← Retour

Politique de confidentialité

Dernière mise à jour : 19 avril 2026

1. Responsable du traitement

Le responsable du traitement des données à caractère personnel est la société FED(FED France Entreprise Développement), SAS au capital de 5 000 €, immatriculée au RCS de Dijon sous le numéro 944 747 088, dont le siège est situé 20 boulevard Pasteur, 21130 Auxonne, France.

Contact : contact@fedsolution.fr.

Compte tenu de la taille de la structure (effectif inférieur aux seuils de l'article 37 du RGPD) et de l'absence de traitement à grande échelle de catégories particulières, aucun Délégué à la Protection des Données (DPO) n'est désigné. Les demandes peuvent être adressées directement au responsable du traitement.

2. Données collectées

Lors de votre inscription et de votre utilisation du service, sont collectées :

  • Identité :nom d'affichage, identifiant unique, adresse email
  • Authentification : mot de passe (hashé avec bcrypt, jamais stocké en clair)
  • Profil :SDIS d'appartenance (optionnel), type d'utilisateur (SP / JSP / responsable JSP), caserne d'affectation, niveau d'abonnement
  • Progression pédagogique : réponses aux quiz, scores, XP, badges obtenus, historique de révision (algorithme SM-2), durée et horaires de session
  • Carrière : grades, formations et ancienneté renseignés volontairement
  • Social :liste d'amis, défis envoyés et reçus, quiz communautaires créés
  • Inscription newsletter :adresse email collectée avec consentement exprès via le formulaire « Mardi SP »
  • Rappels de prise de garde :heure(s) de prise de garde saisie(s) volontairement dans les paramètres ou à l'onboarding, pour l'envoi d'un rappel 30 minutes avant. Vous pouvez déclarer une ou deux heures (alternance jour/nuit).
  • Notifications push :si vous activez les rappels dans votre navigateur, nous stockons le point de souscription (« endpoint » fourni par votre navigateur) et les clés techniques associées pour vous envoyer des notifications. Aucun identifiant publicitaire. Révocable en 1 clic dans Paramètres › Notifications.
  • Préférences d'accessibilité : effets sonores, vibrations, animations — stockées localement dans votre navigateur (localStorage), jamais transmises à nos serveurs.
  • Événements d'engagement :actions agrégées (clic, lancement de quiz, obtention de badge, envoi d'un défi, réception d'un push) horodatées, destinées à suivre l'efficacité des fonctionnalités sans contenu nominatif au-delà de l'identifiant utilisateur.
  • Mesures d'audience : pages consultées, agrégées et anonymisées (aucun identifiant individuel persistant)

3. Finalités et bases légales

FinalitéBase légale
Fourniture du service (comptes, quiz, progression, gamification)Exécution du contrat (CGU)
Répétition espacée, recommandations pédagogiquesExécution du contrat
Fonctionnalités sociales (amis, défis, leaderboard, casernes)Exécution du contrat
Emails transactionnels (vérification, réinitialisation, notifications de défi)Exécution du contrat
Newsletter « Mardi SP » et emails marketingConsentement (art. 7 RGPD) — désinscription en 1 clic
Emails de réactivation et de relance (J+1, J+3, streak, récap mensuel)Intérêt légitime (opposition possible à tout moment)
Notifications push (rappel de prise de garde, alerte streak)Consentement (permission du navigateur, révocable)
Événements d'engagement (analytics produit first-party)Intérêt légitime (amélioration du service, opposition possible à tout moment)
Mesures d'audience agrégées et anonymesIntérêt légitime (exemption de consentement CNIL pour la mesure d'audience sans traceur)
Lutte contre la fraude et sécurité (rate-limiting, logs techniques)Intérêt légitime

4. Sous-traitants

PrestataireUsageLocalisation / transfert
Vercel Inc.Hébergement applicatif (Edge Network)USA — Data Processing Addendum + SCC (clauses contractuelles types)
Vercel AnalyticsMesure d'audience first-party, sans cookie, anonymiséeUSA — DPA + SCC
Supabase Inc.Base de données, authentification, stockage de fichiersUnion européenne (Francfort, Allemagne)
Brevo (ex-Sendinblue)Emails transactionnels et newsletterFrance (Paris) — hébergement UE
PostHog Inc. (PostHog Cloud EU)Mesure produit et analyse comportementale (funnel d'activation, rétention, conversion). Activé uniquement après consentement explicite via la bannière cookies.Union européenne (Francfort, Allemagne) — hébergement AWS eu-central-1. Conservation 12 mois maximum.

