S
STIM← Accueil

Politique de confidentialité

Dernière mise à jour : 10 avril 2026

La présente politique de confidentialité (ci-après « la Politique ») décrit la manière dont STIM Formation Santé (SIREN 839 183 795), en tant que responsable de traitement, collecte, utilise, conserve et protège les données à caractère personnel des utilisateurs du service STIM Formation Santé (ci-après « le Service »).

Cette Politique est conforme au Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et à la loi française « Informatique et Libertés » n° 78-17 du 6 janvier 1978 modifiée.

1. Responsable du traitement

STIM Formation Santé
Entreprise individuelle — SIREN 839 183 795
352 Impasse des Terres, 24160 Saint-Médard d'Excideuil, France
Contact : contact@stimfor.com

Compte tenu de la taille de la structure (moins de 250 salariés) et de la nature des traitements, aucun délégué à la protection des données (DPO) n'est désigné. Pour toute question, le point de contact privilégié reste l'adresse email ci-dessus.

2. Données collectées

Les catégories de données personnelles collectées dans le cadre de l'utilisation du Service sont les suivantes :

2.1 Données d'identification

  • Adresse email (obligatoire pour la création de compte)
  • Mot de passe (stocké de manière chiffrée, jamais en clair)
  • Identifiant unique fourni par le fournisseur d'identité tiers en cas de connexion via Google ou Apple

2.2 Données de profil pédagogique

  • Produit choisi (EDN, IPA, EI, DFGSM)
  • Année ou profil d'études (DFASM1/2/3, IPA, etc.)
  • Spécialités ou modules gratuits sélectionnés
  • Date prévue des examens (optionnelle)

2.3 Données d'utilisation et de progression

  • Historique des sessions (date, mode, score, durée, XP gagnés)
  • Cartes de répétition espacée SM-2 (facteur d'aisance, intervalle, prochaine révision, niveau Bloom)
  • Messages envoyés à l'assistant conversationnel AI-ppocrate

2.4 Données techniques

  • Adresse IP, type de navigateur, système d'exploitation (à des fins de sécurité et de diagnostic uniquement)
  • Cookies strictement nécessaires au fonctionnement du Service (voir section 8)

3. Finalités et bases légales

Les données sont traitées pour les finalités suivantes, chacune reposant sur une base légale explicite au sens de l'article 6 du RGPD :

  • Création et gestion du compte utilisateur — Exécution du contrat (art. 6.1.b RGPD).
  • Fourniture du service pédagogique (révision, progression SM-2, sessions ECOS, statistiques) — Exécution du contrat.
  • Traitement des paiements et gestion des abonnements — Exécution du contrat et obligation légale (facturation).
  • Amélioration du Service et statistiques anonymisées — Intérêt légitime de l'Éditeur à améliorer ses produits.
  • Envoi de communications opérationnelles (confirmation d'inscription, réinitialisation de mot de passe, notifications de progression) — Exécution du contrat.
  • Envoi de newsletters ou communications commerciales — Consentement explicite de l'Utilisateur (art. 6.1.a RGPD), révocable à tout moment.
  • Respect des obligations légales (conservation comptable, réponse aux réquisitions) — Obligation légale (art. 6.1.c RGPD).

4. Destinataires des données

Les données personnelles sont destinées exclusivement à STIM Formation Santé et à ses sous-traitants techniques strictement nécessaires à la fourniture du Service :

  • Supabase Inc.— hébergement de la base de données utilisateurs (serveurs situés dans l'Union européenne, région eu-west).
  • Vercel Inc. — hébergement du site web (infrastructure distribuée mondiale avec régions européennes).
  • Cloudflare Inc.— proxy de l'API d'intelligence artificielle AI-ppocrate.
  • Mistral AI SAS(société française, Paris) — traitement des messages envoyés à l'assistant conversationnel. Les messages sont transmis pour traitement et ne sont pas utilisés par Mistral pour entraîner ses modèles.
  • Google LLC— (1) en cas de connexion via Google (échange d'identifiant uniquement) ; (2) Google Analytics 4 pour la mesure d'audience anonymisée, uniquement après consentement explicite de l'Utilisateur (voir section 8). Politique de confidentialité Google : policies.google.com/privacy.
  • Apple Inc.— uniquement en cas de connexion via Apple, et uniquement pour l'échange d'identifiant.

Aucune donnée personnelle n'est revendue, louée ou cédée à des tiers à des fins commerciales.

5. Transferts hors Union européenne

Certains sous-traitants (Vercel, Cloudflare) sont établis aux États-Unis. Les transferts de données vers ces sous-traitants sont encadrés par des garanties appropriées au sens des articles 44 à 49 du RGPD :

  • Clauses contractuelles types de la Commission européenne ;
  • Certification des sous-traitants au Data Privacy Framework UE–États-Unis lorsqu'applicable.

