Préambule
La société Le Bureau des Concours (ci-après « l'Éditeur », « nous ») accorde la plus grande importance au respect de la vie privée des personnes qui utilisent la plateforme accessible à l'adresse www.lebureaudesconcours.com (ci-après la « Plateforme »). La présente politique de confidentialité (ci-après la « Politique ») a pour objet d'informer, de manière claire, complète et accessible, toute personne concernée des modalités de traitement de ses données à caractère personnel par l'Éditeur.
Elle est établie dans le respect du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après le « RGPD ») et de la loi n° 78-17 du 6 janvier 1978 modifiée, dite « Informatique et Libertés ».
Elle fait partie intégrante des Conditions Générales d'Utilisation et de Vente.
1. Responsable du traitement
Le Bureau des Concours — Société par actions simplifiée (SAS)
Capital social : 100 €
Siège social : 182 avenue Daumesnil, étage 2, 75012 Paris, France
RCS Paris 100 469 170 — SIRET : 100 469 170 00011
Représentante légale : Maia Valero, Présidente
Téléphone : 06 52 25 07 33
Courriel général : support@lebureaudesconcours.com
Au sens de l'article 4-7 du RGPD, l'Éditeur agit, pour les traitements décrits dans la présente Politique, en qualité de responsable de traitement.
2. Référent « données personnelles »
En l'absence d'obligation de désignation d'un délégué à la protection des données au sens de l'article 37 du RGPD, l'Éditeur a désigné un référent « données personnelles » chargé de superviser la conformité des traitements et de répondre aux demandes des personnes concernées :
Référent données personnelles — Le Bureau des Concours
Courriel : privacy@lebureaudesconcours.com
Courrier : Le Bureau des Concours, 182 avenue Daumesnil, étage 2, 75012 Paris
3. Champ d'application
La présente Politique s'applique à l'ensemble des données à caractère personnel collectées par l'Éditeur dans le cadre :
- de la navigation des visiteurs sur la Plateforme ;
- de la création et de la gestion d'un compte utilisateur ;
- de la passation de commandes et de l'exécution des Services ;
- de la participation à des stages, oraux blancs, séances de coaching et autres sessions synchrones ;
- des échanges avec le support client et les formateurs ;
- de l'envoi de communications (transactionnelles et, sous réserve de consentement, de prospection) ;
- de l'analyse statistique de l'audience et de l'usage de la Plateforme.
4. Catégories de données traitées
L'Éditeur veille à ne collecter que les données strictement nécessaires aux finalités poursuivies, conformément au principe de minimisation (article 5-1-c du RGPD).
| Catégorie | Données concernées |
|---|---|
| Identification & compte | Adresse électronique, mot de passe (stocké sous forme hachée et salée), nom, prénom ou pseudonyme, langue, photographie de profil (facultative). |
| Préparation & concours visé | Concours choisi (« univers »), voie (écrits / oraux), année de préparation, objectifs déclarés. |
| Transaction | Historique des commandes, montants, statuts de paiement, droits d'accès et crédits associés, factures. Les données bancaires (numéro de carte, cryptogramme) sont traitées exclusivement par Stripe et ne transitent jamais sur nos serveurs. |
| Données pédagogiques | Progression dans les vidéos, réponses aux quiz et items de révision, notes personnelles, auto-évaluation de confiance, scores, indicateurs de maîtrise, items confondus, plans quotidiens, bilans de stage, commentaires du formateur. |
| Sessions synchrones | Dates et horaires de réservation, participations, enregistrements audio et vidéo des oraux blancs, stages et coachings (aux fins de replay et de retour pédagogique), fiches d'évaluation. |
| Communication | Contenu des échanges avec le support et les formateurs (courriels, signalements, demandes d'assistance), préférences de communication, statut d'ouverture des courriels. |
| Données techniques & journalisation | Adresse IP, empreinte du navigateur et du terminal, type de terminal, système d'exploitation, pages consultées, horodatages, jetons d'authentification, erreurs et événements techniques. |
| Mesure d'audience & comportement | Parcours de navigation, événements d'interaction (ouverture d'une page, clic, ajout au panier, lecture d'une vidéo, achèvement d'un quiz, etc.), durée des sessions, provenance (paramètres UTM). |
| Qualité & retours | Réponses aux enquêtes (NPS, formulaires de feedback), signalements de contenus, suggestions de fonctionnalités, parrainages. |
| Cookies et traceurs | Cf. Politique relative aux cookies. |
L'Éditeur ne collecte pas sciemment de données sensibles au sens de l'article 9 du RGPD (origine raciale ou ethnique, opinions politiques, convictions religieuses, santé, orientation sexuelle, données biométriques aux fins d'identification unique, etc.). Les Utilisateurs sont invités à ne pas communiquer de telles données par l'intermédiaire de la Plateforme.
