Charte de Confidentialité RGPD

CHARTE DE PROTECTION DES DONNÉES PERSONNELLES
Politique de confidentialité RGPD
Document : Charte RGPDVersion : 2.0 – Juillet 2026
Responsable : Christelle Mokdad, PrésidenteMise à jour : 1er juillet 2026
Prochaine révision : Juiller 2027 ou en cas d’évolution réglementaire significative
📋 Bases légales applicables : Règlement UE 2016/679 (RGPD) · Loi n°78-17 du 6 janvier 1978 modifiée (Loi Informatique et Libertés) · Loi n°2026-534 du 25 juin 2026 relative à la lutte contre les fraudes sociales et fiscales (volet formation professionnelle) · Recommandations CNIL en vigueur

PRÉAMBULE

Tricolor Expertise (ci-après « la Société ») attache une importance fondamentale à la protection des données à caractère personnel de l’ensemble des personnes avec lesquelles elle interagit : apprenants, stagiaires, clients, prospects, formateurs, partenaires et visiteurs de son site internet.

La présente Charte a pour objet de décrire, de manière transparente et exhaustive, les conditions dans lesquelles la Société collecte, traite, conserve et protège les données personnelles, conformément aux exigences du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD), de la Loi Informatique et Libertés n°78-17 du 6 janvier 1978 modifiée, ainsi que de toute réglementation sectorielle applicable, notamment la Loi n°2026-534 du 25 juin 2026 concernant le volet formation professionnelle.

Cette Charte s’applique à l’ensemble des activités de la Société : formations présententielles et à distance, services de conseil en cybersécurité, conformité réglementaire (NIS2, DORA, Cyber Resilience Act, AI Act), et toute interaction digitale via le site www.tricolorexpertise.fr.

Article 1 – Identité et coordonnées du responsable de traitement

Conformément à l’article 13 du RGPD, les informations relatives au responsable du traitement sont les suivantes :

RESPONSABLE DU TRAITEMENT
Dénomination socialeTRICOLOR EXPERTISE
Forme juridiqueSASU (Société par Actions Simplifiée Unipersonnelle)
SIREN901 815 332
Siège social15 rue des Halles, 75001 Paris
PrésidenteChristelle Mokdad
Qualité QualiopiOrganisme de formation certifié Qualiopi
Site webwww.tricolorexpertise.fr
Contact DPO/RGPDcontact@tricolorexpertise.fr
⚖️ Tricolor Expertise agit en qualité de Responsable de Traitement au sens de l’article 4.7 du RGPD pour l’ensemble des traitements décrits dans la présente Charte. En sa qualité d’organisme de formation certifié Qualiopi, la Société est également soumise aux dispositions spécifiques du Code du travail relatives à la formation professionnelle et aux obligations déclaratives auprès de la DREETS.

Article 2 – Principes fondamentaux de protection des données

La Société s’engage à respecter les principes suivants, conformément à l’article 5 du RGPD :

▸  Licéité, loyauté et transparence : toute collecte est fondée sur une base légale identifiée et clairement communiquée à la personne concernée.

▸  Limitation des finalités : les données collectées ne sont utilisées que pour les finalités explicitement déterminées, légitimes et notifiées aux personnes.

▸  Minimisation des données : seules les données strictement nécessaires à l’accomplissement des finalités identifiées sont collectées (principe du « data minimization »).

▸  Exactitude : des mesures raisonnables sont prises pour garantir l’exactitude des données et permettre leur rectification sans délai.

▸  Limitation de la conservation : les données sont conservées uniquement pendant la durée nécessaire à la finalité du traitement ou imposée par la loi.

▸  Intégrité et confidentialité : des mesures techniques et organisationnelles appropriées sont mises en place pour protéger les données contre tout accès non autorisé, destruction, perte ou altération.

▸  Responsabilité (Accountability) : la Société est en mesure de démontrer à tout moment sa conformité aux principes ci-dessus, notamment par la tenue d’un Registre des Activités de Traitement (RAT) à jour.

Article 3 – Registre des activités de traitement et bases légales

Conformément à l’article 30 du RGPD et en sa qualité de responsable de traitement, la Société tient un Registre des Activités de Traitement (RAT). Le tableau ci-dessous en constitue la version synthétique communicable aux personnes concernées.

