| Centre de confiance Advicentis

Advicentis

Advicentis est une plateforme de formation e-learning B2B/B2C dédiée aux professionnels. Nous gérons la sécurité, la confidentialité et la conformité RGPD avec rigueur pour protéger les données de nos apprenants et partenaires.

rgpd@advicentis.fr Politique de confidentialité
Ressources
Politique de confidentialité Politique de sécurité Contacter le DPO
Contrôles Mis à jour le 30 avril 2026
Sécurité des infrastructures
Transmission des données chiffrée (TLS)
HTTPS obligatoire avec HSTS
Authentification par compte unique
Sécurité organisationnelle
Politique de confidentialité publiée (v1.1)
Responsable RGPD (DPO) désigné
Journaux d'audit administrateurs
Sécurité du produit
Tokens JWT à durée limitée (15 min)
Authentification à deux facteurs (TOTP)
Rate limiting sur tous les endpoints
Procédures de sécurité interne
Purge automatique des données expirées
Content Security Policy (CSP) stricte
Secrets isolés dans un fichier .env
Données et confidentialité
Consentement explicite requis (Art. 7 RGPD)
Durées de rétention des données définies
Droit à la portabilité — export JSON
Sous-traitants documentés (Stripe, Google…)
Droit à l'effacement — suppression de compte
Ressources
Politique de confidentialité
Version 1.1 — 30 avril 2026. Détails sur la collecte, le traitement et les droits des utilisateurs.
Contacter le DPO
rgpd@advicentis.fr — Exercice de vos droits RGPD, questions de conformité.
Réclamation CNIL
3 place de Fontenoy – TSA 80715 – 75334 Paris Cedex 07. Droit de recours auprès de l'autorité de contrôle.
Signalement de vulnérabilité
Pour signaler une faille de sécurité de façon responsable, contactez rgpd@advicentis.fr.
Sous-traitants (Art. 28 RGPD)
Services tiers utilisés À jour
Stripe

Paiements en ligne — Données transmises : montant, email, identifiant de paiement. Localisation : États-Unis (Privacy Shield / SCC). Politique Stripe

Google (OAuth 2.0)

Connexion via compte Google — Données transmises : nom, email, photo de profil (optionnel). Localisation : États-Unis / UE. Politique Google

Cloudflare

CDN & polices de caractères — Aucune donnée personnelle transmise. Logs techniques anonymisés. Localisation : mondiale. Politique Cloudflare

Unsplash

Images libres de droits — Aucune donnée personnelle transmise. Usage en affichage uniquement. Localisation : États-Unis. Politique Unsplash

Sécurité des infrastructures Vérifié
Transmission des données chiffrée (TLS 1.2+)

Toutes les communications entre le client et le serveur sont chiffrées via HTTPS/TLS.

HTTPS obligatoire avec HSTS (1 an, preload)

Redirection automatique HTTP → HTTPS. Header Strict-Transport-Security avec max-age 31536000.

Authentification unique par compte renforcée

Chaque session est liée à un JWT signé HMAC-SHA256 unique, non réutilisable.

Accès aux fichiers de configuration restreint

Fichiers .env, .sql, .log, .bak bloqués par le serveur web via .htaccess.

En-têtes de sécurité HTTP complets

X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, CSP.

Blocage des bots et scrapers connus

Filtre User-Agent actif côté serveur (Apache) et côté API PHP pour 20+ bots référencés.

Suppression de la signature serveur

Headers Server et X-Powered-By supprimés pour limiter l'empreinte technique.

CORS restreint à l'origine applicative

Les requêtes cross-origin sont rejetées si l'origine ne correspond pas à APP_URL.

Sécurité du produit Vérifié
Tokens JWT à courte durée de vie (15 min)

Les access tokens expirent après 15 minutes. Un refresh token séparé permet le renouvellement sécurisé.

Tokens de téléchargement éphémères (60 secondes)

Les liens de téléchargement (certificats, exports) utilisent des tokens à usage unique valables 60 secondes.

Authentification à deux facteurs (TOTP)

Compatible Google Authenticator / Authy. QR code généré localement — le secret TOTP ne quitte jamais le serveur.

Rate limiting sur tous les endpoints sensibles

Limitation du nombre de requêtes par IP pour prévenir les attaques par force brute.

Mots de passe hachés (bcrypt)

Aucun mot de passe n'est stocké en clair. Hachage bcrypt avec facteur de coût adaptatif.

Validation des entrées côté serveur

Toutes les entrées utilisateur sont validées et assainies avant traitement, indépendamment du frontend.

Sécurité organisationnelle Vérifié
Politique de confidentialité publiée et à jour (v1.1)

Disponible depuis l'application et mise à jour le 30 avril 2026 avec liste des sous-traitants.

Responsable RGPD (DPO) désigné

Contact dédié : rgpd@advicentis.fr. Délai de réponse : 30 jours maximum (Art. 12 RGPD).

Journaux d'audit administrateurs

Toutes les actions administratives sont journalisées et conservées 13 mois (obligation légale).

Données sensibles masquées dans les journaux

Les emails et informations personnelles sont hachés (SHA-256) avant tout enregistrement en log.

Secrets applicatifs isolés hors dépôt

Clés API, secrets JWT et identifiants base de données stockés dans .env, exclu du versioning.

Données et confidentialité (RGPD) Conforme
Consentement explicite requis à l'inscription (Art. 7)

Case à cocher obligatoire liée à la politique de confidentialité. Consentement horodaté et versionné en base.

Droit à la portabilité — export JSON (Art. 20)

Les utilisateurs peuvent exporter l'intégralité de leurs données en un clic depuis leur profil.

Droit à l'effacement — suppression de compte (Art. 17)

Suppression complète et immédiate des données personnelles depuis l'interface utilisateur.

Durées de rétention des données définies

Rate limits : 24h — Réinitialisation de mot de passe : 2h — Audit logs : 13 mois — Sessions expirées : nettoyage automatique.

Purge automatique des données expirées

Nettoyage probabiliste (1/100 requêtes) sans impact sur les performances. Données temporaires supprimées selon les durées de rétention.

Sous-traitants documentés et conformes (Art. 28)

Stripe, Google, Cloudflare, Unsplash — liste complète avec données transmises et localisation disponible dans les ressources.

Pas de cookies de traçage tiers

L'application utilise localStorage pour la session (pas de cookies propriétaires). Aucun cookie de tracking publicitaire.

Minimisation des données collectées

Seules les données strictement nécessaires au service sont collectées. Aucune donnée de profilage publicitaire.