Cyvera← Retour au site

Politique de confidentialité

Version du 7 mai 2026

Préambule

La protection des données à caractère personnel est une priorité pour SCHMITT SWAN, éditeur de la plateforme Cyvera (ci-après « Cyvera » ou « nous »). La présente politique a pour objet d'informer les personnes concernées (Utilisateurs de la Plateforme et visiteurs du Site) :

  • des données collectées et traitées ;
  • des finalités poursuivies ;
  • des bases légales des traitements ;
  • des destinataires des données ;
  • des durées de conservation ;
  • des droits dont chacun dispose et des modalités pour les exercer.

Cette politique est conforme au Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée (loi « Informatique et Libertés »).

1. Identité du responsable de traitement

Le responsable de traitement, pour les traitements qu'il met en œuvre pour ses propres finalités, est :

  • SCHMITT SWAN — Entrepreneur individuel
  • SIREN : 104 403 084
  • Siège : 14 Allée Françoise Seligmann, 49460 Montreuil-Juigné, France
  • RCS : Angers
  • Email de contact : contact@cyvera.fr

Articulation avec les Clients : lorsque Cyvera traite des données pour le compte d'une organisation Cliente (ex. : gestion des Comptes des Collaborateurs, résultats de formation et de sensibilisation), Cyvera intervient en qualité de sous-traitant au sens de l'article 28 RGPD. Le Client est alors le responsable de traitement. Les modalités de cette sous-traitance sont décrites à l'article 8 des Conditions Générales de Vente.

2. Données collectées

Les données traitées sont :

2.1 Données de Compte

  • nom, prénom, adresse email professionnelle ;
  • mot de passe (stocké uniquement sous forme hachée par l'algorithme Argon2id, jamais en clair) ;
  • rôle (Collaborateur, Manager, Administrateur, Support) ;
  • profil métier (JobProfile) renseigné pour adapter le scoring de sensibilisation ;
  • indicateur d'activation de l'authentification à deux facteurs ;
  • date de dernière connexion.

2.2 Données pédagogiques

  • progression dans les cours suivis (CourseProgress) ;
  • résultats des missions de sensibilisation (MissionResult — score, temps passé, réponses) ;
  • résultats des missions de sensibilisation assignées dans le cadre de campagnes pédagogiques diffusées au sein de la Plateforme ;
  • plans d'action générés automatiquement (ActionPlan) ;
  • parcours de remédiation assignés et état d'avancement (RemediationPath, RemediationStep) ;
  • attestations émises (AttestationRecord).

2.3 Données d'équipe

  • appartenance à un groupe (TeamGroup) ;
  • livraisons de fiches réflexes hebdomadaires (WeeklyTipDelivery).

2.4 Données de support

  • tickets ouverts et messages échangés (SupportTicket, SupportMessage).

2.5 Données techniques et de sécurité

  • jetons d'activation et de réinitialisation de mot de passe (stockés sous forme hachée et à durée limitée) ;
  • entrées de limitation de débit (RateLimitEntry), incluant l'adresse IP, à des fins de prévention des abus et attaques ;
  • notifications applicatives (Notification) ;
  • journaux techniques nécessaires à la sécurité et au bon fonctionnement de la Plateforme.

3. Finalités et bases légales

Les données sont traitées pour les finalités suivantes :

FinalitéBase légale
Création, gestion et authentification du CompteExécution du contrat (art. 6.1.b RGPD)
Mise à disposition des modules de formation et de sensibilisation, suivi de progressionExécution du contrat
Génération d'attestations de formation et de sensibilisationExécution du contrat ; le cas échéant, obligation légale du Client (preuve de formation cybersécurité)
Pilotage par les Managers et Administrateurs (statistiques, plans d'action, parcours de remédiation)Exécution du contrat (entre Cyvera et le Client) ; intérêt légitime du Client (employeur) à la sensibilisation à la sécurité de ses salariés
Diffusion de campagnes pédagogiques de sensibilisation au sein de la PlateformeExécution du contrat (entre Cyvera et le Client) ; intérêt légitime du Client (employeur) à former ses salariés à la cybersécurité
Gestion du support utilisateur (tickets, messagerie)Exécution du contrat
Gestion commerciale et facturationExécution du contrat ; obligations comptables et fiscales (art. 6.1.c RGPD)
Sécurité de la Plateforme (rate-limiting, journalisation, lutte contre la fraude)Intérêt légitime de Cyvera à la sécurité de son service (art. 6.1.f RGPD)
Notifications produit et messages relatifs au serviceExécution du contrat
Communication marketing (le cas échéant)Consentement (art. 6.1.a RGPD), révocable à tout moment

Aucune décision entièrement automatisée produisant des effets juridiques sur les Utilisateurs (au sens de l'article 22 RGPD) n'est prise par la Plateforme. Les plans d'action et parcours de remédiation générés sont des suggestions à finalité pédagogique, soumises à l'appréciation du Manager ou de l'Administrateur.