Finalité du traitementBase légaleCatégories de donnéesDurée de conservationTransfert hors UE
Gestion des apprenants / stagiairesExécution du contrat de formationNom, prénom, coordonnées, présence, évaluations5 ans (prescription civile) / 6 ans si QualiopiNon
Financement OPCO / CPFObligation légale (Loi n°2026-534)Identité, financement, émargements, justificatifs6 ans (art. L6352-8-1 C. trav., modifié)Non
Gestion des prospects / CRMIntérêt légitimeNom, email professionnel, téléphone, secteur3 ans depuis dernier contactNon
Facturation & comptabilitéObligation légale (code du commerce)Données contractuelles et financières10 ans (C. com. L123-22)Non
Cookies et analytics site webConsentementAdresse IP, comportement de navigation13 mois max (CNIL)Non
RecrutementIntérêt légitime / consentementCV, compétences, coordonnées candidat2 ans depuis dernier contactNon
Interventions des formateursExécution du contratNom, coordonnées, qualifications, contrats5 ans après fin de relationNon
Sécurité informatique & logsIntérêt légitime / obligation légaleLogs connexion, accès systèmes1 an (ANSSI recommandation)Non
⚠️ Concernant les traitements liés au CPF : conformément à l’article 73 de la Loi n°2026-534 du 25 juin 2026, la Société met en œuvre des procédures renforcées de vérification de l’identité des bénéficiaires lors des formations financées via le Compte Personnel de Formation. Ces traitements font l’objet d’un archivage distinct pour une durée de 6 ans.

Article 4 – Données sensibles et catégories particulières

La Société ne collecte, en principe, aucune donnée dite « sensible » au sens de l’article 9 du RGPD (données relatives à la santé, à l’origine raciale ou ethnique, aux convictions religieuses, à l’orientation sexuelle, aux opinions politiques, à l’appartenance syndicale, ou données biométriques et génétiques).

Par exception, dans le cadre de l’accessibilité des formations aux personnes en situation de handicap, certaines données relatives à la santé peuvent être recueillies avec le consentement explicite et préalable de la personne concernée (article 9.2 a) RGPD), ou sur la base d’une obligation légale applicable aux organismes de formation.

Ces données font l’objet de mesures de sécurité renforcées et sont accessibles uniquement aux personnes strictement habilitées.

Article 5 – Durées de conservation et archivage

5.1 Principes généraux

Les durées de conservation sont déterminées en fonction :

▸  des obligations légales et réglementaires applicables à l’activité de formation professionnelle ;

▸  des prescriptions civiles, commerciales et fiscales ;

▸  des finalités du traitement ;

▸  des recommandations de la CNIL.

5.2 Durées spécifiques applicables à Tricolor Expertise

▸  Dossiers apprenants / stagiaires : 5 ans à compter de la fin de la formation (prescription civile de droit commun, art. 2224 du Code civil).

▸  Documents relatifs aux formations financées (CPF, OPCO, fonds propres) : 6 ans conformément à l’article L6352-8-1 du Code du travail, tel que modifié par la Loi n°2026-534 du 25 juin 2026.

▸  Pièces comptables et factures : 10 ans à compter de la clôture de l’exercice (art. L123-22 du Code de commerce).

▸  Données prospects CRM : 3 ans à compter du dernier contact actif, conformément aux recommandations CNIL.

▸  Données de connexion et logs de sécurité : 1 an, conformément aux préconisations de l’ANSSI et à l’article R10-13 du Code des postes et des communications électroniques.

▸  Cookies et traceurs : 13 mois maximum à compter du dépôt, conformément aux délibérations CNIL n°2020-092 et 2023-023.

▸  Candidatures non retenues : 2 ans à compter du refus, sauf consentement du candidat à une durée prolongée.

▸  Données relatives aux formateurs et sous-traitants : 5 ans après la fin de la relation contractuelle.

Article 6 – Destinataires et transferts de données

6.1 Destinataires internes

L’accès aux données personnelles est strictement limité au personnel habilité de la Société, dans la mesure nécessaire à l’accomplissement de leurs missions. Des engagements de confidentialité sont formalisés pour tout collaborateur ou prestataire ayant accès aux données.

6.2 Destinataires externes (sous-traitants)

La Société peut être amenée à communiquer des données à des tiers dans les cas suivants :

▸  OPCO (Opérateurs de Compétences) et organismes financeurs : dans le cadre légal de la formation professionnelle (certificateur Qualiopi, DREETS, France Compétences).

▸  Prestataires techniques (hébergement, CRM, LMS, e-mail marketing) : uniquement sur la base d’un contrat de sous-traitance conforme à l’article 28 du RGPD, incluant les clauses obligatoires.

▸  Autorités administratives et judiciaires : sur réquisition légale (CNIL, DREETS, inspection du travail, autorités fiscales).

▸  Experts-comptables et commissaires aux comptes : dans le cadre des obligations légales de contrôle.

6.3 Transferts hors Union Européenne

La Société n’effectue pas de transfert de données personnelles vers des pays situés hors de l’Espace Économique Européen (EEE), sauf à disposer de garanties appropriées au sens des articles 44 à 49 du RGPD (décision d’adéquation de la Commission européenne, clauses contractuelles types approuvées, ou autre mécanisme reconnu).

