Confidentialité et traitement de vos informations

Vos premiers contacts avec notre plateforme

Dès que vous accédez à lexarionva.com, certaines données techniques apparaissent dans nos systèmes. Votre navigateur transmet automatiquement son identification, l'adresse IP attribuée par votre fournisseur d'accès, ainsi que l'heure précise de votre visite. Ces éléments surgissent sans action volontaire de votre part — c'est le fonctionnement standard du web.

Lorsque vous créez un compte, la nature des informations change radicalement. Vous choisissez alors de nous fournir votre nom complet, une adresse électronique fonctionnelle, et parfois un numéro de téléphone si vous souhaitez recevoir des notifications urgentes. Pour les programmes nécessitant une validation préalable, nous demandons des précisions sur votre parcours académique ou professionnel actuel.

Informations recueillies lors de votre inscription à un programme

Quand vous vous inscrivez à l'un de nos parcours de formation, le volume d'informations augmente naturellement. Nous enregistrons vos choix pédagogiques, vos préférences d'horaires, et dans certains cas, des documents justificatifs que vous téléchargez volontairement. Pour les formations en journalisme d'investigation, par exemple, nous demandons souvent un échantillon de votre travail écrit — ce qui permet à nos formateurs d'adapter leur accompagnement.

• Identifiants personnels nécessaires à la délivrance de certificats officiels
• Historique des modules que vous avez complétés ou abandonnés
• Résultats aux évaluations intermédiaires et finales
• Échanges avec les formateurs via la messagerie interne
• Documents que vous soumettez dans le cadre d'exercices pratiques

Ce que nous faisons de ces informations au quotidien

Commençons par l'évidence : sans vos coordonnées, nous ne pourrions pas vous envoyer les liens d'accès aux cours, vous prévenir des sessions en direct, ou vous transmettre votre certificat une fois la formation terminée. C'est la fonction première et la plus simple du traitement que nous effectuons.

Mais les choses deviennent plus intéressantes quand on examine comment nous utilisons vos données d'apprentissage. Chaque fois que vous complétez un exercice, réussissez un quiz, ou passez du temps sur un module particulier, ces actions génèrent des traces numériques. Nous analysons ces comportements pour identifier les points où les apprenants rencontrent des difficultés — pas pour vous surveiller individuellement, mais pour améliorer la conception pédagogique de nos contenus.

Communications que nous vous adressons

Vous recevrez toujours les messages essentiels liés à votre formation : confirmations d'inscription, rappels de sessions programmées, résultats d'évaluations. Ces communications sont indispensables au bon fonctionnement du service et ne peuvent pas être désactivées sans compromettre votre accès au programme.

En revanche, nous envoyons aussi des suggestions de formations complémentaires, des invitations à des conférences en ligne avec des professionnels du journalisme, ou des actualités sur l'évolution de notre catalogue. Ces messages-là relèvent du marketing — vous pouvez vous en désinscrire instantanément via le lien présent dans chaque email. Une fois que vous avez cliqué, notre système vous retire automatiquement de ces listes dans un délai de 72 heures maximum.

Amélioration continue de nos services

Nous passons énormément de temps à analyser comment les gens naviguent sur notre plateforme. Pas dans un esprit de surveillance, mais pour comprendre où l'expérience devient frustrante. Si nous constatons que de nombreux utilisateurs cliquent plusieurs fois sur un bouton qui ne répond pas assez vite, nous savons qu'il faut optimiser cette partie du code. Si un formulaire d'inscription provoque beaucoup d'abandons, nous testons des versions simplifiées.

• Identification des parcours de navigation les plus fréquents
• Détection des pages où le temps de chargement pose problème
• Compréhension des termes de recherche utilisés dans notre catalogue
• Évaluation de l'efficacité de nos contenus pédagogiques selon les profils d'apprenants

Transferts d'informations vers l'extérieur

Nous ne sommes pas une organisation totalement autonome — personne ne l'est vraiment sur le web. Notre infrastructure repose sur des prestataires techniques qui hébergent nos serveurs, gèrent notre messagerie électronique, ou assurent la diffusion de nos vidéos de formation. Ces partenaires accèdent nécessairement à certaines de vos données pour accomplir leur mission.

