pièce d'identité du client (personne physique) | Vérification LCB-FT par l'agent | Obligation légale (L.561-5 CMF) | 5 ans après la fin de la relation d'affaires |
| Justificatif de domicile | Vérification LCB-FT | Obligation légale | 5 ans après la fin de la relation |
| Justificatif d'origine des fonds | Vérification LCB-FT | Obligation légale | 5 ans après la fin de la relation |
| Identité du bénéficiaire effectif | Identification BE (personnes morales) | Obligation légale | 5 ans après la fin de la relation |
| Statut de Personne Politiquement Exposée (PPE) | Évaluation de la vigilance | Obligation légale | 5 ans après la fin de la relation |
| Fiches de vigilance (analyse, scoring de risque) | Conformité LCB-FT, preuve de contrôle | Obligation légale | 5 ans après la fin de la relation |
4.4 Données ultra-confidentielles : éléments préparatoires à une déclaration de soupçon
| Donnée | Finalité | Base légale | Conservation |
|---|---|---|---|
| Brouillon / contenu d'une déclaration de soupçon préparée par l'agent | Aide à la rédaction de la DS | Obligation légale (L.561-15 CMF) | Conservation par l'agent — accès cloisonné, durée 5 ans minimum |
| Analyses internes ayant conduit à la rédaction | Sécurité juridique du déclarant | Obligation légale, secret renforcé | Idem ci-dessus |
Secret de la déclaration (article L.561-19 CMF). Interdiction absolue d'informer la personne concernée de l'existence ou du contenu de la DS (« tipping-off »). L'accès à ces données dans la Plateforme est strictement réservé à votre Compte, journalisé et chiffré. La Plateforme Tracfin Academy n'effectue aucune transmission au service Tracfin : la transmission via la plateforme ERMES demeure à votre charge exclusive.
4.5 Prospects et visiteurs
| Donnée | Finalité | Base légale | Conservation |
|---|---|---|---|
| Email, nom (formulaire de contact, newsletter) | Réponse, prospection B2B | Intérêt légitime / Consentement | 3 ans après dernier contact actif |
| Données de navigation (cookies) | Mesure d'audience, amélioration | Consentement (hors cookies techniques) | 13 mois maximum |
5.Finalités et fondements juridiques
- Fournir et exploiter la Plateforme (création de compte, authentification, accès aux modules, délivrance de l'attestation) — base : exécution du contrat (art. 6.1.b RGPD).
- Permettre au Client de respecter ses obligations LCB-FT (registre KYC, fiches de vigilance, cartographie, aide à la rédaction d'une déclaration de soupçon) — base : obligation légale du Client (articles L.561-2 et suivants du CMF) ; SCHOLA NOVA agit en sous-traitant.
- Émettre les factures et gérer la comptabilité — base : obligation légale comptable et fiscale (art. 6.1.c RGPD).
- Assurer la sécurité de la Plateforme (journalisation, anti-fraude) — base : intérêt légitime et obligation de sécurité (art. 32 RGPD).
- Mener des actions de prospection B2B — base : intérêt légitime, dans le respect de la recommandation CNIL B2B et avec droit d'opposition permanent.
- Adresser une newsletter — base : consentement préalable (art. L.34-5 CPCE).
- Améliorer la Plateforme et les contenus pédagogiques (analyse anonymisée des parcours) — base : intérêt légitime.
- Répondre aux demandes des autorités compétentes — base : obligation légale.
6.Destinataires et sous-traitants
Les données ne font l'objet d'aucune vente. Elles peuvent être communiquées aux destinataires suivants :
- Équipes internes habilitées de SCHOLA NOVA (support, facturation, sécurité), soumises à un engagement de confidentialité ;
- Sous-traitants techniques (liste ci-dessous) ;
- Autorités administratives et judiciaires sur demande légale ;
- Pour les éléments préparatoires à une déclaration de soupçon : l'accès est strictement réservé à votre Compte. Aucun salarié de SCHOLA NOVA n'a accès en clair à ces contenus en exploitation courante.
Sous-traitants ultimes (article 28 RGPD)
| Prestataire | Rôle | Localisation |
|---|---|---|
| Scaleway SAS | Hébergement, bases de données, sauvegardes | France (Paris, PAR) |
| Stripe Payments Europe Ltd. | Encaissement par carte bancaire, factures | Irlande / UE — flux ponctuels USA (CCT + DPF) |
| Cloudflare, Inc. | WAF, protection DDoS, CDN | UE en priorité — possibles flux USA (CCT + DPF) |
| Sentry (Functional Software, Inc.) | Monitoring d'erreurs applicatives | UE / option SaaS USA (CCT) |
| Brevo (Sendinblue SA) | Envoi d'emails transactionnels et newsletter | France |
| Anthropic Ireland Ltd. | Modèles d'IA utilisés par l'assistant pédagogique (sans entraînement sur vos données) | Irlande / UE — option zero-retention activée |
La liste à jour des sous-traitants peut être obtenue auprès de notre DPO.
7.Transferts hors Union européenne
Notre principe : aucun transfert hors UE par défaut. L'ensemble des données traitées est hébergé en France (Scaleway, datacenter de Paris — PAR) ou dans l'Union européenne.
