immobilierformation.com
Accueil
Formations
IMMOSTART DÉBUTANTS · NIVEAU 1 CONSEILLERS ÉLITE EXPÉRIMENTÉS · NIVEAU 2 ASCENSION DIRIGEANTS · NIVEAU 3
À propos Blog Assistance Contact Trouve mon parcours →

POLITIQUE DE CONFIDENTIALITÉ — RGPD + Loi IL

Confidentialité & protection des données

Cette page expose comment CVMB FORMATION (qui édite immobilierformation.com) collecte, utilise, partage et conserve les données personnelles des visiteurs, prospects, stagiaires et clients, conformément au Règlement général sur la protection des données (UE 2016/679) et à la loi Informatique et Libertés modifiée du 6 janvier 1978.

Dernière mise à jour : 30 avril 2026

Position en 3 phrases

Tes données t'appartiennent. On ne les vend jamais. On les minimise par défaut.

CVMB FORMATION ne collecte que les données strictement nécessaires au fonctionnement du tunnel de formation (test de positionnement, paiement, signature de la convention, suivi pédagogique, attestation Qualiopi). Les données ne sont JAMAIS revendues, partagées avec des partenaires commerciaux, ni utilisées pour du retargeting publicitaire sans consentement explicite. Tu peux exercer tes droits RGPD (accès, rectification, effacement, portabilité) à tout moment en écrivant à contact@immobilierformation.com.

1. Responsable de traitement

Le responsable de traitement au sens de l'article 4-7 du RGPD est :

  • Raison sociale : CVMB FORMATION
  • Forme juridique : Société par actions simplifiée (SAS) au capital de 1 500 €
  • SIRET : 91470705400021
  • RCS : Paris
  • Code NAF : 8559A — Formation continue d'adultes
  • Numéro de déclaration d'activité : 11930978593 (DREETS Île-de-France)
  • Siège social : 99 rue Ordener, 75018 Paris, France
  • Représentant légal : Ismail YIGITLER, Président
  • Contact RGPD : contact@immobilierformation.com

2. Personne référente RGPD

CVMB FORMATION n'est pas tenue de désigner un Délégué à la protection des données (DPO) au titre de l'article 37 du RGPD (l'organisme ne traite ni des données sensibles à grande échelle, ni des activités de surveillance régulière et systématique). Néanmoins, par bonne pratique, une personne référente est désignée pour traiter toute demande RGPD :

  • Référente RGPD : Caty FERNANDES, Directrice Générale
  • Email dédié : contact@immobilierformation.com (objet « Demande RGPD »)
  • Délai de réponse : 1 mois maximum à compter de la réception (RGPD art. 12-3), prorogeable de 2 mois en cas de complexité

3. Catégories de données collectées

CVMB FORMATION collecte uniquement les catégories de données suivantes, en application du principe de minimisation (RGPD art. 5-1-c) :

Catégorie Exemples de données Source
Identité Prénom, nom, civilité Formulaire de positionnement, paiement Stripe
Coordonnées Email, téléphone (optionnel) Formulaire de positionnement
Profil professionnel Statut actuel, ancienneté, objectifs, point bloquant, financement envisagé Test de positionnement (Indicateur 8 Qualiopi)
Situation handicap Existence de besoins spécifiques, détails librement fournis (optionnel) Test de positionnement (Indicateur 26 Qualiopi)
Données de paiement Référence transaction Stripe, montant, date, statut. Le numéro de carte n'est JAMAIS stocké par CVMB ni transité par notre serveur Stripe (sous-traitant)
Données B2B (si applicable) Raison sociale, SIREN/SIRET, TVA intracommunautaire, adresse de facturation, signataire Stripe Tax ID Collection (acheteur en mode professionnel)
Données pédagogiques Modules complétés, scores aux quiz, durée de connexion, évaluations à chaud / à froid Plateforme Digiforma (sous-traitant)
Tickets de support Sujet, message, type, horodatage de réception et de réponse Widget /assistance, page /assistance
Données techniques anti-spam Hash SHA-256 de l'adresse IP (jamais l'IP en clair), user-agent Soumission de formulaires
Métadonnées marketing Source de trafic (utm_source, utm_medium, utm_campaign), page d'arrivée Paramètres URL au moment de la soumission du test
Données de mesure d'audience Pages vues, durée de session, source du trafic — uniquement après consentement explicite via le bandeau cookies Google Analytics 4

CVMB FORMATION ne collecte aucune donnée sensible au sens de l'article 9 du RGPD (origine ethnique, opinions politiques ou religieuses, santé, orientation sexuelle, etc.). La seule exception encadrée concerne la mention volontaire d'un handicap par le stagiaire — uniquement aux fins d'adaptation pédagogique, traitée avec une vigilance accrue, et conservée dans une table dédiée à accès restreint.

