Se connecter Commencer
Lexa IA Gamification Fonctionnalités Recrutement Tarifs Contact
Se connecter Commencer
Confidentialité et RGPD

Politique de confidentialité

Dernière mise à jour : 27 avril 2026

Chez Learnexa, nous prenons très au sérieux la protection de vos données personnelles. Cette politique explique quelles données nous collectons, pourquoi, avec qui elles sont partagées, et comment vous pouvez exercer vos droits, conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés.

1. Responsable de traitement

Le responsable du traitement des données collectées via la plateforme Learnexa est :

  • Société : Learnexa SAS (capital 1 000 euros)
  • RCS : 951542489 à Béziers
  • Siège social : GIGAMED, Parc d'activité Héliopole, Mail de la Méditerranée, 34550 Bessan, France
  • Contact RGPD : [email protected]

Pour toute question relative à la protection de vos données, vous pouvez nous écrire à [email protected].

2. Rôle de Learnexa : sous-traitant pour les apprenants

Learnexa intervient à deux titres :

  • Responsable de traitement pour les données de ses propres clients (souscripteurs, administrateurs, contacts commerciaux) ainsi que les visiteurs du site.
  • Sous-traitant au sens de l'article 28 du RGPD pour les données des apprenants saisies par nos clients dans la plateforme. Le client est alors responsable de traitement de ces données.

Notre Accord de Traitement des Données (DPA) conforme à l'article 28 du RGPD est consultable en ligne. Une version signée nominative est disponible sur simple demande pour nos clients professionnels.

3. Données collectées

Nous collectons uniquement les données nécessaires au fonctionnement du service :

  • Données d'identification : nom, prénom, email professionnel, numéro de téléphone, intitulé de poste, entreprise.
  • Données de connexion : identifiants, mot de passe (haché), historique de connexion.
  • Données de facturation : coordonnées de facturation, identifiant client Stripe, historique des paiements (les numéros de carte ne sont jamais stockés sur nos serveurs, ils sont gérés directement par Stripe).
  • Données pédagogiques : formations créées, modules, chapitres, médias uploadés, résultats d'évaluation, progression, certificats.
  • Données d'utilisation : pages consultées, actions, durée de session, type de navigateur, adresse IP.
  • Données techniques : adresse IP, identifiant de session, journaux d'activité (audit logs).

4. Finalités et bases légales

Chaque traitement repose sur une base légale conforme au RGPD :

  • Exécution du contrat (article 6.1.b RGPD) : création de compte, fourniture du service, facturation, support.
  • Intérêt légitime (article 6.1.f RGPD) : sécurité de la plateforme, prévention de la fraude, mesure d'audience anonymisée, amélioration du service.
  • Consentement (article 6.1.a RGPD) : envoi de newsletters et communications marketing, dépôt de cookies non essentiels.
  • Obligation légale (article 6.1.c RGPD) : conservation comptable, réponse aux demandes des autorités.

5. Sous-traitants et destinataires

Pour fournir nos services, nous faisons appel à des sous-traitants soigneusement sélectionnés. Tous sont engagés contractuellement à respecter le RGPD :

  • Hetzner Online GmbH (Allemagne, UE) — hébergement, stockage, sauvegardes
  • Cloudflare, Inc. (USA, garanties via clauses contractuelles types) — CDN, protection DDoS, certificats SSL, stockage objet (Cloudflare R2 pour les sauvegardes et médias volumineux, hébergé en région EU)
  • Stripe Payments Europe Ltd. (Irlande, UE) — paiements et facturation
  • Anthropic, PBC (USA) — modèles d'IA Lexa (Claude)
  • OpenAI, LLC (USA) — génération d'images IA (DALL·E)
  • Resend Inc. (USA) — envoi d'emails transactionnels
  • HeyGen, Inc. (USA) — génération d'avatars vidéo IA (utilisé sur opt-in)
  • Microsoft Corporation (USA) — analytics produit (Clarity)

Nous ne vendons jamais vos données à des tiers et ne les utilisons pas pour entraîner nos propres modèles ni ceux de nos sous-traitants.