Prenez l'hébergement de nos serveurs, par exemple. Nos machines virtuelles tournent dans un datacenter situé en région parisienne, exploité par un prestataire français spécialisé. Ce prestataire peut techniquement consulter les fichiers stockés sur ses machines, mais il est contractuellement tenu à une confidentialité stricte. Nous avons vérifié ses certifications de sécurité avant de signer, et nous effectuons des audits réguliers de ses pratiques.

Prestataires de services essentiels

• Infrastructure technique : Les entreprises qui maintiennent nos serveurs et nos bases de données accèdent à l'ensemble de vos informations stockées sur notre plateforme. Elles agissent sous instructions strictes et ne peuvent pas utiliser ces données pour leurs propres fins.
• Distribution vidéo : Nos cours vidéo sont hébergés sur une plateforme spécialisée qui optimise leur lecture selon votre connexion internet. Ce prestataire enregistre votre adresse IP et vos habitudes de visionnage pour améliorer la qualité du streaming.
• Traitement des paiements : Quand vous réglez une formation par carte bancaire, vos coordonnées bancaires transitent directement vers notre processeur de paiement certifié PCI-DSS. Nous ne stockons jamais ces informations sensibles sur nos propres systèmes.
• Communications électroniques : Notre service de messagerie transite par une solution externe qui gère l'envoi de milliers d'emails quotidiens. Ce prestataire connaît donc votre adresse email et peut voir quels messages vous ouvrez.

Situations exceptionnelles de divulgation

Dans certaines circonstances très précises, nous pourrions être contraints de révéler vos informations sans votre accord préalable. Ces situations restent rares, mais elles existent.

Si une autorité judiciaire française nous adresse une demande officielle dans le cadre d'une enquête pénale, nous devons nous y conformer. Avant de transmettre quoi que ce soit, nous examinons scrupuleusement la validité juridique de la requête. Si nous estimons qu'elle dépasse le cadre légal, nous la contestons. Mais quand la demande est légitime et correctement formulée, nous n'avons pas d'autre choix que de coopérer.

Si lexarionva devait être rachetée par une autre entité, vos données feraient partie des actifs transférés au nouvel acquéreur. Dans ce scénario, nous vous préviendrons au moins 30 jours à l'avance pour vous laisser le temps de supprimer votre compte si vous ne souhaitez pas que vos informations passent sous un autre contrôle.

Fondements juridiques de nos traitements

Le droit européen impose que chaque traitement de données personnelles repose sur une base légale explicite. Nous ne pouvons pas simplement décider de collecter des informations parce que ça nous arrange — il faut une justification reconnue par le RGPD.

Pour la majorité de nos activités, nous nous appuyons sur l'exécution d'un contrat : quand vous vous inscrivez à une formation, vous concluez un accord avec nous. Cet accord nous oblige à vous fournir l'accès aux cours, à évaluer vos travaux, à vous délivrer un certificat. Nous ne pourrions pas honorer ces engagements sans traiter vos informations personnelles. C'est la base contractuelle.

Certaines opérations reposent plutôt sur notre intérêt légitime en tant qu'organisation. Par exemple, quand nous analysons les parcours de navigation pour améliorer l'ergonomie de notre site, nous ne vous demandons pas d'autorisation spécifique. Ce traitement bénéficie à l'ensemble des utilisateurs en rendant la plateforme plus efficace, et il n'empiète pas de manière déraisonnable sur votre vie privée.

Quand nous sollicitons votre consentement explicite

Dans quelques situations précises, nous vous demandons une autorisation claire avant de traiter vos données. C'est le cas pour l'envoi de notre newsletter mensuelle, qui contient des actualités et des suggestions de formations. Vous cochez une case lors de votre inscription, et vous pouvez retirer ce consentement à tout moment en cliquant sur le lien de désinscription présent dans chaque message.