5. Finalités et bases légales
Chaque traitement mis en œuvre poursuit une finalité déterminée, explicite et légitime et repose sur l'une des bases légales prévues à l'article 6 du RGPD.
| Finalité | Base légale (article 6 RGPD) |
|---|---|
| Création et administration du compte utilisateur. | Exécution du contrat (art. 6-1-b). |
| Fourniture des Services souscrits (accès aux contenus, inscription aux stages, réservation des oraux et du coaching, suivi pédagogique). | Exécution du contrat (art. 6-1-b). |
| Traitement des paiements et lutte contre la fraude. | Exécution du contrat (art. 6-1-b) et intérêt légitime (art. 6-1-f). |
| Facturation et conservation comptable. | Obligation légale (art. 6-1-c — article L123-22 du Code de commerce, article L102 B du Livre des procédures fiscales). |
| Communications transactionnelles et de service (confirmation de commande, réinitialisation de mot de passe, alertes, notifications relatives à l'avancée de la préparation). | Exécution du contrat (art. 6-1-b). |
| Prospection commerciale auprès des Utilisateurs existants sur des Services analogues. | Intérêt légitime (art. 6-1-f), avec droit d'opposition à tout moment (art. 21 RGPD et L34-5 CPCE). |
| Envoi d'une newsletter et de communications de prospection auprès des prospects non-clients. | Consentement (art. 6-1-a). |
| Mesure d'audience et statistiques d'usage agrégées, anonymes ou pseudonymisées. | Intérêt légitime (art. 6-1-f) dans les limites de la recommandation CNIL « cookies et autres traceurs ». |
| Enregistrement des sessions synchrones (oraux blancs, coachings, stages) à des fins pédagogiques. | Exécution du contrat (art. 6-1-b) avec information préalable et faculté d'opposition. |
| Détection des partages de compte et des comportements abusifs. | Intérêt légitime (art. 6-1-f) — protection des droits de propriété intellectuelle et de la sécurité du service. |
| Amélioration des Services, tests A/B, analyse qualité, gestion des réclamations et des incidents. | Intérêt légitime (art. 6-1-f). |
| Sécurité, journalisation, prévention et détection des intrusions, continuité de service. | Intérêt légitime (art. 6-1-f) et obligation légale (art. 6-1-c). |
| Constatation, exercice ou défense d'un droit en justice. | Intérêt légitime (art. 6-1-f) et, le cas échéant, obligation légale (art. 6-1-c). |
Lorsque le traitement repose sur le consentement, celui-ci est recueilli dans des conditions exigeantes (case non pré-cochée, information claire), enregistré par l'Éditeur, et peut être retiré à tout moment sans porter atteinte à la licéité des traitements effectués jusqu'à ce retrait.
6. Destinataires et sous-traitants
Les données personnelles sont traitées par les personnels habilités de l'Éditeur (opérations, support client, personnel pédagogique, administration) dans la stricte limite de leurs missions.