Certains sous-traitants techniques marginaux (Stripe, Cloudflare) peuvent toutefois héberger des données de log et de transaction aux États-Unis. Dans ce cas, les transferts sont encadrés par les Clauses Contractuelles Types de la Commission européenne (décision 2021/914) et, le cas échéant, par le cadre EU-US Data Privacy Framework lorsque le destinataire y est certifié.
Aucune donnée KYC ni aucun élément préparatoire à une déclaration de soupçon n'est transféré hors de l'Union européenne, sans exception.
8.Durées de conservation
- Données de compte et de Formation : pendant la Période d'accès, puis archivage intermédiaire pendant 5 ans.
- Attestation de Formation et journal de validation : 5 ans après délivrance.
- Données KYC et fiches de vigilance (vos propres clients) : 5 ans à compter de la fin de la relation d'affaires de l'agent avec son propre client (article L.561-12 du CMF).
- Éléments préparatoires aux déclarations de soupçon : 5 ans minimum, conservation chiffrée et journalisée.
- Données comptables (factures) : 10 ans à compter de la clôture de l'exercice (art. L.123-22 du Code de commerce).
- Logs techniques et IP : 13 mois maximum ; IP hachée après 30 jours.
- Données de prospection : 3 ans à compter du dernier contact actif.
À l'issue de ces durées, les données sont supprimées ou anonymisées de manière irréversible.
9.Mesures de sécurité
- Chiffrement. TLS 1.3 pour toutes les communications, chiffrement applicatif AES-256-GCM des champs ultra-sensibles (KYC, DS) avec clés gérées par HSM/KMS, sauvegardes chiffrées indépendamment de la base primaire.
- Authentification. Mots de passe minimum 12 caractères, hachage Argon2id, vérification « Have I Been Pwned », authentification à deux facteurs (2FA) recommandée pour l'accès aux outils KYC et DS.
- Cloisonnement. Architecture multi-tenants avec Row-Level Security PostgreSQL — les données de vos clients sont cloisonnées dans votre Compte et inaccessibles à tout autre utilisateur de la Plateforme. Les éléments préparatoires aux déclarations de soupçon font l'objet d'un cloisonnement applicatif renforcé.
- Réseau. WAF Cloudflare, protection DDoS, rate limiting.
- Supervision. Journalisation de tous les accès aux données sensibles (KYC, DS), signature cryptographique des journaux, alerting sécurité 24/7.
- Veille. Surveillance des dépendances, patchs critiques sous 7 jours, tests d'intrusion annuels.
- Organisationnel. Engagements de confidentialité, habilitations par profil, formation annuelle des équipes au RGPD.
10.Notification des violations de données
Conformément aux articles 33 et 34 du RGPD, nous notifions la CNIL dans un délai maximum de 72 heures et informons sans retard injustifié les personnes concernées si le risque est élevé.
Tout incident de sécurité présumé peut être signalé à security@tracfinacademy.fr.
11.Vos droits
Vous disposez des droits suivants, dans les conditions fixées par le RGPD :
- Droit d'accès (art. 15), de rectification (art. 16), à l'effacement (art. 17, sous réserve des obligations légales de conservation), à la limitation (art. 18), à la portabilité (art. 20), d'opposition (art. 21).
- Droit de retirer votre consentement à tout moment, lorsque le traitement est fondé sur celui-ci.
- Directives post-mortem (art. 85 loi Informatique & Libertés).
- Droit d'introduire une réclamation auprès de la CNIL (3 place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07 – www.cnil.fr).
Toute demande peut être adressée à notre DPO à dpo@tracfinacademy.fr. Une vérification d'identité pourra vous être demandée. Nous répondons dans un délai d'un mois (prolongeable de deux mois pour les demandes complexes).
Limites légales propres aux traitements LCB-FT. Certains droits sont restreints par la loi pour les données collectées au titre des obligations LCB-FT. En particulier, l'article L.561-45 du CMF prévoit que le droit d'accès s'exerce auprès de la CNIL pour les traitements liés aux déclarations de soupçon. Le droit à l'effacement ne peut pas être invoqué pour s'opposer aux durées de conservation imposées par la loi (5 ans pour les KYC et les analyses préparatoires à une DS, 10 ans pour la comptabilité).
12.Cookies et traceurs
Le Site dépose des cookies pour assurer son bon fonctionnement (cookies strictement nécessaires), mesurer son audience et personnaliser certaines fonctionnalités. Lors de votre première visite, un bandeau vous permet d'accepter, de refuser ou de paramétrer vos préférences.
Vous pouvez modifier vos choix à tout moment via le bouton Gérer mes cookies du pied de page. Le détail de chaque cookie (finalité, durée, émetteur) est consultable directement depuis la fenêtre de gestion.
13.Décisions automatisées et profilage
La Plateforme ne prend aucune décision produisant des effets juridiques à l'égard d'une personne ou l'affectant de manière significative sur le seul fondement d'un traitement automatisé au sens de l'article 22 du RGPD.
L'assistant pédagogique IA fournit des réponses indicatives et n'effectue aucune évaluation automatisée des Apprenants pouvant aboutir à des décisions automatisées.
14.Modifications de la Politique
La présente Politique peut évoluer pour intégrer les évolutions réglementaires, les recommandations de la CNIL ou les évolutions de notre activité. La version applicable est celle accessible à l'adresse de la présente page. Toute modification substantielle est portée à la connaissance des utilisateurs concernés par email ou via la Plateforme au moins trente (30) jours avant son entrée en vigueur.
Date de la dernière mise à jour : 18 mai 2026.