Si nous souhaitions utiliser vos témoignages ou vos travaux à des fins promotionnelles — par exemple publier sur notre site un article que vous avez rédigé pendant la formation — nous vous demanderions une autorisation écrite spécifique. Sans votre accord explicite, rien de ce que vous produisez dans le cadre de votre apprentissage ne sera rendu public.

Protection et sécurisation de vos informations

Nous appliquons des mesures de sécurité standards pour l'industrie, mais soyons honnêtes : aucun système informatique n'est invulnérable. Notre philosophie consiste à multiplier les couches de protection plutôt qu'à nous reposer sur une solution miracle.

Toutes les communications entre votre navigateur et nos serveurs transitent via des connexions chiffrées TLS 1.3. Cela signifie que même si quelqu'un interceptait vos données en transit, il ne pourrait pas les déchiffrer sans posséder nos clés cryptographiques privées. Nos bases de données sont également chiffrées au repos — les fichiers stockés sur disque ne sont pas lisibles sans la clé de déchiffrement appropriée.

Contrôle des accès internes

Tous nos employés n'ont pas accès à toutes vos données. Nous appliquons un principe de moindre privilège : chaque personne ne peut consulter que les informations strictement nécessaires à l'exercice de ses fonctions. Notre équipe de support client peut voir vos coordonnées et votre historique d'inscription, mais n'a aucun accès aux contenus de vos travaux pédagogiques. À l'inverse, les formateurs qui évaluent vos exercices ne voient pas vos informations de paiement.

Chaque consultation de données sensibles est journalisée dans nos systèmes de logs. Si un employé accédait de manière inappropriée à des informations qui ne le concernent pas, nous pourrions le détecter lors de nos audits trimestriels. Ces vérifications régulières nous permettent aussi de repérer d'éventuelles anomalies dans les patterns d'accès.

Ce qui pourrait quand même mal tourner

Malgré toutes nos précautions, des risques résiduels existent. Un attaquant particulièrement déterminé et compétent pourrait exploiter une faille de sécurité que nous n'aurions pas encore identifiée. Un de nos prestataires pourrait subir une violation de données qui affecterait indirectement nos systèmes. Un employé malveillant pourrait abuser de ses accès légitimes.

Si nous détections une violation de sécurité affectant vos données personnelles, nous vous en informerions par email dans les 72 heures suivant la découverte de l'incident. Cette notification préciserait la nature exacte des informations compromises, les mesures que nous avons prises pour contenir la brèche, et les actions que vous pourriez entreprendre pour vous protéger.

Durées de conservation et cycles de suppression

Nous ne gardons pas vos informations indéfiniment. Chaque catégorie de données suit un calendrier de rétention spécifique, déterminé soit par des obligations légales, soit par des nécessités opérationnelles, soit par votre demande explicite.

Vos données de compte actif — identifiants, préférences, historique de formation — restent accessibles tant que vous utilisez notre plateforme. Si vous ne vous connectez pas pendant 36 mois consécutifs, nous considérons votre compte comme inactif et vous envoyons un avertissement par email. Vous disposez alors de 90 jours pour vous reconnecter et confirmer que vous souhaitez conserver votre compte. Passé ce délai sans réaction de votre part, nous supprimons définitivement vos informations personnelles.

Obligations de conservation comptable

La législation française nous oblige à conserver certains documents pendant des durées minimales. Les factures et justificatifs de paiement doivent être archivés pendant 10 ans à compter de la clôture de l'exercice comptable concerné. Même si vous supprimez votre compte, ces documents fiscaux subsistent dans nos archives comptables pour la durée légale requise.

De même, les certificats de formation que nous délivrons sont conservés pendant 20 ans pour permettre leur authentification en cas de besoin. Si un employeur ou une institution académique nous contacte pour vérifier l'authenticité d'un certificat que vous avez obtenu, nous devons pouvoir confirmer ou infirmer sa validité.

