Cette politique décrit comment l'EURL Gouman Operates collecte, utilise et protège les données personnelles des utilisateurs de la plateforme Notion Club, conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés.
1. Identité du responsable de traitement
Le responsable du traitement des données personnelles est :
Nous collectons et traitons les catégories de données suivantes, dans les finalités précisées ci-dessous :
2.1 Données d'identité et de compte
Données : nom, prénom, nom d'utilisateur, photo de profil, bio, téléphone, email principal, email de communication, email Notion.
Finalité : créer et gérer le compte utilisateur, permettre la connexion à la plateforme, vous identifier au sein de la communauté.
2.2 Données d'authentification
Données : mot de passe (haché et salé, jamais stocké en clair), identifiant Google OAuth (le cas échéant), jetons de session.
Finalité : sécuriser l'accès à votre compte.
2.3 Données d'usage
Données : dates de connexion, dernière activité, parcours pédagogique (modules consultés, leçons complétées), événements analytics anonymisés ou pseudonymisés.
Finalité : améliorer la plateforme, mesurer l'engagement, vous proposer un parcours pédagogique pertinent.
2.4 Données de souscription et de paiement
Données : offre souscrite (Challenge Gratuit, Programme Payant), date de souscription, durée, statut, montant, référence de paiement, historique des modifications de souscription.
Finalité : exécuter le contrat de fourniture de service, gérer la facturation, respecter les obligations comptables.
Note : les données bancaires (numéro de carte) ne sont jamais stockées par Notion Club. Elles transitent directement chez nos prestataires de paiement (Mollie, Stripe).
2.5 Contenus générés par l'utilisateur
Données : messages et publications dans la communauté, commentaires, réactions, contenus partagés.
Finalité : permettre les échanges entre membres au sein de la plateforme.
2.6 Données de coaching
Données : enregistrements de calls (uniquement si vous y consentez explicitement au début de l'appel), transcriptions, résumés générés par intelligence artificielle.
Finalité : assurer le suivi pédagogique, conserver une trace de l'accompagnement.
Note : les résumés sont générés automatiquement par un service d'IA. Ils peuvent contenir des imprécisions.
2.7 Données techniques et de support
Données : adresse IP, type de navigateur, système d'exploitation, logs d'erreurs, échanges avec le support.
Finalité : sécuriser la plateforme, diagnostiquer les bugs, répondre à vos demandes.
3. Bases légales du traitement
Conformément à l'article 6 du RGPD, nous traitons vos données sur les bases légales suivantes :
Exécution du contrat : pour les données nécessaires à la fourniture du service (compte, authentification, souscription, contenus pédagogiques, coaching).
Obligation légale : pour la conservation des factures et données comptables (10 ans).
Intérêt légitime : pour les données techniques de sécurité, la mesure d'audience anonymisée, la prévention de la fraude.
Consentement : pour les cookies non essentiels, l'enregistrement des calls, les emails marketing.
4. Sous-traitants et destinataires
Pour fournir le service, nous faisons appel à des sous-traitants encadrés contractuellement (clauses RGPD conformes à l'article 28). Aucun de ces tiers n'utilise vos données pour son propre compte.
Sous-traitant
Finalité
Localisation
Supabase
Base de données, authentification, stockage
Union européenne
Vercel
Hébergement de l'application
États-Unis (CCT)
Resend
Envoi d'emails transactionnels
États-Unis (CCT)
Posthog
Analyse d'usage produit
Union européenne
Sentry
Monitoring d'erreurs
États-Unis (CCT)
Upstash
Cache et files de tâches
Union européenne
Mollie
Traitement des paiements
Union européenne
Stripe
Traitement des paiements
États-Unis (CCT)
Qonto
Encaissements et facturation
Union européenne
Notion
Source de contenu (ressources, templates)
États-Unis (CCT)
Fathom
Enregistrement et transcription de calls
États-Unis (CCT)
Tella
Hébergement des vidéos pédagogiques
États-Unis (CCT)
Google (OAuth)
Authentification via compte Google (optionnel)
États-Unis (CCT)
OpenAI / Anthropic
Génération de résumés de calls
États-Unis (CCT)
CCT : Clauses Contractuelles Types de la Commission européenne, garantissant un niveau de protection équivalent au RGPD pour les transferts hors UE.
5. Transferts hors Union européenne
Certains sous-traitants listés ci-dessus sont établis aux États-Unis. Ces transferts sont encadrés par les Clauses Contractuelles Types adoptées par la Commission européenne, et, le cas échéant, par l'adhésion du sous-traitant au Data Privacy Framework (cadre de protection des données UE-USA).
Nous nous efforçons de privilégier des sous-traitants européens lorsque c'est possible.
6. Durées de conservation
Catégorie de données
Durée de conservation
Compte utilisateur actif
Tant que le compte est actif
Compte inactif (aucune connexion)
3 ans après la dernière activité, puis anonymisation
Données de facturation et comptables
10 ans (obligation légale)
Logs de connexion et de sécurité
12 mois
Enregistrements et transcriptions de calls
Durée de l'accompagnement + 1 an
Contenus communautaires (posts, messages)
Tant que le compte est actif ; anonymisés après suppression
Cookies de mesure d'audience
13 mois maximum
En cas de suppression de votre compte, nous procédons à un effacement par anonymisation : votre identité est rendue irréversiblement anonyme, mais les factures et obligations légales sont conservées le temps prévu par la loi.
7. Sécurité des données
Nous mettons en œuvre des mesures techniques et organisationnelles pour protéger vos données :
Chiffrement des données en transit (HTTPS/TLS) et au repos.
Hachage et salage des mots de passe.
Authentification à deux facteurs disponible (à venir).
Accès restreint aux données par rôle, journalisation des accès administrateurs.
Sauvegardes régulières et chiffrées.
Mises à jour de sécurité régulières de nos systèmes.
8. Cookies et traceurs
La plateforme utilise différents types de cookies :
Cookies strictement nécessaires (session, authentification) : indispensables au fonctionnement, ils ne nécessitent pas de consentement.
Cookies de mesure d'audience (Posthog) : pour comprendre l'usage de la plateforme. Soumis à votre consentement.
Cookies de fonctionnement (préférences) : pour mémoriser vos choix (thème, langue).
Vous pouvez à tout moment retirer votre consentement via le bandeau cookies présent en bas de l'écran ou via les paramètres de votre navigateur.
9. Vos droits
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :
Droit d'accès : obtenir une copie des données vous concernant.
Droit de rectification : corriger des données inexactes.
Droit à l'effacement (« droit à l'oubli ») : demander la suppression de vos données, sous réserve des obligations légales de conservation.
Droit à la limitation : geler temporairement le traitement.
Droit à la portabilité : récupérer vos données dans un format structuré.
Droit d'opposition : vous opposer au traitement pour des raisons légitimes.
Droit de retirer votre consentement à tout moment, sans effet rétroactif.
Droit de définir des directives post-mortem sur le sort de vos données.
Pour exercer ces droits, écrivez à theo@gouman.fr. Nous répondrons sous 1 mois maximum (ce délai pouvant être prolongé de 2 mois en cas de demande complexe).
10. Contact et réclamation
Pour toute question relative au traitement de vos données :
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
3 Place de Fontenoy — TSA 80715 — 75334 PARIS CEDEX 07