6. Transferts hors Union européenne

Certains de nos sous-traitants (Anthropic, OpenAI, Cloudflare, HeyGen, Microsoft, Resend) sont établis aux États-Unis. Ces transferts sont encadrés par les Clauses Contractuelles Types de la Commission européenne (décision 2021/914) et, le cas échéant, par les certifications EU-US Data Privacy Framework des fournisseurs concernés.

Lorsque nous transmettons un brief pédagogique à Anthropic ou OpenAI pour la génération de contenu, ce contenu n'est jamais utilisé pour entraîner leurs modèles (en application de leurs conditions API entreprise).

7. Durées de conservation

Nous conservons vos données pendant les durées suivantes :

  • Compte actif : tant que le compte est actif, plus 3 ans après la dernière activité (prospection commerciale).
  • Données de facturation : 10 ans (obligation comptable).
  • Données pédagogiques (formations, résultats, certificats) : conformément aux exigences de votre organisme (souvent 5 ans, conformité Qualiopi pour les organismes certifiés).
  • Logs de connexion et audit : 12 mois.
  • Candidatures (page Carrières) : 2 ans à compter du dernier échange.
  • Prospection (formulaires de contact) : 3 ans à compter du dernier contact.
  • Cookies de mesure d'audience : 13 mois maximum.

8. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles pour protéger vos données :

  • Chiffrement TLS 1.3 de bout en bout (HTTPS partout).
  • Mots de passe hachés (bcrypt, jamais stockés en clair).
  • Sauvegardes quotidiennes chiffrées, conservées en Europe.
  • Hébergement en datacenters certifiés ISO 27001 (Hetzner, Allemagne).
  • Journal d'activité (audit log) sur les actions sensibles.
  • Cloisonnement multi-tenant strict entre les espaces clients.
  • Mises à jour de sécurité appliquées en continu.

9. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

  • Droit d'accès : obtenir une copie des données que nous détenons sur vous.
  • Droit de rectification : corriger des données inexactes ou incomplètes.
  • Droit à l'effacement : demander la suppression de vos données dans les cas prévus par la loi.
  • Droit à la limitation : demander la suspension temporaire du traitement.
  • Droit à la portabilité : recevoir vos données dans un format structuré et lisible par machine.
  • Droit d'opposition : vous opposer au traitement fondé sur l'intérêt légitime ou à la prospection commerciale.
  • Droit de retirer votre consentement à tout moment lorsque le traitement est fondé sur celui-ci.
  • Droit de définir des directives relatives au sort de vos données après votre décès.

Pour exercer ces droits, écrivez à [email protected] avec un justificatif d'identité. Nous répondrons sous un délai d'un mois maximum.

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : cnil.fr/fr/plaintes.

10. Cookies

Nous utilisons des cookies pour assurer le fonctionnement du site (cookies essentiels) et mesurer l'audience de manière anonymisée (cookies de mesure). Aucun cookie publicitaire n'est déposé.

  • Cookies essentiels : session, authentification, préférences. Pas de consentement requis.
  • Cookies de mesure d'audience (Microsoft Clarity) : compréhension anonymisée de l'usage. Consentement requis, modifiable à tout moment via la bannière de cookies.

Vous pouvez à tout moment modifier vos préférences via le bandeau cookies en bas de page, ou directement dans les paramètres de votre navigateur.

11. Modifications de la politique

Cette politique peut être amenée à évoluer pour s'adapter aux évolutions légales ou aux nouveaux services. La date de dernière mise à jour figure en haut de cette page. Toute modification substantielle vous sera notifiée par email ou via la plateforme.

12. Contact

Pour toute question relative à vos données ou à cette politique :

  • Email : [email protected]
  • Courrier : Learnexa SAS, GIGAMED, Zone d'activité de la Capucière, 34550 Bessan, France
  • Réclamation autorité : CNIL — cnil.fr