Suppression anticipée sur demande

Vous pouvez à tout moment demander la suppression de votre compte et de vos données personnelles associées. Cette demande déclenche un processus de purge qui se déroule en plusieurs étapes. D'abord, votre compte devient immédiatement inaccessible — vous ne pouvez plus vous connecter. Ensuite, nous supprimons vos informations personnelles de nos bases de données actives dans un délai de 30 jours.

Certaines traces subsisteront temporairement dans nos sauvegardes. Ces sauvegardes suivent un cycle de rotation automatique : les plus anciennes sont écrasées par les plus récentes. Dans un délai maximum de 90 jours après votre demande de suppression, même ces copies de sauvegarde auront été purgées. À ce stade, aucune trace de vos informations personnelles ne subsiste dans nos systèmes, à l'exception des documents soumis aux obligations légales de conservation mentionnées précédemment.

Vos capacités d'action sur vos informations

Le RGPD vous confère plusieurs droits que vous pouvez exercer à tout moment. Ces droits ne sont pas de simples déclarations d'intention — ce sont des mécanismes juridiques opposables que nous devons respecter sous peine de sanctions.

Vous pouvez demander à consulter l'intégralité des informations personnelles que nous détenons sur vous. Cette demande d'accès déclenche la génération d'un rapport complet incluant vos données de compte, votre historique de formation, vos échanges avec le support, et les logs techniques associés à votre activité. Nous vous transmettons ce rapport dans un format structuré et lisible par machine dans un délai de 30 jours.

Rectification et mise à jour

Si vous constatez une erreur dans vos informations — un nom mal orthographié, une ancienne adresse email, une date de naissance incorrecte — vous pouvez nous demander de corriger ces inexactitudes. Vous pouvez également effectuer ces modifications vous-même directement depuis votre espace personnel, sans avoir à passer par notre support.

Cette faculté de rectification s'étend aussi aux informations que nous aurions pu déduire ou inférer à partir de votre comportement. Si notre système vous a automatiquement catégorisé comme intéressé par le journalisme sportif alors que vous vous focalisez exclusivement sur l'investigation politique, vous pouvez contester cette classification et demander qu'elle soit ajustée.

Limitation du traitement

Dans certaines situations, vous pouvez demander que nous gelions temporairement vos données sans les supprimer définitivement. Ce droit à la limitation s'applique notamment quand vous contestez l'exactitude de vos informations — nous les conservons le temps de vérifier votre réclamation, mais nous cessons de les utiliser activement.

Concrètement, une limitation signifie que vos données restent stockées dans nos systèmes mais sont marquées comme "gelées". Elles ne peuvent plus être utilisées pour vous envoyer des communications, alimenter nos analyses statistiques, ou être transmises à des tiers. Seules quelques opérations minimales restent autorisées : leur conservation elle-même, et leur utilisation pour vous défendre ou défendre vos droits en justice si nécessaire.

Opposition au traitement

Quand nous traitons vos données sur la base de notre intérêt légitime plutôt que sur une obligation contractuelle, vous pouvez vous opposer à ce traitement. Cette opposition doit être motivée par des raisons tenant à votre situation particulière. Par exemple, si vous estimez que notre analyse de vos parcours de navigation porte atteinte à votre vie privée d'une manière qui vous affecte spécifiquement, vous pouvez demander à être exclu de ces traitements.

Nous examinerons alors votre demande et, soit nous cesserons le traitement contesté pour vous personnellement, soit nous vous expliquerons pourquoi nous estimons avoir des motifs légitimes impérieux qui prévalent sur votre opposition. Cette décision vous sera notifiée dans un délai maximum de 30 jours.

Portabilité de vos données

Vous avez le droit de récupérer les données personnelles que vous nous avez fournies dans un format structuré et couramment utilisé. Nous générons pour vous un fichier JSON contenant vos informations de profil, votre historique de formation, et les contenus que vous avez produits pendant vos cours. Ce fichier peut ensuite être importé vers un autre service si vous décidez de nous quitter.

Cette portabilité ne couvre que les données que vous avez activement fournies, pas celles que nous avons générées par observation de votre comportement. Par exemple, vos réponses aux quiz sont portables, mais pas nos analyses statistiques de vos temps de réponse moyens.