L'Éditeur recourt à des prestataires tiers (sous-traitants au sens de l'article 28 du RGPD), sélectionnés pour leur fiabilité et leur conformité. Chacun de ces prestataires est lié par un accord de sous-traitance encadrant le traitement des données personnelles. Les principaux sous-traitants sont les suivants :
| Prestataire | Finalité | Localisation | Garanties |
|---|---|---|---|
| Supabase (Supabase Inc.) | Hébergement de la base de données, authentification, stockage de fichiers. | Union européenne (région Europe). | Accord de sous-traitance (DPA) avec clauses conformes à l'article 28 RGPD. |
| Vercel (Vercel Inc.) | Hébergement applicatif, distribution du site, journaux d'exécution. | Régions européennes privilégiées ; États-Unis. | DPA Vercel, clauses contractuelles types (« CCT ») de la Commission européenne et mesures complémentaires. |
| Stripe (Stripe Payments Europe Ltd) | Traitement des paiements en ligne, facturation, prévention de la fraude. | Irlande (UE) et États-Unis. | DPA Stripe, CCT, certification PCI-DSS. |
| Mux (Mux, Inc.) | Hébergement, encodage et diffusion sécurisée des vidéos, signature des jetons de lecture. | États-Unis. | DPA Mux, CCT, contrôle d'accès par jetons signés. |
| Cal.com (Cal.com, Inc.) | Gestion des créneaux, réservations d'oraux blancs et de coachings, webhooks d'enregistrement. | Union européenne et États-Unis. | DPA Cal.com, CCT. |
| Resend (Resend, Inc.) | Envoi des courriels transactionnels et, le cas échéant, de prospection. | États-Unis. | DPA Resend, CCT. |
| Cloudflare (Cloudflare, Inc.) | Protection anti-robot (Turnstile) lors des formulaires d'inscription et de connexion. | Réseau mondial — serveurs européens privilégiés. | DPA Cloudflare, CCT ; Turnstile est conçu pour limiter la collecte de données à caractère personnel. |
| Anthropic (Anthropic, PBC) | Outils d'assistance éditoriale et de relecture pédagogique, sous supervision humaine. | États-Unis. | DPA Anthropic, CCT ; prompts limités aux contenus internes de l'Éditeur. |
| OpenAI (OpenAI, L.L.C.) | Outils d'assistance éditoriale à la production de supports, sous supervision humaine. | États-Unis. | DPA OpenAI, CCT, opt-out d'utilisation des prompts à des fins d'entraînement des modèles. |
| Google (Google Ireland Ltd) | Outils d'assistance à la recherche d'information au sein de la base de connaissances, sur demande de l'Utilisateur, sous supervision pédagogique. | Irlande et États-Unis. | DPA Google, CCT. |
La liste des sous-traitants peut évoluer. Toute modification substantielle sera portée à la connaissance des Utilisateurs par la mise à jour de la présente Politique. Les Utilisateurs peuvent à tout moment obtenir la liste à jour en écrivant à privacy@lebureaudesconcours.com.
Les données peuvent en outre être communiquées à des tiers autorisés (auditeurs, conseils juridiques, autorités administratives ou judiciaires) lorsque la loi l'impose ou qu'une procédure contentieuse le justifie.
7. Transferts hors de l'Union européenne
Certaines opérations de traitement peuvent impliquer des transferts de données à caractère personnel vers des pays situés en dehors de l'Union européenne et de l'Espace économique européen, en particulier vers les États-Unis (Mux, Stripe, Resend, Cloudflare, Anthropic, OpenAI, Google, Vercel).
Conformément au chapitre V du RGPD, ces transferts reposent sur :
- les décisions d'adéquation adoptées par la Commission européenne, lorsqu'elles existent pour le pays concerné (par exemple, « EU-US Data Privacy Framework » pour les prestataires certifiés) ; à défaut,
- les clauses contractuelles types (« CCT ») adoptées par la Commission européenne (décision 2021/914), complétées par des mesures techniques et organisationnelles supplémentaires (chiffrement, minimisation, pseudonymisation, limitation d'accès) au sens de l'arrêt « Schrems II » (CJUE, 16 juillet 2020, C-311/18).
Les Utilisateurs peuvent obtenir, sur demande adressée à privacy@lebureaudesconcours.com, une copie ou une description des garanties mises en place.