Dans le cas exceptionnel où un prestataire serait établi hors UE, la Société s’assure préalablement de l’existence de garanties adéquates et le mentionne dans son Registre des Activités de Traitement.

Article 7 – Droits des personnes concernées

Conformément aux articles 15 à 22 du RGPD, toute personne dont les données sont traitées par la Société dispose des droits suivants :

▸  Droit d’accès (art. 15 RGPD) : obtenir la confirmation du traitement de vos données et en recevoir une copie.

▸  Droit de rectification (art. 16 RGPD) : demander la correction de toute donnée inexacte ou incomplète.

▸  Droit à l’effacement / « droit à l’oubli » (art. 17 RGPD) : obtenir la suppression de vos données dans les cas prévus par la loi, sous réserve des obligations légales de conservation.

▸  Droit à la limitation du traitement (art. 18 RGPD) : s’opposer temporairement au traitement de vos données en cas de contestation de leur exactitude ou d’opposition à leur traitement.

▸  Droit à la portabilité (art. 20 RGPD) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine.

▸  Droit d’opposition (art. 21 RGPD) : s’opposer à tout moment au traitement fondé sur l’intérêt légitime, notamment à des fins de prospection commerciale.

▸  Droit de ne pas faire l’objet d’une décision automatisée (art. 22 RGPD) : ne pas être soumis à une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques.

▸  Droit de retirer son consentement (art. 7.3 RGPD) : révoquer à tout moment un consentement préalablement donné, sans que cela remette en cause la licéité du traitement antérieur.

▸  Droit de définir des directives post-mortem (art. 85 LIL) : définir des instructions relatives au sort de vos données après votre décès.

Modalités d’exercice des droits

Pour exercer l’un de ces droits, la personne concernée peut adresser sa demande :

▸  Par email : contact@tricolorexpertise.fr (avec mention « Demande RGPD – Droit [préciser] »)

▸  Par courrier recommandé avec accusé de réception : Tricolor Expertise – RGPD, 15 rue des Halles, 75001 Paris

La Société s’engage à répondre dans un délai maximum d’un (1) mois à compter de la réception de la demande (art. 12.3 RGPD). Ce délai peut être prolongé de deux mois supplémentaires pour les demandes complexes, avec information motivée de la personne concernée.

Toute demande doit être accompagnée d’une copie d’un justificatif d’identité valide afin de permettre la vérification de l’identité du demandeur et d’éviter les usurpations.

Article 8 – Sécurité des données

Conformément à l’article 32 du RGPD, la Société met en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, notamment :

8.1 Mesures techniques

▸  Chiffrement des données en transit (protocole TLS/HTTPS) et au repos pour les données sensibles.

▸  Contrôle d’accès basé sur les rôles (RBAC) et gestion des habilitations.

▸  Journalisation des accès aux systèmes contenant des données personnelles.

▸  Procédures de sauvegarde régulières avec tests de restauration.

▸  Mise à jour et patching réguliers des systèmes d’information.

▸  Politique de gestion des mots de passe robuste (complexité, renouvellement, authentification multifacteur pour les accès sensibles).

8.2 Mesures organisationnelles

▸  Formation et sensibilisation régulière du personnel aux risques liés à la protection des données.

▸  Clauses de confidentialité dans les contrats de travail et avec les prestataires.

▸  Politique de bureau propre et d’écran verrouillé.

▸  Procédure de gestion des violations de données conforme à l’article 33 du RGPD.

▸  Revues périodiques des accès et des habilitations.

8.3 Gestion des violations de données

En cas de violation de données à caractère personnel (accès non autorisé, perte, destruction, divulgation), la Société s’engage à :

▸  Notifier la CNIL dans les 72 heures suivant la prise de connaissance, si la violation est susceptible d’engendrer un risque pour les droits et libertés des personnes (art. 33 RGPD).

▸  Informer les personnes concernées dans les meilleurs délais lorsque la violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés (art. 34 RGPD).

▸  Documenter toute violation, y compris celles ne donnant pas lieu à notification, dans un registre interne des violations.

Article 9 – Cookies et traceurs

Le site internet www.tricolorexpertise.fr utilise des cookies et traceurs conformément à la délibération CNIL n°2020-092 du 17 septembre 2020 et aux lignes directrices actualisées. La Société met en place une bannière de consentement permettant aux utilisateurs d’accepter ou de refuser le dépôt de cookies non essentiels.

Catégories de cookies utilisés

▸  Cookies strictement nécessaires : indispensables au fonctionnement du site (session, sécurité). Exemptés de consentement.

▸  Cookies de mesure d’audience / analytics : soumis au consentement préalable. Utilisés pour analyser le comportement de navigation (ex. : Google Analytics avec anonymisation IP ou équivalent conforme RGPD).

▸  Cookies de préférences : permettant de mémoriser les choix de l’utilisateur. Soumis au consentement.