4. Finalités des traitements et bases légales

Chaque traitement est fondé sur une base légale au sens de l'article 6 du RGPD :

Finalité Base légale RGPD
Vérification de l'adéquation entre le besoin du stagiaire et la formation (Indicateur 8 Qualiopi) Mesures précontractuelles (art. 6-1-b)
Exécution du contrat ou de la convention de formation, accès à la plateforme Digiforma, suivi pédagogique Exécution du contrat (art. 6-1-b)
Émission des factures, respect des obligations comptables et fiscales Obligation légale (art. 6-1-c) — Code commerce L.123-22, Code général des impôts
Traçabilité Qualiopi (positioning, conventions, tickets support, attestations) Obligation légale (art. 6-1-c) — Décret 2019-565, Arrêté 31/05/2023
Adaptation pédagogique en cas de handicap déclaré Obligation légale (art. 6-1-c) + intérêt vital (art. 6-1-d) — Indicateur 26 Qualiopi
Évaluations à chaud (J0) et à froid (J+90) Obligation légale (art. 6-1-c) — Indicateurs 30 et 31 Qualiopi
Mesure d'audience anonyme du site (Google Analytics 4) Consentement (art. 6-1-a) recueilli via le bandeau cookies
Réponse aux demandes du widget de support Mesures précontractuelles ou exécution du contrat (art. 6-1-b) selon le contexte
Lutte contre la fraude au paiement Intérêt légitime (art. 6-1-f) — protection contre les transactions frauduleuses
Relances commerciales par email post-positioning sans achat Intérêt légitime (art. 6-1-f) — opt-out facile dans chaque email

5. Sous-traitants et destinataires des données

Conformément à l'article 28 du RGPD, CVMB FORMATION recourt à des sous-traitants pour exécuter certains traitements. Tous présentent des garanties suffisantes et sont liés par un Data Processing Agreement (DPA) ou des Clauses contractuelles types européennes :

Sous-traitant Finalité Hébergement Encadrement juridique
Stripe Payments Europe Ltd. Traitement des paiements par carte, lutte anti-fraude, génération des factures UE (Dublin, Irlande) + maison-mère Stripe Inc. (États-Unis) DPA Stripe + Data Privacy Framework UE-US
Yousign SAS Signature électronique des conventions et contrats de formation (eIDAS Avancée) UE (Caen, France) DPA Yousign — accessible sur leur dashboard
Digiforma Plateforme LMS — accès aux modules e-learning, suivi pédagogique, attestations Qualiopi UE (France) DPA Digiforma — à activer via support@digiforma.com
Resend Inc. Envoi d'emails transactionnels (confirmation paiement, accès Digiforma, support) UE (eu-west-1 Dublin) — région européenne explicitement choisie DPA Resend + Data Privacy Framework UE-US
Supabase Base de données Postgres pour orders, support_tickets, audit_logs, positioning_tests, cold_evaluations UE (eu-west-3 Paris) — région européenne explicitement choisie DPA Supabase
Vercel Inc. Hébergement web statique + Serverless Functions (endpoints API) UE (région Frankfurt préférée) + États-Unis (panel admin) DPA Vercel + Data Privacy Framework UE-US
Google Ireland Ltd. (GA4 + GTM) Mesure d'audience anonymisée du site, gestion des balises (uniquement après consentement) UE (Dublin, Irlande) + maison-mère Google LLC (États-Unis) DPA Google + Data Privacy Framework UE-US + Mode Consent v2
Microsoft Ireland Operations Ltd. (Clarity) Cartes de chaleur et enregistrements de sessions anonymisées (inputs sensibles masqués automatiquement, IP anonymisée par défaut) — uniquement après consentement UE (Dublin, Irlande) + maison-mère Microsoft Corporation (États-Unis) DPA Microsoft Online Services + Data Privacy Framework UE-US + Mode Consent v2
OVH SAS DNS du domaine immobilierformation.com et hébergement des boîtes mail (MX Plan) UE (France — Roubaix, Strasbourg, Gravelines) CGU OVH + DPA standard hébergeur français
CM2C (à venir) Médiation de la consommation en cas de litige — uniquement sur initiative du Stagiaire après réclamation préalable UE (Paris, France) Adhésion en cours — DPA standard CM2C