8. Durées de conservation
Les données à caractère personnel ne sont conservées que pour la durée strictement nécessaire à la poursuite des finalités pour lesquelles elles ont été collectées, puis archivées ou supprimées conformément aux obligations légales.
| Catégorie | Base active | Archivage intermédiaire |
|---|---|---|
| Compte utilisateur, données d'identification, données pédagogiques. | Jusqu'à la clôture du compte ou à une période d'inactivité de trois (3) ans après la dernière utilisation effective du service. | Suppression ou anonymisation. |
| Données de transaction (commandes, factures, moyens de paiement masqués). | Durée nécessaire à la gestion de la relation contractuelle. | Dix (10) ans au titre des obligations comptables (L123-22 C. com.). |
| Données bancaires (traitées exclusivement par Stripe). | Conservation par Stripe selon sa politique, dans les limites de la certification PCI-DSS. | — |
| Enregistrements d'oraux blancs, de coachings et de stages. | Jusqu'à la clôture du compte ou, au plus tard, vingt-quatre (24) mois après la tenue de la session. | Suppression. |
| Journaux de connexion, journaux d'authentification. | Douze (12) mois à compter de leur enregistrement (cadre CNIL « sécurité »). | — |
| Journaux techniques d'erreur. | Trois (3) à douze (12) mois selon la gravité et l'objet. | — |
| Statistiques de mesure d'audience. | Treize (13) mois pour les identifiants de mesure ; vingt-cinq (25) mois pour les statistiques agrégées (recommandation CNIL). | Anonymisation. |
| Prospection commerciale (clients et prospects). | Trois (3) ans à compter du dernier contact effectif. | — |
| Cookies. | Cf. Politique relative aux cookies. | — |
| Données relatives à la gestion des litiges et au respect des obligations légales. | Durée de la procédure. | Délai de prescription applicable (généralement cinq (5) ans). |
À l'expiration de la durée de conservation active, les données sont supprimées ou, lorsque l'Éditeur est soumis à une obligation légale de conservation, déplacées en archivage intermédiaire avec accès restreint.
9. Sécurité des données
L'Éditeur met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques (article 32 du RGPD), et notamment :
- chiffrement des données en transit (TLS) et au repos pour la base de données et les stockages associés ;
- stockage haché et salé des mots de passe ;
- gestion stricte des habilitations fondée sur le principe du moindre privilège ;
- politique de sécurité applicative fondée sur la segmentation des environnements (développement, préproduction, production) ;
- contrôles d'accès (« Row-Level Security ») au niveau de la base de données ;
- limitation du débit (« rate limiting ») et protection anti-robot sur les formulaires critiques ;
- sauvegardes régulières et mécanismes de restauration ;
- revue et mise à jour régulière des dépendances applicatives ;
- journalisation des accès sensibles et procédure de détection des incidents ;
- formation et sensibilisation des personnels habilités.
10. Violation de données
En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, l'Éditeur notifie cette violation à la CNIL dans un délai maximal de soixante-douze (72) heures après en avoir pris connaissance (article 33 RGPD). Lorsque la violation est susceptible d'engendrer un risque élevé, l'Éditeur en informe également, dans les meilleurs délais, les personnes concernées (article 34 RGPD).
11. Droits des personnes concernées
Conformément aux articles 12 à 23 du RGPD et aux articles 48 à 56 de la loi Informatique et Libertés, l'Utilisateur dispose, à l'égard de ses données à caractère personnel, des droits suivants :
- Droit d'accès (art. 15) : obtenir la confirmation que des données le concernant sont ou non traitées, accéder à ces données et en obtenir une copie.
- Droit de rectification (art. 16) : obtenir la rectification des données inexactes ou incomplètes.
- Droit à l'effacement ou « droit à l'oubli » (art. 17) : obtenir la suppression des données, dans les cas et limites prévus par le RGPD, notamment lorsque leur conservation n'est plus justifiée.
- Droit à la limitation (art. 18) : obtenir la limitation du traitement dans certaines circonstances.
- Droit à la portabilité (art. 20) : recevoir les données que l'Utilisateur a fournies dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable de traitement.
- Droit d'opposition (art. 21) : s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement fondé sur l'intérêt légitime, et, sans condition, à un traitement à des fins de prospection.
- Retrait du consentement (art. 7-3) : retirer le consentement préalablement donné, à tout moment, sans effet rétroactif sur les traitements déjà opérés.
- Droit de ne pas faire l'objet d'une décision entièrement automatisée (art. 22) : l'Éditeur ne met en œuvre aucune décision produisant des effets juridiques ou affectant significativement l'Utilisateur reposant exclusivement sur un traitement automatisé.
- Directives post-mortem (art. 85 Loi I&L) : définir des directives générales ou particulières relatives au sort de ses données après son décès.
