Politique de confidentialité

La Plateforme traite des données particulièrement sensibles dans le cadre des obligations LCB-FT (Lutte contre le blanchiment de capitaux et le financement du terrorisme) du secteur immobilier : pièces d'identité, justificatifs d'origine de fonds, analyses internes, déclarations de soupçon. Notre architecture est conçue selon les principes de privacy by designet de defense in depth, avec une exigence forte de souveraineté des données.

Cette Politique vise à vous donner une information loyale, claire et accessible sur l'ensemble de nos traitements, conformément aux articles 12 à 14 du RGPD.

Pour toute demande relative à vos données personnelles, nous vous invitons à contacter en priorité notre DPO.

Selon la nature des données, SCHOLA NOVA agit :

• En qualité de responsable de traitement pour la gestion des comptes utilisateurs, la fourniture de la formation, la délivrance des attestations, la facturation, la prospection commerciale et la sécurité de la Plateforme.
• En qualité de sous-traitant (article 28 du RGPD) pour le compte du Client (agence immobilière ou professionnel) lorsque celui-ci utilise la Plateforme pour traiter les données KYC de ses propres clients, son registre interne et ses déclarations de soupçon. Le Client est alors le responsable de traitement à l'égard de ces données.

Un accord de sous-traitance conforme à l'article 28 du RGPD est intégré aux CGU/CGV. Sur demande, un exemplaire signé peut être fourni au Client.

Le tableau ci-dessous présente, par catégorie de personne concernée, les données traitées, les finalités, les bases légales et les durées de conservation. Cette cartographie est tenue à jour dans notre registre des traitements (article 30 du RGPD).

Nous traitons les données pour les finalités suivantes :

• Fournir et exploiter la Plateforme (création de compte, authentification, accès aux modules de formation, délivrance des attestations) — base légale : exécution du contrat (article 6.1.b RGPD).
• Émettre les factures et gérer la comptabilité — base légale : obligation légale comptable et fiscale (article 6.1.c RGPD ; Code de commerce ; Code général des impôts).
• Permettre au Client de respecter ses obligations LCB-FT (registre KYC, fiches de vigilance, assistance à la déclaration de soupçon) — base légale : obligation légale du Client (articles L.561-2 et suivants du CMF) ; SCHOLA NOVA agit en sous-traitant.
• Assurer la sécurité de la Plateforme (journalisation, lutte contre la fraude, détection d'intrusion) — base légale : intérêt légitime de SCHOLA NOVA et obligation de sécurité (article 32 RGPD).
• Mener des actions de prospection B2B auprès de professionnels (envoi d'informations sur nos services à des contacts professionnels qualifiés) — base légale : intérêt légitime, dans le respect de la recommandation CNIL B2B et avec un droit d'opposition permanent.
• Adresser une newsletter — base légale : consentement préalable (article L.34-5 CPCE).
• Améliorer la Plateforme et les contenus pédagogiques (analyse anonymisée des parcours, agrégation statistique) — base légale : intérêt légitime ; aucune décision individuelle automatisée produisant des effets juridiques.
• Répondre aux demandes des autorités compétentes dans le cadre d'enquêtes administratives ou judiciaires — base légale : obligation légale.

Les données ne font l'objet d'aucune vente. Elles peuvent être communiquées, dans la limite de leur besoin d'en connaître, aux destinataires suivants :

• Équipes internes habilitées de SCHOLA NOVA (support, facturation, sécurité), soumises à un engagement de confidentialité ;
• Sous-traitants techniques agissant pour notre compte (liste ci-dessous) ;
• Autorités administratives et judiciaires sur demande légale (DGCCRF, CNIL, autorité judiciaire, etc.) ;
• Pour les Déclarations de soupçon : l'accès est exclusivement réservé à l'Administrateur agence et au Correspondant Tracfin désignés par le Client. Aucun salarié de SCHOLA NOVA n'a accès en clair à ces contenus en exploitation courante.