Aucune donnée n'est cédée, vendue ou louée à des tiers à des fins commerciales. Les sous-traitants ci-dessus agissent exclusivement sur instruction écrite de CVMB FORMATION, dans la stricte limite de la finalité de leur prestation.

6. Durées de conservation

Les données sont conservées pendant les durées strictement nécessaires à la finalité du traitement, conformément aux obligations légales et réglementaires :

  • Données pédagogiques + administratives Qualiopi (positioning_tests, orders, conventions signées, attestations, évaluations chaud/froid) : 10 ans à compter de la fin de la formation, en application des obligations Qualiopi (Décret 2019-565, Arrêté 31/05/2023) et fiscales (Code commerce L.123-22).
  • Tickets de support (Indicateur 19) : 3 ans à compter de la dernière interaction (RGPD art. 5-1-e).
  • Factures et données comptables : 10 ans à compter de la clôture de l'exercice (Code commerce L.123-22 + L.123-22).
  • Données de paiement Stripe : conservées par Stripe pendant 7 ans à des fins de lutte anti-fraude et obligations légales (PCI-DSS).
  • Prospects sans achat (positioning_tests sans order associé) : 3 ans à compter du dernier contact (CNIL recommandation marketing direct B2B/B2C).
  • Données de mesure d'audience GA4 : 14 mois par défaut (paramétrage GA4), avec consentement.
  • Cookies non essentiels : 13 mois maximum (recommandation CNIL délibération 2020-091).
  • Hash SHA-256 des IP anti-spam : 3 mois à compter de la soumission du formulaire.

À l'expiration de la durée de conservation, les données sont automatiquement supprimées ou anonymisées de manière irréversible (RGPD art. 5-1-e — limitation de la conservation).

7. Transferts de données hors Union européenne

Certains de nos sous-traitants ont une maison-mère établie aux États-Unis (Stripe, Vercel, Google, Resend). Lorsqu'un transfert de données vers les États-Unis est techniquement nécessaire au fonctionnement du service, il est encadré par :

  • Le Data Privacy Framework UE-US (en vigueur depuis le 10 juillet 2023, suite à la décision d'adéquation de la Commission européenne) auquel les sous-traitants concernés adhèrent et qui remplace le Privacy Shield invalidé par l'arrêt Schrems II (CJUE, 16 juillet 2020).
  • Des Clauses contractuelles types européennes (CCT, décision UE 2021/914) signées avec chaque sous-traitant.
  • Le choix systématique de la région européenne d'hébergement quand l'option existe : Resend en eu-west-1 Dublin, Supabase en eu-west-3 Paris, Vercel région Frankfurt préférée.

CVMB FORMATION ne procède à aucun transfert de données vers un pays tiers ne disposant pas d'une décision d'adéquation ou de garanties appropriées au sens des articles 44 à 49 du RGPD.

8. Tes droits sur tes données personnelles

Conformément aux articles 15 à 22 du RGPD et aux articles 38 à 43 de la loi Informatique et Libertés modifiée, tu disposes des droits suivants sur tes données personnelles :

  • Droit d'accès (art. 15) — obtenir la confirmation que des données te concernant sont traitées, recevoir une copie de ces données et les informations associées.
  • Droit de rectification (art. 16) — faire corriger des données inexactes ou compléter des données incomplètes te concernant.
  • Droit à l'effacement (« droit à l'oubli ») (art. 17) — faire supprimer tes données, sous réserve des obligations légales de conservation (Qualiopi 10 ans, comptable 10 ans).
  • Droit à la limitation du traitement (art. 18) — faire suspendre temporairement un traitement le temps d'une vérification.
  • Droit à la portabilité (art. 20) — recevoir tes données dans un format structuré, couramment utilisé et lisible par machine (JSON, CSV).
  • Droit d'opposition (art. 21) — t'opposer à un traitement fondé sur l'intérêt légitime ou à des fins de prospection commerciale.
  • Droit de retirer ton consentement (art. 7-3) à tout moment lorsque le traitement repose sur le consentement (cookies, mesure d'audience). Le retrait n'affecte pas la licéité du traitement effectué avant le retrait.
  • Droit de définir des directives post-mortem (art. 85 loi IL) — préciser le sort de tes données après ton décès.