6. Durée de conservation

  • Données de compte: conservées pendant toute la durée d'utilisation du Service, puis supprimées dans un délai de 30 jours suivant la suppression du compte.
  • Données de progression SM-2 et sessions: conservées pendant toute la durée d'utilisation du Service.
  • Messages AI-ppocrate : conservés uniquement pendant la session active, non stockés de manière persistante côté serveur.
  • Données de facturation: conservées 10 ans conformément à l'article L.123-22 du Code de commerce.
  • Logs techniques : conservés 12 mois maximum à des fins de sécurité.

7. Droits des utilisateurs

Conformément aux articles 15 à 22 du RGPD, chaque utilisateur dispose des droits suivants sur ses données personnelles :

  • Droit d'accès — obtenir confirmation que des données le concernant sont traitées et en recevoir une copie.
  • Droit de rectification — faire corriger des données inexactes ou incomplètes.
  • Droit à l'effacement(« droit à l'oubli ») — obtenir la suppression de ses données lorsque les conditions légales sont réunies.
  • Droit à la limitation du traitement — demander la suspension du traitement.
  • Droit à la portabilité — recevoir ses données dans un format structuré et lisible par machine.
  • Droit d'opposition— s'opposer au traitement pour des motifs tenant à sa situation particulière.
  • Droit de retirer son consentement à tout moment pour les traitements qui en dépendent.
  • Droit de définir des directives relatives au sort de ses données après son décès (article 85 de la loi Informatique et Libertés).

Ces droits peuvent être exercés à tout moment par email à contact@stimfor.com, en précisant le droit exercé et en joignant une copie d'une pièce d'identité en cas de doute raisonnable sur l'identité du demandeur. Une réponse sera apportée dans un délai maximum d'un mois.

En cas de réponse insatisfaisante, l'Utilisateur a le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr — 3 Place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07.

8. Cookies et traceurs

8.1 Cookies strictement nécessaires

Le Site utilise des cookies strictement nécessaires à son fonctionnement (authentification, maintien de la session Supabase). Ces cookies sont exemptés du recueil de consentement conformément à l'article 82 de la loi Informatique et Libertés et aux recommandations de la CNIL.

8.2 Stockage local (localStorage)

Le Site utilise le stockage local du navigateur (localStorage) pour conserver des préférences non personnelles : thème d'affichage (clair/sombre), choix de consentement cookies, état de session de quiz. Ces données restent sur l'appareil de l'Utilisateur et ne sont jamais transmises à des tiers.

8.3 Cookies de mesure d'audience (Google Analytics 4)

Le Site utilise Google Analytics 4pour mesurer l'audience et améliorer le Service (pages visitées, durée des sessions, origine géographique agrégée). Ce service est fourni par Google LLC.

Les cookies Google Analytics ne sont déposés qu'après consentement explicite de l'Utilisateur, recueilli via le bandeau de consentement affiché lors de la première visite. Tant que l'Utilisateur n'a pas cliqué sur « Accepter », aucun script de mesure n'est chargé et aucun cookie analytics n'est déposé.

Les mesures de protection suivantes sont appliquées :

  • Anonymisation des adresses IP (anonymize_ip: true) ;
  • Aucune donnée croisée avec d'autres services Google ;
  • Durée de conservation des données dans GA : 14 mois.

8.4 Retrait du consentement

L'Utilisateur peut retirer son consentement aux cookies analytics à tout moment en supprimant les données du site dans les paramètres de son navigateur (cookies et stockage local pour le domaine stimfor.com). Le bandeau de consentement sera alors affiché à nouveau lors de la prochaine visite.

L'Utilisateur peut également installer une extension de blocage des traceurs (ex. : uBlock Origin) ou utiliser l'outil de désactivation de Google Analytics : tools.google.com/dlpage/gaoptout.

Aucun cookie publicitaire ou de profilage n'est déposé sur le Site.

9. Sécurité

STIM Formation Santé met en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé :

  • Chiffrement des données en transit (HTTPS/TLS) ;
  • Stockage chiffré des mots de passe (hashage bcrypt) ;
  • Politiques d'accès restrictives (Row Level Security Supabase) ;
  • Authentification forte et gestion sécurisée des sessions ;
  • Sauvegardes régulières et chiffrées.

10. Mineurs

Le Service est destiné à un public majeur (étudiants en santé, professionnels). La création d'un compte par un mineur de moins de 15 ans nécessite le consentement exprès de ses représentants légaux, conformément à l'article 8 du RGPD et à l'article 45 de la loi Informatique et Libertés.

11. Modification de la Politique

La présente Politique peut être modifiée à tout moment pour refléter les évolutions légales ou les améliorations du Service. Les Utilisateurs seront informés de toute modification substantielle par email ou via une notification dans le Service.