Logo
  • Formation
  • Méthode
  • Tarifs
  • Témoignages
  • Ressources
Contact / Aide

Protection des données

Politique de protection des données de la société WILL

Dernière mise à jour : avril 2025

1. Présentation de la société

La société WILL, représentée par Pierre Fournier (Président et Délégué à la Protection des Données – DPO), est une structure à taille humaine spécialisée dans la formation managériale et le développement personnel à travers une application web. Nous sommes actuellement une équipe de deux salariés, accompagnée par un prestataire informatique indépendant, Robin Fourratier.

2. Engagement général

WILL s’engage à respecter les dispositions du Règlement Général sur la Protection des Données (RGPD) et à garantir la confidentialité, la sécurité et la transparence dans le traitement des données personnelles de ses utilisateurs.

Nous adoptons une approche raisonnée et proportionnée à notre taille et à nos risques, tout en mettant en œuvre les meilleures pratiques disponibles à notre niveau.

3. Données collectées

a. Données personnelles de base

Lorsque les utilisateurs créent un compte sur notre application https://app.will-agent.com, nous collectons :

  • Nom, prénom
  • Adresse email
  • Mot de passe (crypté)
  • Organisation éventuelle (entreprise, groupe)

Ces données sont nécessaires à l’accès sécurisé à l’espace personnel de l’utilisateur.

b. Données sensibles (comportement professionnel)

Lors de l’utilisation de la méthode WILL, les utilisateurs peuvent être amenés à :

  • Compléter des exercices relatifs à leur posture managériale
  • Décrire des situations professionnelles
  • Enregistrer des réflexions ou évaluations personnelles

Ces données sont potentiellement sensibles car elles relèvent du vécu professionnel. Elles sont volontairement saisies par les utilisateurs et ne font l’objet d’aucune analyse automatisée, ni profilage.

4. Sécurité des données

  • Les données sont hébergées dans un environnement sécurisé avec authentification par mot de passe.
  • L’accès est limité aux personnes autorisées (salariés et prestataire informatique uniquement si nécessaire à la maintenance).
  • Tous les échanges sont chiffrés en HTTPS.
  • Aucune donnée sensible n’est stockée en clair.

5. Durée de conservation

  • Les comptes inactifs depuis plus d’un an feront l’objet d’un nettoyage automatique à partir de juin 2025.
  • Les utilisateurs peuvent à tout moment demander la suppression de leur compte via contact@will-agent.com.

6. Sous-traitants et prestataires

Nous travaillons avec les prestataires suivants, tous conformes au RGPD et basés dans l’Union Européenne ou disposant d’une certification Privacy Shield (ou équivalent) si basés hors UE :

Finalité
Prestataire
Données concernées
CRM
Pipedrive
Contacts clients (B2B)
Emailing relationnel
Mailchimp
Email, prénom
Emailing transactionnel
Sendgrid
Email, identifiant technique
Application web (frontend)
Bubble
Données de session utilisateur
Gestion centre de formation
Dendréo
Participants, attestations, e-signature, replays

7. Droits des utilisateurs

Chaque utilisateur dispose de :

  • Droit d’accès à ses données
  • Droit de rectification
  • Droit d’opposition
  • Droit à la limitation
  • Droit à l’effacement

Les demandes peuvent être envoyées à : will@will-agent.com ou via le formulaire de contact.

Chaque demande est :

  • accusée réception sous 48h
  • analysée dans un délai maximal d’un mois (conformément au RGPD),
  • et traitée manuellement avec l’appui de notre prestataire informatique Robin Fourratier si nécessaire (ex : suppression de compte ou extraction de données).

Les actions réalisées sont tracées dans un registre de suivi des demandes, que nous tenons à jour en interne à des fins de conformité.

8. Responsable du traitement / DPO

Le responsable du traitement est : Pierre Fournier

Président et DPO

contact@will-agent.com

9. Évolutions de la politique

Cette politique pourra être mise à jour à tout moment. Les utilisateurs seront informés par email ou directement via l’application en cas de modification substantielle.

Annexe 1 : registre simplifié du traitement des données

En tant qu’entreprise de moins de 250 salariés, nous ne sommes pas soumis à l’obligation de tenir un registre de traitements exhaustif, sauf en cas de traitements sensibles ou non occasionnels.

Cependant, dans une démarche de conformité RGPD, nous tenons un registre simplifié des traitements réalisés dans le cadre de nos prestations, notamment pour notre application https://app.will-agent.com, qui peut impliquer des données sensibles (comportement au travail).

Ce registre recense :

  • Les finalités des traitements (exercices pédagogiques, suivi utilisateur)
  • Les catégories de données concernées
  • Les mesures de sécurité mises en place
  • Les durées de conservation
  • Les sous-traitants impliqués (Bubble, Dendréo, Mailchimp, etc.)
Nom du traitement
Finalité
Catégories de données
Base légale
Durée de conservation
Sous-traitants
Gestion des comptes utilisateurs
Accès à l'application WILL et aux contenus pédagogiques
Nom, prénom, email, mot de passe (crypté)
Contrat / consentement
1 an après la dernière activité
Bubble, Sendgrid
Exercices pédagogiques et auto-évaluations
Accompagnement managérial personnalisé
Contenus renseignés volontairement par l'utilisateur (comportement, réflexions)
Consentement explicite
1 an après la dernière activité
Bubble
Envoi d’emails (transactionnels et relationnels)
Notifications d’usage, relances, contenus pédagogiques
Email, prénom, identifiant technique
Intérêt légitime / contrat
Durée de la relation utilisateur
Mailchimp, Sendgrid
Gestion administrative des formations
Gestion des inscriptions, signature, attestations
Nom, prénom, email, présence, signatures, replays
Obligation légale / contrat
5 ans (archivage légal des formations)
Dendréo
Suivi commercial B2B
Prospection et suivi des entreprises clientes
Nom, prénom, email pro, fonction
Intérêt légitime
3 ans après dernier contact
Pipedrive