Aucun prestataire publicitaire, régie programmatique ou réseau social n'est intégré. Aucun partage ni revente de données à des fins commerciales.

Notifications push : les notifications sont envoyées directement depuis notre serveur via le protocole Web Push(clés VAPID). Nous ne passons pas par un service tiers type Firebase Cloud Messaging ou Apple Push Notification Service en sous-traitance. Les serveurs de relais sont ceux du fournisseur de votre navigateur (Google, Mozilla, Apple) et ne reçoivent que le message chiffré — ils constituent une couche d'infrastructure du navigateur et non un sous-traitant de FED.

5. Durée de conservation

  • Données du compte : conservées tant que le compte est actif.
  • Après suppression du compte : toutes les données personnelles sont effacées immédiatement et définitivement (aucun « soft delete »).
  • Inscription newsletter sans compte : conservée jusqu'à désinscription.
  • Logs techniques et de sécurité : 12 mois maximum.
  • Mesures d'audience : agrégées, conservées sans donnée individuelle.

6. Vos droits (RGPD)

Conformément au Règlement (UE) 2016/679 (RGPD) et à la loi Informatique et Libertés modifiée, vous disposez des droits suivants :

  • Accès : obtenir une copie de vos données personnelles
  • Rectification : corriger vos données (directement via les paramètres du compte ou sur demande)
  • Suppression : supprimer votre compte et l'ensemble des données associées (via les paramètres)
  • Portabilité : recevoir vos données dans un format structuré lisible par machine (JSON, sur demande email)
  • Opposition : s'opposer au traitement fondé sur l'intérêt légitime (emails de réactivation, notamment)
  • Retrait du consentement : retirer à tout moment le consentement à la newsletter (désinscription en 1 clic dans chaque email)
  • Limitation : demander la limitation du traitement de vos données

Pour exercer ces droits, contactez contact@fedsolution.fr. Une réponse vous sera apportée dans un délai maximum d'un mois.

Vous disposez également du droit d'introduire une réclamation auprès de la CNIL (3 place de Fontenoy, 75007 Paris).

7. Sécurité

  • Mots de passe hashés avec bcrypt (10 rounds)
  • Cookie d'authentification httpOnly et SameSite=Lax
  • Communications chiffrées de bout en bout (HTTPS / TLS 1.3)
  • Requêtes SQL paramétrées (protection contre l'injection)
  • Limitation de débit (rate-limiting) sur les points d'entrée sensibles
  • Accès aux données techniques restreint aux personnes habilitées de FED

8. Cookies et traceurs

Un seul cookie strictement nécessaire est utilisé : userId (cookie technique,httpOnly, durée 30 jours). Exempté de consentement au titre de l'article 82 de la loi Informatique et Libertés.

La mesure d'audience de base (Vercel Analytics) est assurée sans cookie et sans identifiant persistant. Elle respecte les lignes directrices de la CNIL relatives aux mesures d'audience exemptées de consentement.

Mesure produit PostHog : à la première visite, une bannière vous propose d'activer une mesure produit plus fine (chemin de navigation dans l'application, features utilisées, taux de complétion). Refus par défaut : tant que vous n'avez pas cliqué « Accepter la mesure », aucun identifiant PostHog n'est généré et le SDK n'est pas chargé. Votre choix est mémorisé localement dans votre navigateur (localStorage.heph_cookie_consent). Vous pouvez le modifier à tout moment depuis vos paramètres de confidentialité.

Aucun cookie publicitaire, aucun traceur de réseau social, aucun pixel tiers.

9. Mineurs (comptes JSP)

Les comptes JSP (Jeunes Sapeurs-Pompiers) peuvent être utilisés par des mineurs. Leur création requiert la saisie d'une adresse email parentale et le recueil du consentement parental explicite préalablement à toute activation, conformément à l'article 8 du RGPD. Le représentant légal peut à tout moment demander la clôture du compte et la suppression des données.

Mentions légalesCGU