9. Exercice de tes droits

Pour exercer l'un de tes droits, il suffit d'écrire à contact@immobilierformation.com avec en objet « Demande RGPD » et en précisant :

  • Le ou les droit(s) que tu souhaites exercer (accès, rectification, effacement, etc.)
  • Les données concernées si tu peux le préciser (un parcours en particulier, une commande spécifique, etc.)
  • Une copie d'une pièce d'identité uniquement si il existe un doute sur l'identité du demandeur (art. 12-6 RGPD)

CVMB FORMATION s'engage à répondre dans un délai d'un (1) mois maximum à compter de la réception de la demande (RGPD art. 12-3), prorogeable de deux mois supplémentaires en cas de complexité ou de demandes multiples (avec information préalable de la personne concernée).

L'exercice de ces droits est gratuit, sauf en cas de demandes manifestement infondées ou excessives où des frais raisonnables peuvent être appliqués (art. 12-5 RGPD).

10. Sécurité des données

CVMB FORMATION met en œuvre les mesures techniques et organisationnelles appropriées (RGPD art. 32) pour garantir un niveau de sécurité adapté au risque, notamment :

  • Chiffrement des données en transit (HTTPS / TLS 1.3) sur l'ensemble du site et des appels API
  • Chiffrement des données au repos sur Supabase (AES-256) et tous nos sous-traitants UE
  • Clés d'API et secrets stockés en variables d'environnement Vercel marquées « Sensitive », non exposées au navigateur
  • Authentification renforcée des accès administratifs (2FA obligatoire sur Supabase, Vercel, Stripe, OVH)
  • Politique de Row Level Security (RLS) Supabase activée par défaut sur toutes les tables — accès limité au seul service_role côté serveur
  • Hash SHA-256 des adresses IP utilisées pour la lutte anti-spam (jamais l'IP en clair)
  • Headers de sécurité HTTP : Content-Security-Policy, Strict-Transport-Security, X-Frame-Options, Referrer-Policy, Permissions-Policy (configurés dans vercel.json)
  • Logs d'audit (table audit_logs) tracent chaque action significative pour permettre la détection d'anomalies

En cas de violation de données personnelles susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, CVMB FORMATION procèdera à une notification à la CNIL dans un délai de 72 heures (RGPD art. 33) et, le cas échéant, à une information directe des personnes concernées (RGPD art. 34).

11. Cookies et traceurs

La gestion des cookies déposés par immobilierformation.com est détaillée sur la page dédiée /cookies, conformément à la délibération CNIL n° SAN-2025-010 du 20 novembre 2025.

Tu peux à tout moment modifier tes préférences cookies via le bouton « Modifier » situé dans le pied de page de chaque page du site, ou directement depuis la page /cookies.

12. Mises à jour de la présente politique

La présente politique de confidentialité peut faire l'objet de mises à jour pour refléter des évolutions législatives, l'ajout de nouveaux sous-traitants ou de nouvelles finalités. La date de dernière mise à jour figure en haut de la présente page. En cas d'évolution majeure impactant les droits des personnes concernées, une notification sera adressée par email aux stagiaires actifs.

13. Réclamation auprès de la CNIL

Si tu estimes, après nous avoir contactés, que tes droits ne sont pas respectés, tu disposes du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

  • Adresse : CNIL — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
  • Téléphone : +33 (0)1 53 73 22 22
  • En ligne : cnil.fr/fr/plaintes

Avant toute réclamation à la CNIL, nous t'encourageons à nous contacter directement à contact@immobilierformation.com — nous nous engageons à étudier sérieusement chaque demande et à y apporter une réponse motivée.