Politique de confidentialité - EasyVAE
v2026-05-26 · Mise à jour le 26 mai 2026
Version du 26 mai 2026
La présente politique explique comment EasyVAE collecte, utilise et protège vos données personnelles lorsque vous utilisez la plateforme EasyVAE. Elle est établie en conformité avec le Règlement (UE) 2016/679 (RGPD) et la loi Informatique et Libertés modifiée.
1. Responsable du traitement et rôles
EasyVAE intervient sous deux qualités, selon les données concernées :
- Responsable de traitement pour les données des comptes accompagnateurs (AAP), la facturation et la prospection.
- Sous-traitant (art. 28 RGPD) pour les données des candidats VAE et les données d'accompagnement déposées via la plateforme : le responsable de traitement est alors l'accompagnateur (AAP) qui suit le candidat, EasyVAE agissant pour son compte et sur ses instructions, dans le cadre d'un contrat de sous-traitance (DPA). Pour ces données, le candidat adresse ses demandes à son accompagnateur.
Identité de l'éditeur :
- Éditeur : Sandrine Wiskok, entrepreneur individuel (micro-entreprise), exerçant sous le nom commercial - EasyVAE
- SIRET : 494 637 085 00023
- Adresse : 56 impasse Clos Victorine, 26600 Tain-l'Hermitage, France
- Contact : contact@easyvae.com
- Délégué à la protection des données (DPO) : Non nommé (art. 37 RGPD non applicable en l'état). Sandrine Wiskok est votre interlocutrice pour toute question relative aux données personnelles.
2. Données collectées
| Catégorie de données | Exemples | Source | Caractère obligatoire |
|---|---|---|---|
| Identité | Nom, prénom, civilité | Formulaire d'inscription | Oui |
| Coordonnées | Adresse postale, email, téléphone | Formulaire / profil | Oui |
| Données contractuelles | Formule souscrite, n° commande, statut de l'accompagnement | Usage interne - EasyVAE | Oui |
| Données de connexion | Logs d'authentification, adresse IP, type d'appareil | Collecte automatique | Non |
| Données d'accompagnement VAE | Livret 2, pièces justificatives, comptes-rendus d'entretien, émargements, annotations | Dépôts candidat et accompagnateur | Oui (nécessaires au service) |
| Données de paiement | Identifiant client Stripe, type et 4 derniers chiffres de la carte (aucune donnée de carte complète conservée par EasyVAE) | Stripe | Oui |
3. Finalités et bases légales
| Finalité | Base légale (art. 6 RGPD) |
|---|---|
| Gestion des comptes et accès à la plateforme | Exécution contractuelle (art. 6-1-b) |
| Accompagnement VAE et traçabilité Qualiopi | Exécution contractuelle (art. 6-1-b) + obligation légale (art. 6-1-c) |
| Facturation, paiements, comptabilité | Obligation légale (art. 6-1-c) |
| Support client et amélioration du service | Intérêt légitime (art. 6-1-f) |
| Prospection commerciale (newsletter) | Consentement (art. 6-1-a) |
Mise en balance pour l'intérêt légitime : EasyVAE a évalué que ses intérêts (amélioration continue, support proactif) n'emportent pas de risques excessifs pour les droits et libertés des personnes. Les utilisateurs peuvent s'y opposer à tout moment (art. 21 RGPD).
4. Destinataires et sous-traitants
| Sous-traitant | Rôle | Localisation des données | Garanties |
|---|---|---|---|
| Supabase Inc. (Supabase Cloud) | Base de données candidats, authentification, stockage des fichiers (livret 2, pièces justificatives, signatures, émargements) | 🇮🇪 Irlande (région AWS eu-west-1 / Ireland West) - Union européenne | Données hébergées exclusivement dans l'UE ; chiffrement au repos et en transit ; RLS (Row Level Security) activé |
| Hostinger International Ltd | Hébergement du VPS exécutant n8n (automatisations) et Coolify (plateforme de déploiement) | 🇫🇷 France - Datacentre de Paris | Données hébergées exclusivement dans l'UE ; accès administrateur restreint et traçé |
| Stripe Payments Europe Ltd | Encaissement des paiements par carte et gestion des abonnements récurrents | 🇮🇪 Irlande (UE, entité contractante) ; traitements par Stripe, LLC aux 🇺🇸 États-Unis | Data Privacy Framework UE-US (art. 45 RGPD) et clauses contractuelles types (art. 46 RGPD) ; certification PCI-DSS ; aucune donnée de carte complète conservée côté EasyVAE |
| Infomaniak Network SA | Sauvegardes chiffrées externalisées de secours, documents administratifs internes EasyVAE | 🇨🇭 Suisse - Datacentres suisses (Genève / Wallisellen) | Pays bénéficiant d'une décision d'adéquation de la Commission européenne (2000/518/EC) ; certifications ISO 27001 / 27018 / 50001 ; chiffrement bout-en-bout des exports |
EasyVAE ne vend ni ne loue aucune donnée à des tiers.