4. Destinataires des données

Les données sont accessibles, en fonction des permissions et dans la stricte limite de leurs besoins :

  • aux Utilisateurs habilités au sein de l'organisation Cliente (Managers, Administrateurs) — pour le pilotage de la sensibilisation ;
  • aux équipes de Cyvera habilitées (notamment le rôle Support) — pour l'assistance et la maintenance de la Plateforme ;
  • aux sous-traitants techniques strictement nécessaires au fonctionnement du service (cf. article 5).

Les données ne font l'objet d'aucune cession ni location à des tiers à des fins commerciales.

5. Sous-traitants

Cyvera fait appel aux sous-traitants suivants, auxquels les obligations applicables au titre du RGPD sont contractuellement imposées :

Sous-traitantFinalitéLocalisation
OVH SAS (2 rue Kellermann, 59053 Roubaix Cedex 1)Hébergement de la Plateforme et des donnéesFrance (Union européenne)
OVH SAS (service email/SMTP)Envoi des emails transactionnels (activation de compte, réinitialisation de mot de passe, notifications)France (Union européenne)
Let's Encrypt (ISRG)Délivrance et renouvellement des certificats TLSÉtats-Unis (organisme à but non lucratif ; aucun traitement de données personnelles d'Utilisateurs)

Aucun transfert de données hors Union européenne n'est effectué dans le cadre du fonctionnement courant de la Plateforme. Le cas échéant, tout transfert serait encadré par les garanties prévues aux articles 44 et suivants du RGPD (clauses contractuelles types adoptées par la Commission européenne, notamment).

6. Durées de conservation

Catégorie de donnéesDurée de conservation
Données de Compte d'un Utilisateur actifDurée de l'abonnement du Client + délai d'export de 30 jours après résiliation
Données de Compte d'un Utilisateur désactivé par le Client30 jours après désactivation, puis suppression ou anonymisation
Résultats de formation et de sensibilisationPendant la durée de l'abonnement, puis 30 jours après résiliation
Attestations émises (AttestationRecord)5 ans à compter de leur émission (preuve de formation, audit RGPD)
Tickets et échanges support3 ans à compter de la clôture du ticket
Jetons d'activation et de réinitialisationÀ expiration (typiquement 1 heure pour les réinitialisations, 7 jours pour les activations), puis suppression
Journaux de sécurité (rate-limiting, IP)12 mois maximum
Données comptables et factures10 ans (article L.123-22 du Code de commerce)

À l'issue de ces durées, les données sont supprimées ou anonymisées de manière irréversible.

7. Cookies et traceurs

La Plateforme utilise un nombre strictement limité de cookies, exclusivement nécessaires à son fonctionnement.

Nom du cookieFinalitéDuréeConsentement requis ?
cyvera-sessionCookie de session JWT permettant l'authentification de l'Utilisateur. httpOnly, sameSite=strict, secure en production.4 heures (Administrateurs) / 8 heures (autres rôles)Non (cookie strictement nécessaire — exemption art. 82 LIL)

Aucun cookie de mesure d'audience tiers, ni cookie publicitaire, ni cookie de réseaux sociaux n'est déposé sur la Plateforme. Si tel devait être le cas à l'avenir, un mécanisme de recueil du consentement conforme aux recommandations de la CNIL serait mis en place.

8. Sécurité

Cyvera met en œuvre des mesures techniques et organisationnelles appropriées (article 32 RGPD) :

  • Mots de passe : stockés sous forme hachée par l'algorithme Argon2id (paramètres : memoryCost 64 Mo, timeCost 3, parallelism 4), conforme aux recommandations actuelles de la CNIL et de l'ANSSI ;
  • Authentification : jetons JWT signés en HMAC-SHA256, secret d'au moins 64 caractères, cookies httpOnly et sameSite=strict ;
  • 2FA : authentification à deux facteurs disponible pour tous les Utilisateurs ;
  • En-têtes HTTP de sécurité : Content-Security-Policy (CSP), Strict-Transport-Security avec preload (HSTS), X-Frame-Options: DENY, Permissions-Policy ;
  • Protection contre les attaques temporelles : comparaison des jetons en temps constant ;
  • Validation systématique des entrées : schémas Zod sur toutes les API publiques ;
  • Protection contre les injections : utilisation exclusive de l'ORM Prisma avec requêtes paramétrées, aucune concaténation SQL ;
  • Chiffrement en transit : TLS de bout en bout (certificats Let's Encrypt) ;
  • Limitation du débit (rate-limiting) sur les points d'entrée sensibles (authentification, réinitialisation de mot de passe, etc.) ;
  • Sauvegardes régulières de la base de données ;
  • Habilitations : accès aux données réservé aux personnels habilités, dans la stricte mesure de leurs besoins, sous engagement de confidentialité.

En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, Cyvera notifie cette violation à la CNIL dans les 72 heures, et informe les personnes concernées lorsque la violation est susceptible d'engendrer un risque élevé.