Les choix de consentement peuvent être modifiés à tout moment via le gestionnaire de cookies accessible en bas de page du site.

Article 10 – Sous-traitance et responsabilité conjointe

Conformément à l’article 28 du RGPD, tout prestataire agissant en qualité de sous-traitant pour le compte de la Société est lié par un contrat ou acte juridique écrit comportant obligatoirement les clauses suivantes :

▸  Traitement des données uniquement sur instruction documentée du responsable de traitement.

▸  Obligation de confidentialité des personnes autorisées à traiter les données.

▸  Mise en œuvre de mesures de sécurité appropriées (art. 32 RGPD).

▸  Aide au responsable de traitement pour satisfaire les demandes d’exercice des droits.

▸  Suppression ou restitution des données à l’issue de la prestation.

▸  Mise à disposition de toutes les informations nécessaires pour démontrer la conformité.

La liste des sous-traitants principaux est disponible sur demande auprès de contact@tricolorexpertise.fr.

Article 11 – Analyse d’impact sur la vie privée (AIPD / DPIA)

Conformément à l’article 35 du RGPD, la Société procède à une Analyse d’Impact relative à la Protection des Données (AIPD) pour tout traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes, notamment :

▸  Traitements à grande échelle de données de stagiaires ou d’apprenants vulnérables.

▸  Utilisation de nouvelles technologies ou d’outils d’intelligence artificielle.

▸  Traitements croisant des données de sources multiples.

Les AIPD réalisées sont documentées et font l’objet d’une revue périodique, notamment en cas d’évolution du traitement ou du contexte réglementaire.

Article 12 – Dispositions spécifiques – Loi n°2026-534 du 25 juin 2026

La Loi n°2026-534 du 25 juin 2026 relative à la lutte contre les fraudes sociales et fiscales introduit des obligations renforcées applicables aux organismes de formation certifiés Qualiopi. En sa qualité d’organisme certifié, Tricolor Expertise respecte notamment :

▸  Archivage étendu à 6 ans : l’ensemble des pièces justificatives relatives aux actions de formation (émargements, évaluations, attestations, contrats de formation) sont archivées pour une durée de 6 ans, conformément au nouvel article L6352-8-1 du Code du travail.

▸  Vérification d’identité CPF : pour toute formation financée via le Compte Personnel de Formation, la Société met en œuvre des procédures de vérification de l’identité du bénéficiaire préalablement au démarrage et à l’issue de la formation.

▸  Traçabilité des qualifications des formateurs : les justificatifs de qualification et d’expérience des formateurs intervenant pour la Société sont conservés et accessibles lors de tout contrôle.

▸  Audit des communications commerciales : la Société s’assure que ses communications commerciales relatives à la formation professionnelle sont conformes aux exigences de la loi et ne comportent pas d’informations trompeuses sur les financements disponibles.

▸  Sanctions applicables : la Société a pris connaissance des sanctions administratives prévues par la loi (jusqu’à 4 000 € par manquement) et a mis en place les procédures internes nécessaires pour s’y conformer.

Article 13 – Droit à la réclamation auprès de la CNIL

Toute personne concernée dispose du droit d’introduire une réclamation auprès de l’autorité de contrôle compétente, sans préjudice de tout autre recours administratif ou juridictionnel (art. 77 RGPD).

En France, l’autorité de contrôle compétente est :

Commission Nationale de l’Informatique et des Libertés (CNIL) 3, place de Fontenoy – TSA 80715 – 75334 Paris Cedex 07 Tél : +33 (0)1 53 73 22 22 Site : www.cnil.fr | Formulaire de plainte en ligne : www.cnil.fr/plaintes

La Société encourage néanmoins les personnes concernées à la contacter directement en premier lieu pour tenter de résoudre amiablement toute difficulté.

Article 14 – Modification de la présente Charte

La présente Charte est susceptible d’être modifiée à tout moment pour refléter les évolutions législatives et réglementaires, les décisions de la CNIL ou de la Cour de Justice de l’Union Européenne, ou les évolutions des activités et systèmes de traitement de la Société.

Toute modification substantielle sera notifiée aux personnes concernées par email (pour les personnes dont nous disposons d’une adresse électronique) et/ou par une mention visible sur le site internet www.tricolorexpertise.fr, au moins 15 jours avant son entrée en vigueur.

La date de mise à jour figurant en première page et dans l’historique des versions ci-dessous fait foi.

Historique des versions

VersionDateAuteurModifications
1.0Janvier 2024Christelle MokdadVersion initiale
2.0Juillet 2026Christelle MokdadIntégration Loi n°2026-534, renforcement archivage CPF, mise à jour DPIA, art. 8 sécurité
Fait à Paris, le 1er juillet 2026
La Présidente de Tricolor Expertise
Christelle Mokdad

Social Share Buttons and Icons powered by Ultimatelysocial