5. Transferts hors UE
Les données candidat et accompagnement ne font l'objet d'aucun transfert hors de l'Union européenne : elles sont hébergées exclusivement chez Supabase (Irlande).
Les seuls flux transfrontaliers concernent :
- Stripe pour le traitement des paiements : l'entité contractante Stripe Payments Europe Ltd est établie en Irlande (UE), mais certains traitements sont réalisés par Stripe, LLC aux États-Unis, encadrés par le Data Privacy Framework UE-US (décision d'adéquation du 10 juillet 2023, art. 45 RGPD) et, à titre complémentaire, par les clauses contractuelles types (art. 46 RGPD). Seules les données de facturation du Client (accompagnateur) sont concernées, à l'exclusion des données des candidats ;
- Infomaniak Network SA (Suisse) pour les sauvegardes externalisées - pays bénéficiant d'une décision d'adéquation de la Commission européenne du 26 juillet 2000 (art. 45 RGPD).
Aucun transfert n'est réalisé vers un pays tiers non couvert par une garantie appropriée au sens des articles 45 et 46 du RGPD.
6. Durées de conservation
| Données | Durée |
|---|---|
| Compte utilisateur actif | Durée du contrat + 5 ans |
| Dossiers VAE (livret 2, preuves Qualiopi, émargements, comptes-rendus) | 5 ans après la fin de l'accompagnement, puis suppression automatique (traçabilité Qualiopi et contrôle des financeurs) |
| Factures et pièces comptables | 10 ans (obligation légale - art. L123-22 Code de commerce) |
| Logs de connexion et d'accès | 12 mois |
| Prospection e-mail | Jusqu'au retrait du consentement ou 3 ans sans interaction |
7. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez à tout moment des droits d'accès, de rectification, d'effacement, de limitation, d'opposition et de portabilité de vos données.
Pour exercer ces droits, adressez votre demande à : contact@easyvae.com ou par courrier à l'adresse postale du responsable. Vous recevrez une réponse sous 30 jours.
Si vous estimez que vos droits ne sont pas respectés, vous pouvez saisir la CNIL (www.cnil.fr).
8. Sécurité
- Connexion HTTPS et chiffrement TLS 1.2+ sur l'ensemble des échanges
- Authentification double facteur (2FA) pour l'équipe EasyVAE
- Chiffrement au repos des données en base Supabase (AES-256)
- Politique de contrôle d'accès par Row Level Security (RLS) Supabase
- Sauvegardes automatiques quotidiennes (Supabase) + snapshots hebdomadaires chiffrés externalisés
- Accès administrateur au VPS Hostinger restreint, journalisé et authentifié par clé SSH
- Revue périodique des accès et des sous-traitants (tous les 3 mois)
- Engagement de confidentialité signé par toute personne accédant aux données
9. Cookies et traceurs
EasyVAE n'utilise à ce jour que des cookies strictement nécessaires au fonctionnement technique de la plateforme (session, authentification), exempts de consentement au sens de l'article 82 de la loi Informatique et Libertés. Aucun cookie de mesure d'audience n'est déposé.
10. Mise à jour de la politique
La présente politique peut être modifiée pour refléter les évolutions légales, techniques ou fonctionnelles de la plateforme. Toute modification substantielle sera notifiée aux utilisateurs par email et/ou via la plateforme au moins 30 jours avant son entrée en vigueur.
Cycle de révision interne : cette politique est revue tous les 3 mois par EasyVAE.