9. Droits des personnes concernées

Conformément aux articles 15 à 22 du RGPD et aux articles 49 et suivants de la loi « Informatique et Libertés », vous disposez à l'égard des données vous concernant des droits suivants :

  • Droit d'accès (art. 15 RGPD) : obtenir la confirmation que des données vous concernant sont traitées et en obtenir une copie ;
  • Droit de rectification (art. 16 RGPD) : faire corriger les données inexactes ou incomplètes ;
  • Droit à l'effacement (« droit à l'oubli », art. 17 RGPD) : faire supprimer les données vous concernant, sous réserve des cas où la conservation est nécessaire (notamment obligations légales) ;
  • Droit à la limitation du traitement (art. 18 RGPD) ;
  • Droit à la portabilité (art. 20 RGPD) : récupérer vos données dans un format structuré, couramment utilisé et lisible par machine ;
  • Droit d'opposition (art. 21 RGPD), notamment lorsqu'un traitement est fondé sur l'intérêt légitime ;
  • Droit de retirer votre consentement à tout moment, lorsque le traitement est fondé sur ce consentement, sans que cela n'affecte la licéité des traitements antérieurs ;
  • Droit de définir des directives relatives au sort de vos données après votre décès (article 85 de la loi « Informatique et Libertés »).

Modalités d'exercice

Pour exercer ces droits, vous pouvez :

  • Si vous êtes Utilisateur d'une organisation Cliente : adresser votre demande en priorité à votre employeur (responsable de traitement), qui sollicitera Cyvera si nécessaire ;
  • Dans tous les cas : nous adresser une demande à contact@cyvera.fr, ou par courrier postal à l'adresse du siège indiquée à l'article 1.

Une réponse vous sera apportée dans un délai d'un (1) mois à compter de la réception de la demande, susceptible d'être prolongé de deux (2) mois compte tenu de la complexité ou du nombre de demandes (article 12.3 RGPD). Une pièce d'identité pourra être demandée en cas de doute raisonnable sur l'identité du demandeur.

Réclamation auprès de la CNIL

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

10. Précisions relatives au module de sensibilisation

Le module de sensibilisation propose des missions interactives intégralement réalisées au sein de la Plateforme (boîte de réception fictive, scénarios de mise en situation, détection d'indices). Cyvera n'envoie aucun email frauduleux simulé sur la messagerie réelle des Collaborateurs et ne réalise aucune surveillance du comportement des Utilisateurs en dehors de la Plateforme. Il s'agit d'un outil pédagogique d'e-learning interactif, dont la nature est comparable à celle des quiz et exercices d'apprentissage en ligne.

Le traitement des résultats individuels de ces missions repose sur :

  • l'exécution du contrat entre Cyvera et le Client (mise à disposition d'une plateforme de formation) ;
  • l'intérêt légitime du Client (employeur) à former ses salariés aux risques de cybersécurité, conformément à ses obligations de sécurisation du système d'information.

Conformément aux principes de loyauté et de transparence applicables aux traitements impliquant des données de salariés (article L.1222-4 du Code du travail) :

  • le Client est invité à informer ses Collaborateurs de l'utilisation de la Plateforme à des fins de formation et de sensibilisation, ainsi que des modalités de suivi de leur progression ;
  • les résultats individuels n'ont pas vocation à fonder, à eux seuls, une sanction disciplinaire ; ils sont destinés à orienter les actions de formation et de sensibilisation, individuelles et collectives ;
  • les Collaborateurs disposent à l'égard de leurs résultats des droits prévus à l'article 9 de la présente politique (accès, rectification, etc.).

À la différence des dispositifs de simulation de phishing par envoi d'emails réels, les missions internes de la Plateforme ne constituent pas, en elles-mêmes, un dispositif de surveillance de l'activité des salariés au sens de l'article L.2312-38 du Code du travail. Le Client reste néanmoins seul juge de l'opportunité de consulter ses instances représentatives du personnel s'il l'estime utile au regard de sa propre politique sociale.

11. Mineurs

La Plateforme est destinée à un usage professionnel. Aucune donnée concernant des mineurs n'est intentionnellement collectée. Si un Client estime qu'un mineur a fourni des données via la Plateforme, il est invité à nous contacter pour obtenir leur suppression.

12. Modifications de la présente politique

Cyvera se réserve le droit de modifier la présente politique afin notamment de l'adapter aux évolutions législatives, réglementaires, jurisprudentielles ou techniques. Les modifications substantielles sont notifiées aux Utilisateurs par email et/ou notification sur la Plateforme, au moins trente (30) jours avant leur entrée en vigueur. La date de dernière mise à jour figure en tête de la présente politique.

13. Contact

Pour toute question relative à la présente politique ou à l'exercice de vos droits :

  • Email : contact@cyvera.fr
  • Courrier : SCHMITT SWAN — Cyvera — 14 Allée Françoise Seligmann, 49460 Montreuil-Juigné, France