Sous-traitants ultimes (article 28 RGPD)

La liste mise à jour des sous-traitants peut être obtenue auprès de notre DPO. Toute évolution substantielle est notifiée au Client au moins trente (30) jours avant son entrée en vigueur, conformément à l'article 28.2 du RGPD.

Notre principe : aucun transfert hors UE par défaut. L'ensemble des données traitées sur la Plateforme est hébergé en France (OVHcloud) ou dans l'Union européenne.

Certains sous-traitants techniques marginaux (par exemple Stripe pour la facturation et Cloudflare pour la protection réseau) peuvent toutefois héberger des données de log et de transaction aux États-Unis. Dans ce cas :

• Les transferts sont encadrés par les Clauses Contractuelles Types de la Commission européenne (décision 2021/914) et, le cas échéant, par le cadre EU-US Data Privacy Framework lorsque le destinataire y est certifié ;
• Des mesures supplémentaires sont mises en œuvre : chiffrement des données en transit, minimisation des données transférées, contrôle d'accès strict ;
• Aucune donnée KYC ni aucune déclaration de soupçon n'est transférée hors de l'Union européenne, sans exception.

Les durées détaillées par catégorie figurent à l'article 4 ci-dessus. À titre de synthèse :

• Données de compte et de Formation : pendant toute la durée de la relation contractuelle, puis archivage intermédiaire pendant 5 ans à compter du terme.
• Attestations de Formation et journaux de validation : 5 ans après délivrance, pour permettre au Client de justifier de la conformité de ses équipes lors d'un contrôle.
• Données comptables (factures) : 10 ans à compter de la clôture de l'exercice (article L.123-22 du Code de commerce).
• Données KYC et fiches de vigilance : 5 ans à compter de la fin de la relation d'affaires de l'agence avec son propre client (article L.561-12 du CMF).
• Déclarations de soupçon et analyses associées : 5 ans minimum, conservation chiffrée et journalisée.
• Logs techniques et adresses IP : 13 mois maximum ; les IP sont hachées de manière irréversible après 30 jours.
• Données de prospection : 3 ans à compter du dernier contact actif du prospect.

À l'issue de ces durées, les données sont supprimées ou anonymisées de manière irréversible.

Conformément à l'article 32 du RGPD, nous mettons en œuvre des mesures techniques et organisationnelles appropriées au regard de la sensibilité des données traitées :

• Chiffrement. TLS 1.3 pour toutes les communications, chiffrement AES-256-GCM des champs ultra-sensibles (KYC, DS) avec clés gérées par HSM/KMS, sauvegardes chiffrées indépendamment de la base primaire.
• Authentification. Mots de passe minimum 12 caractères, hachage Argon2id, vérification « Have I Been Pwned », authentification à deux facteurs (2FA) obligatoire pour les rôles Administrateur et Correspondant Tracfin.
• Cloisonnement. Architecture multi-tenants avec Row-Level Security PostgreSQL, tests d'isolation automatisés en intégration continue, cloisonnement strict des Déclarations de soupçon.
• Réseau. WAF Cloudflare (règles OWASP + custom), protection DDoS, rate limiting, géo-blocage des juridictions sous embargo.
• Supervision. Journalisation de tous les accès aux données sensibles, signature cryptographique des journaux, alerting sécurité 24/7, détection d'anomalies.
• Veille et tests. Surveillance des dépendances (Snyk, Dependabot), patchs de sécurité critiques sous 7 jours, tests d'intrusion annuels.
• Organisationnel. Engagements de confidentialité, habilitations par profil, formation annuelle des équipes à la sécurité et au RGPD, procédure de gestion d'incident, plan de continuité d'activité.

Conformément aux articles 33 et 34 du RGPD, en cas de violation de données à caractère personnel susceptible d'engendrer un risque pour les droits et libertés des personnes :

• Nous notifions la CNIL dans un délai maximum de 72 heures à compter de la prise de connaissance de l'incident ;
• Nous informons sans retard injustifié le Client (en cas de sous-traitance) et, le cas échéant, les personnes concernées si le risque est élevé.