12. Modalités d'exercice des droits
Les droits peuvent être exercés en écrivant à privacy@lebureaudesconcours.com ou par courrier postal à l'adresse du siège social. L'Éditeur pourra, en cas de doute raisonnable sur l'identité du demandeur, solliciter la communication d'un justificatif d'identité (article 12-6 du RGPD).
L'Éditeur s'efforce de répondre à toute demande dans un délai maximum d'un (1) mois, susceptible d'être prolongé de deux (2) mois compte tenu de la complexité ou du nombre de demandes (article 12-3 du RGPD).
L'exercice de ces droits est gratuit, sauf demande manifestement infondée ou excessive.
13. Réclamation auprès de la CNIL
Si, après nous avoir contactés, l'Utilisateur estime que ses droits ne sont pas respectés, il dispose du droit de déposer une réclamation auprès de l'autorité de contrôle compétente (en France, la Commission nationale de l'informatique et des libertés — CNIL, 3 Place de Fontenoy, TSA 80715, 75334 Paris CEDEX 07, www.cnil.fr).
14. Mineurs
La Plateforme n'est pas destinée aux mineurs de moins de quinze (15) ans et ne cible pas sciemment cette population. L'Éditeur ne collecte pas sciemment de données à caractère personnel concernant des mineurs de moins de quinze (15) ans. Si l'Éditeur venait à constater qu'il détient de telles données, il procéderait à leur suppression dans les meilleurs délais.
15. Décisions automatisées et profilage
L'Éditeur met en œuvre certains traitements semi-automatisés à des fins pédagogiques (établissement du plan quotidien de révision, recommandation d'items à revoir, mise en avant de contenus pertinents). Ces traitements ne produisent pas d'effets juridiques et peuvent être, à tout moment, contrôlés et écartés par l'Utilisateur.
Aucune décision automatisée au sens de l'article 22 du RGPD n'est prise à l'encontre des Utilisateurs.
16. Outils technologiques d'assistance éditoriale
L'Éditeur recourt, pour la production et la relecture de ses supports pédagogiques internes, à des outils technologiques d'assistance éditoriale fournis par des prestataires tiers (notamment Anthropic, OpenAI, Google). L'intégralité des contenus pédagogiques publiés sur la Plateforme est validée par un enseignant avant diffusion.
Dans ce cadre :
- les prompts transmis à ces outils se composent de contenus pédagogiques établis par l'Éditeur et n'incluent pas de données d'identification directe de l'Utilisateur (nom, adresse électronique, identifiant de Compte) ;
- lorsqu'une fonctionnalité permet une interaction directe entre l'Utilisateur et un outil (par exemple une recherche en langage naturel dans la base de connaissances), seule la requête saisie par l'Utilisateur est transmise au prestataire, à l'exclusion des autres données de Compte ;
- l'Éditeur active, lorsqu'elle existe, l'option de non-utilisation des prompts à des fins d'entraînement des modèles proposée par le prestataire ;
- les transferts vers ces prestataires sont encadrés par des clauses contractuelles types et, le cas échéant, par des mesures techniques complémentaires, conformément à la section 7 ci-dessus ;
- les productions générées sont contrôlées par un enseignant avant diffusion et peuvent, le cas échéant, être corrigées, réécrites ou écartées.
17. Cookies et traceurs
Les cookies et traceurs éventuellement déposés ou lus sur le terminal de l'Utilisateur font l'objet d'une Politique relative aux cookies distincte, qui complète la présente Politique.
18. Modification de la Politique
La présente Politique peut être amendée afin de refléter les évolutions du cadre juridique, des traitements mis en œuvre ou des prestataires sollicités. Les Utilisateurs sont invités à la consulter régulièrement ; la version applicable est celle en vigueur à la date de consultation, datée en en-tête. Toute modification substantielle affectant les droits des personnes concernées sera notifiée par voie électronique ou par un bandeau d'information sur la Plateforme.
19. Contact
Référent données personnelles — Le Bureau des Concours
Courriel : privacy@lebureaudesconcours.com
Courrier : Le Bureau des Concours, 182 avenue Daumesnil, étage 2, 75012 Paris
Exercer vos droits
Nous répondons à toute demande dans un délai maximum d'un (1) mois.