Registre des Activites de Traitement
Registre des activites de traitement conformement a l'Art. 30 du Reglement (UE) 2016/679 (RGPD).
Responsable du traitement
IDCERT S.r.l. Societe Benefit
Conformement a l'Art. 37 RGPD, la designation d'un DPO n'est pas actuellement obligatoire. Cette section sera mise a jour si les circonstances changent.
Fonctionnement technique du portail
Finalite (Art. 30.1.b)
Fourniture du service web, routage, rendu des pages
Base juridique
Art. 6.1.f
Personnes concernees (Art. 30.1.c)
Visiteurs du site
Categories de donnees (Art. 30.1.c)
Donnees de navigation (IP anonymisee, user agent, URL)
Destinataires (Art. 30.1.d)
Vercel Inc. (hebergement), Supabase Inc. (base de donnees)
Transferts hors UE (Art. 30.1.e)
USA (Vercel) avec CCT; UE (Supabase eu-central-1)
Conservation (Art. 30.1.f)
Duree de la session
Mesures Art. 32 (Art. 30.1.g)
HTTPS/TLS, CSP, HSTS, X-Frame-Options DENY, IP anonymisee
Gestion des consentements cookies
Finalite (Art. 30.1.b)
Collecte et enregistrement des consentements pour la responsabilite RGPD
Base juridique
Art. 6.1.c
Personnes concernees (Art. 30.1.c)
Visiteurs du site
Categories de donnees (Art. 30.1.c)
ID de session anonyme, hash IP (SHA-256 + sel rotatif), preferences cookies, version politique, user agent
Destinataires (Art. 30.1.d)
Supabase Inc. (base de donnees, region UE)
Transferts hors UE (Art. 30.1.e)
UE (Supabase eu-central-1)
Conservation (Art. 30.1.f)
5 ans (obligations de responsabilité RGPD art. 5.2)
Mesures Art. 32 (Art. 30.1.g)
RLS Supabase, IP anonymisee SHA-256, protection CSRF, limitation de debit
Gestion des demandes de contact
Finalite (Art. 30.1.b)
Repondre aux demandes des utilisateurs envoyees via le formulaire de contact
Base juridique
Art. 6.1.b
Personnes concernees (Art. 30.1.c)
Utilisateurs qui remplissent le formulaire de contact
Categories de donnees (Art. 30.1.c)
Nom, email, objet, message, hash IP, langue
Destinataires (Art. 30.1.d)
Supabase Inc. (base de donnees, region UE)
Transferts hors UE (Art. 30.1.e)
UE (Supabase eu-central-1)
Conservation (Art. 30.1.f)
12 mois a compter de la demande
Mesures Art. 32 (Art. 30.1.g)
RLS Supabase, honeypot anti-bot, CSRF, limitation (3 req/10 min), IP anonymisee
Google Analytics (conditionne au consentement)
Finalite (Art. 30.1.b)
Analyse statistique anonyme du trafic pour ameliorer le service
Base juridique
Art. 6.1.a
Personnes concernees (Art. 30.1.c)
Visiteurs qui consentent aux cookies analytics
Categories de donnees (Art. 30.1.c)
Donnees de navigation agregees, IP anonymisee par Google, cookie _ga
Destinataires (Art. 30.1.d)
Google LLC
Transferts hors UE (Art. 30.1.e)
USA (Google) avec EU-US Data Privacy Framework
Conservation (Art. 30.1.f)
26 mois (parametre GA4)
Mesures Art. 32 (Art. 30.1.g)
Active UNIQUEMENT apres consentement explicite, anonymize_ip: true, cookies SameSite=Lax;Secure
Preferences d'interface utilisateur
Finalite (Art. 30.1.b)
Stockage des preferences de langue et de theme (clair/sombre)
Base juridique
Art. 6.1.f
Personnes concernees (Art. 30.1.c)
Tous les visiteurs
Categories de donnees (Art. 30.1.c)
Code langue (NEXT_LOCALE), theme (localStorage 'theme')
Destinataires (Art. 30.1.d)
Aucun (donnees locales uniquement)
Transferts hors UE (Art. 30.1.e)
Aucun
Conservation (Art. 30.1.f)
NEXT_LOCALE: 12 mois; theme: jusqu'a suppression manuelle
Mesures Art. 32 (Art. 30.1.g)
Donnees techniques non personnelles, aucun transfert
Authentification des utilisateurs
Finalite (Art. 30.1.b)
Inscription, connexion et gestion de session utilisateur via Supabase Auth
Base juridique
Art. 6.1.b
Personnes concernees (Art. 30.1.c)
Utilisateurs inscrits
Categories de donnees (Art. 30.1.c)
Email, mot de passe (hash), nom, URL avatar, role, locale prefere, date creation
Destinataires (Art. 30.1.d)
Supabase (sous-traitant, infrastructure UE/EEE)
Transferts hors UE (Art. 30.1.e)
Supabase: serveurs UE (aws-eu-central-1). Clauses contractuelles types (CCT) en place.