Tout incident de sécurité présumé peut être signalé à security@tracfinacademy.fr.

Vous disposez, dans les conditions fixées par le RGPD, des droits suivants :

• Droit d'accès (art. 15) — obtenir confirmation et copie des données vous concernant.
• Droit de rectification (art. 16) — faire corriger des données inexactes ou incomplètes.
• Droit à l'effacement (art. 17) — sous réserve des obligations légales de conservation applicables, notamment LCB-FT (5 ans) et comptables (10 ans).
• Droit à la limitation (art. 18) — demander la suspension d'un traitement contesté.
• Droit à la portabilité (art. 20) — recevoir vos données dans un format structuré et lisible par machine.
• Droit d'opposition (art. 21) — vous opposer au traitement fondé sur l'intérêt légitime, notamment à la prospection commerciale, à tout moment et sans justification.
• Droit de retirer votre consentement à tout moment, lorsque le traitement est fondé sur celui-ci (newsletter, cookies).
• Directives post-mortem (art. 85 loi Informatique & Libertés) — vous pouvez définir des directives relatives au sort de vos données après votre décès.
• Droit d'introduire une réclamation auprès de la CNIL (3 place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07 – www.cnil.fr).

Exercice de vos droits. Toute demande peut être adressée à notre DPO à dpo@tracfinacademy.fr ou par courrier à l'adresse indiquée à l'article 2. Une vérification d'identité raisonnable pourra vous être demandée. Nous répondons dans le délai d'un mois à compter de la réception de votre demande, délai pouvant être prolongé de deux mois en raison de la complexité ou du nombre de demandes.

Limites légales. Certains droits sont restreints par la loi pour les données collectées au titre des obligations LCB-FT. En particulier, l'article L.561-45 du CMF prévoit que le droit d'accès s'exerce auprès de la CNIL pour les traitements liés aux déclarations de soupçon. Le droit à l'effacement ne peut pas être invoqué pour s'opposer aux durées de conservation imposées par la loi.

Le Site dépose des cookies et utilise des technologies similaires pour : (i) assurer le bon fonctionnement de la Plateforme (cookies strictement nécessaires, exemptés de consentement) ; (ii) mesurer l'audience de manière agrégée (avec consentement) ; (iii) personnaliser certaines fonctionnalités.

Lors de votre première visite, un bandeau vous permet d'accepter, de refuser ou de paramétrer finement vos préférences. Vous pouvez modifier vos choix à tout moment via le bouton Gérer mes cookies situé dans le pied de page.

Le détail de chaque cookie (finalité, durée de conservation, émetteur) est consultable directement depuis la fenêtre de gestion des cookies, ouverte via le bouton « Gérer mes cookies » dans le pied de page.

La Plateforme ne prend aucune décision produisant des effets juridiques à l'égard d'une personne ou l'affectant de manière significative sur le seul fondement d'un traitement automatisé au sens de l'article 22 du RGPD.

L'assistant pédagogique IA fournit des réponses indicatives et n'effectue aucune évaluation automatisée des Apprenants ni des dossiers KYC pouvant aboutir à des décisions automatisées. Les scores de risque proposés sur les fiches de vigilance constituent une aide à la décision : la décision finale relève toujours du Correspondant Tracfin et du dirigeant du Client.

La Plateforme est strictement destinée à un usage professionnel. Elle n'est pas conçue ni destinée à collecter des données relatives à des mineurs. Si nous découvrions qu'un mineur a fourni des données personnelles, nous supprimerions ces données dans les meilleurs délais.

La présente Politique peut être amenée à évoluer pour intégrer les évolutions de la réglementation, les recommandations de la CNIL ou les évolutions de notre activité.

La version applicable est celle accessible à l'adresse de la présente page. Toute modification substantielle est portée à la connaissance des utilisateurs concernés par email, par bannière sur la Plateforme, ou par tout autre moyen approprié, au moins trente (30) jours avant son entrée en vigueur.

Date de la dernière mise à jour : 18 mai 2026.