Mineurs et capacité juridique

Nos services s'adressent principalement à des adultes engagés dans une démarche de développement professionnel. Nous n'acceptons pas délibérément d'inscriptions de personnes âgées de moins de 16 ans. Si nous découvrions qu'un mineur s'est inscrit en mentant sur son âge, nous suspendrions immédiatement son compte et supprimerions ses données personnelles.

Pour les adolescents entre 16 et 18 ans souhaitant accéder à certains de nos programmes d'initiation au journalisme, nous exigeons une autorisation parentale explicite. Le parent ou tuteur légal doit créer le compte au nom du mineur et accepter cette politique de confidentialité en son nom. Cette exigence découle directement des dispositions du RGPD relatives au traitement des données des mineurs.

Transferts internationaux de données

Nos infrastructures techniques sont intégralement situées sur le territoire français. Vos données personnelles sont stockées sur des serveurs physiquement localisés dans des datacenters parisiens. Nous n'effectuons pas de transferts réguliers vers des pays hors Union européenne.

Cependant, certains de nos prestataires techniques opèrent à l'échelle internationale. Par exemple, notre service de distribution vidéo maintient des serveurs de cache dans plusieurs régions du monde pour optimiser la vitesse de chargement. Quand vous visionnez un cours, votre adresse IP peut être temporairement enregistrée sur un serveur situé hors d'Europe si c'est le point de présence le plus proche de votre localisation géographique.

Dans ces situations, nous nous assurons que des garanties appropriées encadrent le transfert : soit le pays destinataire bénéficie d'une décision d'adéquation de la Commission européenne, soit notre contrat avec le prestataire inclut des clauses contractuelles types approuvées par les autorités de protection des données.

Évolutions et modifications de cette politique

Cette politique n'est pas gravée dans le marbre. Nos pratiques évoluent avec le temps, que ce soit pour nous adapter à de nouvelles obligations légales, intégrer de nouveaux services, ou améliorer notre niveau de protection des données personnelles.

Quand nous modifions substantiellement cette politique — par exemple en introduisant un nouveau type de traitement ou en faisant appel à une nouvelle catégorie de prestataires — nous vous en informons par email au moins 30 jours avant l'entrée en vigueur des changements. Cet délai vous laisse le temps d'examiner les modifications et, si vous n'êtes pas d'accord, de supprimer votre compte avant que les nouvelles conditions ne s'appliquent.

Pour les ajustements mineurs — corrections de fautes de frappe, clarifications rédactionnelles, mises à jour des coordonnées de contact — nous ne déclenchons pas de notification individuelle. Ces modifications mineures sont simplement publiées sur cette page avec mise à jour de la date de dernière révision visible en bas du document.

Réclamations et voies de recours

Si vous estimez que nous ne respectons pas vos droits en matière de protection des données, commencez par nous contacter directement. Beaucoup de problèmes peuvent être résolus rapidement par un échange constructif. Envoyez un message détaillé à help@lexarionva.com en expliquant précisément la nature de votre préoccupation.

Nous nous engageons à vous répondre dans un délai de 5 jours ouvrés pour accuser réception de votre réclamation, puis à vous apporter une réponse de fond dans les 30 jours suivants. Si votre demande s'avère particulièrement complexe, nous pouvons prolonger ce délai de 60 jours supplémentaires, mais nous vous en informerons explicitement en expliquant les raisons de ce retard.

Si notre réponse ne vous satisfait pas, ou si nous ne parvenons pas à trouver un terrain d'entente, vous disposez du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL). Cette autorité indépendante a pour mission de veiller au respect de la législation sur la protection des données personnelles en France.

Vous conservez également la possibilité de saisir les tribunaux compétents si vous estimez que vos droits ont été violés d'une manière qui justifie une action judiciaire. Cette voie contentieuse reste ouverte indépendamment de toute réclamation préalable auprès de la CNIL ou de nous-mêmes.