Conservation (Art. 30.1.f)
Jusqu'a suppression du compte (ON DELETE CASCADE sur toutes les donnees utilisateur)
Mesures Art. 32 (Art. 30.1.g)
Mot de passe hashe (bcrypt), cookies HttpOnly/Secure/SameSite=Lax, flux PKCE, RLS sur toutes les tables, rafraichissement de session via proxy
Gestion des donnees utilisateur (signets, historique de recherche, preferences)
Finalite (Art. 30.1.b)
Sauvegarde des favoris, historique de recherche et preferences personnalisees pour les utilisateurs authentifies
Base juridique
Art. 6.1.b
Personnes concernees (Art. 30.1.c)
Utilisateurs inscrits
Categories de donnees (Art. 30.1.c)
URIs des ressources sauvegardees, type (profession/competence/qualification), titre, horodatages de recherche, preferences theme/langue
Destinataires (Art. 30.1.d)
Supabase (sous-traitant, infrastructure UE/EEE)
Transferts hors UE (Art. 30.1.e)
Supabase: serveurs UE (aws-eu-central-1)
Conservation (Art. 30.1.f)
Jusqu'a suppression du compte (ON DELETE CASCADE). Signets et historique supprimables individuellement par l'utilisateur.
Mesures Art. 32 (Art. 30.1.g)
RLS: chaque utilisateur n'accede qu'a ses propres donnees. Admin: lecture seule. Prevention d'escalade de roles via RLS.
Surveillance des erreurs et stabilité (Sentry)
Finalite (Art. 30.1.b)
Détection et diagnostic des erreurs applicatives pour assurer la stabilité du service. Session Replay (enregistrement de sessions) activé uniquement après consentement analytics.
Base juridique
Art. 6.1.f / Art. 6.1.a
Personnes concernees (Art. 30.1.c)
Visiteurs du site et utilisateurs inscrits
Categories de donnees (Art. 30.1.c)
Stack traces d'erreurs, URL, user agent, navigateur. Avec consentement analytics : IP, cookies, en-têtes HTTP, enregistrement d'interactions (Session Replay)
Destinataires (Art. 30.1.d)
Functional Software Inc. (Sentry), San Francisco, CA, USA
Transferts hors UE (Art. 30.1.e)
USA (Sentry) avec Clauses Contractuelles Types (CCT)
Conservation (Art. 30.1.f)
90 jours (paramètre par défaut Sentry)
Mesures Art. 32 (Art. 30.1.g)
Mode basique sans PII (intérêt légitime). PII et Session Replay activés UNIQUEMENT après consentement analytics explicite. Route tunnel /monitoring pour contournement ad-blocker. Source maps masquées au client.
Protection anti-bot (Cloudflare Turnstile)
Finalite (Art. 30.1.b)
Vérification automatique anti-bot sur les formulaires de contact, inscription et connexion pour prévenir les abus et le spam
Base juridique
Art. 6.1.f
Personnes concernees (Art. 30.1.c)
Utilisateurs qui interagissent avec les formulaires protégés (contact, inscription, connexion, changement d'e-mail)
Categories de donnees (Art. 30.1.c)
Adresse IP, empreinte du navigateur, données d'interaction avec le widget, jeton de vérification
Destinataires (Art. 30.1.d)
Cloudflare Inc., San Francisco, CA, USA
Transferts hors UE (Art. 30.1.e)
USA (Cloudflare) avec Clauses Contractuelles Types (CCT)
Conservation (Art. 30.1.f)
Durée de la vérification (les données ne sont pas conservées après la validation du jeton)
Mesures Art. 32 (Art. 30.1.g)
Aucun cookie de traçage. Widget non intrusif (mode 'managed'). Aucun consentement requis — intérêt légitime pour la sécurité du service.
Dernière mise à jour : avril 2026