Annexe 2 : Privacy by design

En tant que structure de petite taille (2 salariés), nous n’avons pas mis en place un processus formalisé et systématique d’analyse de conformité Privacy by Design / by Default tel qu’il peut exister dans de grandes organisations.

Toutefois, nous appliquons ces principes dès la conception de nos traitements, en tenant compte de leur finalité, de leur sensibilité potentielle, et en limitant systématiquement :

  • la quantité de données collectées (minimisation),
  • la durée de conservation (nettoyage automatique après 12 mois d’inactivité),
  • les destinataires (accès strictement restreint aux équipes internes et au prestataire informatique),
  • la visibilité (aucune donnée exposée sans authentification).

À titre d'exemple :

  • Notre application web https://app.will-agent.com requiert une authentification pour accéder à toute donnée personnelle ou sensible.
  • Les données potentiellement sensibles (liées aux comportements au travail) sont renseignées volontairement par l’utilisateur et non visibles par défaut par l’équipe support.
  • Le développement de fonctionnalités est systématiquement évalué avec notre prestataire (Robin Fourratier) sous l’angle de la sécurité et de la confidentialité.

Nous documentons ces réflexions au fil de l’eau dans notre registre simplifié des traitements et nos échanges avec notre prestataire. Un processus de revue annuelle est prévu.

Annexe 3 : gestion des incidents et violation de données

Nous avons mis en place un processus proportionné de gestion des incidents et violations de données, adapté à la taille de notre structure.

Ce processus repose sur les principes suivants :

1. Détection et signalement

Tout incident ou suspicion de faille de sécurité est immédiatement signalé par notre prestataire informatique (Robin Fourratier) ou par un membre de l’équipe à notre DPO (Pierre Fournier).

2. Qualification de l’incident

Le DPO analyse les faits pour déterminer s’il s’agit :

  • d’un simple bug non critique,
  • ou d’une violation de données à caractère personnel au sens du RGPD.

3. Notification (si nécessaire)

En cas de risque pour les droits et libertés des personnes concernées, une notification :

  • est faite à la CNIL sous 72 heures, si nécessaire,
  • et aux personnes concernées, de manière claire et transparente.

4. Traçabilité et amélioration

  • Chaque incident est consigné dans un registre interne.
  • Des mesures correctives sont définies avec notre prestataire pour éviter la récurrence.

Nous n’avons à ce jour jamais connu de violation de données nécessitant notification. Toutefois, nous avons testé ce processus en interne pour en garantir la réactivité.

Annexe 4 : Politique de conservation des données

Nous avons mis en place une politique de conservation des données adaptée à nos activités et à la nature des données traitées.

Durées de conservation :

  • Comptes inactifs : purge automatique après 12 mois d’inactivité (mise en place en 2025).
  • Données liées aux formations : conservées 5 ans, conformément à nos obligations légales (via Dendréo).
  • Données commerciales (CRM) : conservées 3 ans après le dernier contact actif.

Pour information, les données commerciales sont gérées via Pipedrive, qui ne propose pas nativement de purge automatique par date d’inactivité.

Cependant, nous avons mis en place une politique interne de nettoyage annuel, combinée à des filtres personnalisés, pour identifier les contacts sans activité depuis 3 ans. Ces contacts peuvent être :

  • supprimés manuellement en masse,
  • ou anonymisés via un export/retraitement.

Nous sommes également en capacité d’automatiser ce processus via un scénario Make ou Zapier si cela est exigé par un donneur d’ordre.

Mécanismes de purge :

  • ✅ Automatique : via une règle programmée dans notre app pour les comptes inactifs.
  • ✅ Manuelle : possible à tout moment par notre DPO ou notre prestataire informatique à la demande de l’utilisateur ou du client.
  • ✅ À la demande / en masse : traitement possible sur demande spécifique (ex : lot de comptes à anonymiser ou supprimer).
  • 🛡️ Anonymisation :
    • Une anonymisation manuelle est possible pour les retours d'expérience pédagogiques ou exports statistiques, sur demande.
    • Nous n'avons pas encore de mécanisme automatique d’anonymisation à grande échelle, mais cette option peut être envisagée dans le cadre d’une collaboration spécifique.

Personnalisation des durées :

Les durées de conservation peuvent être ajustées par un donneur d’ordre, dans la mesure du raisonnable, notamment pour des durées plus courtes ou une anonymisation à échéance.

Logo

Aide

Session découverte

APP WILL

Livre

Cartes

Blog

Manifesto

Équipe

Questions fréquentes

Newsletter

Témoignages

Partenaires

Protection des données

Evenements

@WILL 2022, all rights reserved. Dessins : Tommy Dessine. Site : WILL. App : Noxcod

LinkedIn