Politique de protection des données de la société WILL
Dernière mise à jour : avril 2025
1. Présentation de la société
La société WILL, représentée par Pierre Fournier (Président et Délégué à la Protection des Données – DPO), est une structure à taille humaine spécialisée dans la formation managériale et le développement personnel à travers une application web. Nous sommes actuellement une équipe de deux salariés, accompagnée par un prestataire informatique indépendant, Robin Fourratier.
2. Engagement général
WILL s’engage à respecter les dispositions du Règlement Général sur la Protection des Données (RGPD) et à garantir la confidentialité, la sécurité et la transparence dans le traitement des données personnelles de ses utilisateurs.
Nous adoptons une approche raisonnée et proportionnée à notre taille et à nos risques, tout en mettant en œuvre les meilleures pratiques disponibles à notre niveau.
3. Données collectées
a. Données personnelles de base
Lorsque les utilisateurs créent un compte sur notre application https://app.will-agent.com, nous collectons :
- Nom, prénom
- Adresse email
- Mot de passe (crypté)
- Organisation éventuelle (entreprise, groupe)
Ces données sont nécessaires à l’accès sécurisé à l’espace personnel de l’utilisateur.
b. Données sensibles (comportement professionnel)
Lors de l’utilisation de la méthode WILL, les utilisateurs peuvent être amenés à :
- Compléter des exercices relatifs à leur posture managériale
- Décrire des situations professionnelles
- Enregistrer des réflexions ou évaluations personnelles
Ces données sont potentiellement sensibles car elles relèvent du vécu professionnel. Elles sont volontairement saisies par les utilisateurs et ne font l’objet d’aucune analyse automatisée, ni profilage.
4. Sécurité des données
- Les données sont hébergées dans un environnement sécurisé avec authentification par mot de passe.
- L’accès est limité aux personnes autorisées (salariés et prestataire informatique uniquement si nécessaire à la maintenance).
- Tous les échanges sont chiffrés en HTTPS.
- Aucune donnée sensible n’est stockée en clair.
5. Durée de conservation
- Les comptes inactifs depuis plus d’un an feront l’objet d’un nettoyage automatique à partir de juin 2025.
- Les utilisateurs peuvent à tout moment demander la suppression de leur compte via contact@will-agent.com.
6. Sous-traitants et prestataires
Nous travaillons avec les prestataires suivants, tous conformes au RGPD et basés dans l’Union Européenne ou disposant d’une certification Privacy Shield (ou équivalent) si basés hors UE :
Finalité | Prestataire | Données concernées |
CRM | Pipedrive | Contacts clients (B2B) |
Emailing relationnel | Mailchimp | Email, prénom |
Emailing transactionnel | Sendgrid | Email, identifiant technique |
Application web (frontend) | Bubble | Données de session utilisateur |
Gestion centre de formation | Dendréo | Participants, attestations, e-signature, replays |
7. Droits des utilisateurs
Chaque utilisateur dispose de :
- Droit d’accès à ses données
- Droit de rectification
- Droit d’opposition
- Droit à la limitation
- Droit à l’effacement
Les demandes peuvent être envoyées à : will@will-agent.com ou via le formulaire de contact.
Chaque demande est :
- accusée réception sous 48h
- analysée dans un délai maximal d’un mois (conformément au RGPD),
- et traitée manuellement avec l’appui de notre prestataire informatique Robin Fourratier si nécessaire (ex : suppression de compte ou extraction de données).
Les actions réalisées sont tracées dans un registre de suivi des demandes, que nous tenons à jour en interne à des fins de conformité.
8. Responsable du traitement / DPO
Le responsable du traitement est : Pierre Fournier
Président et DPO
contact@will-agent.com
9. Évolutions de la politique
Cette politique pourra être mise à jour à tout moment. Les utilisateurs seront informés par email ou directement via l’application en cas de modification substantielle.
Annexe 1 : registre simplifié du traitement des données
En tant qu’entreprise de moins de 250 salariés, nous ne sommes pas soumis à l’obligation de tenir un registre de traitements exhaustif, sauf en cas de traitements sensibles ou non occasionnels.
Cependant, dans une démarche de conformité RGPD, nous tenons un registre simplifié des traitements réalisés dans le cadre de nos prestations, notamment pour notre application https://app.will-agent.com, qui peut impliquer des données sensibles (comportement au travail).
Ce registre recense :
- Les finalités des traitements (exercices pédagogiques, suivi utilisateur)
- Les catégories de données concernées
- Les mesures de sécurité mises en place
- Les durées de conservation
- Les sous-traitants impliqués (Bubble, Dendréo, Mailchimp, etc.)
Nom du traitement | Finalité | Catégories de données | Base légale | Durée de conservation | Sous-traitants |
Gestion des comptes utilisateurs | Accès à l'application WILL et aux contenus pédagogiques | Nom, prénom, email, mot de passe (crypté) | Contrat / consentement | 1 an après la dernière activité | Bubble, Sendgrid |
Exercices pédagogiques et auto-évaluations | Accompagnement managérial personnalisé | Contenus renseignés volontairement par l'utilisateur (comportement, réflexions) | Consentement explicite | 1 an après la dernière activité | Bubble |
Envoi d’emails (transactionnels et relationnels) | Notifications d’usage, relances, contenus pédagogiques | Email, prénom, identifiant technique | Intérêt légitime / contrat | Durée de la relation utilisateur | Mailchimp, Sendgrid |
Gestion administrative des formations | Gestion des inscriptions, signature, attestations | Nom, prénom, email, présence, signatures, replays | Obligation légale / contrat | 5 ans (archivage légal des formations) | Dendréo |
Suivi commercial B2B | Prospection et suivi des entreprises clientes | Nom, prénom, email pro, fonction | Intérêt légitime | 3 ans après dernier contact | Pipedrive |
Annexe 2 : Privacy by design
En tant que structure de petite taille (2 salariés), nous n’avons pas mis en place un processus formalisé et systématique d’analyse de conformité Privacy by Design / by Default tel qu’il peut exister dans de grandes organisations.
Toutefois, nous appliquons ces principes dès la conception de nos traitements, en tenant compte de leur finalité, de leur sensibilité potentielle, et en limitant systématiquement :
- la quantité de données collectées (minimisation),
- la durée de conservation (nettoyage automatique après 12 mois d’inactivité),
- les destinataires (accès strictement restreint aux équipes internes et au prestataire informatique),
- la visibilité (aucune donnée exposée sans authentification).
À titre d'exemple :
- Notre application web https://app.will-agent.com requiert une authentification pour accéder à toute donnée personnelle ou sensible.
- Les données potentiellement sensibles (liées aux comportements au travail) sont renseignées volontairement par l’utilisateur et non visibles par défaut par l’équipe support.
- Le développement de fonctionnalités est systématiquement évalué avec notre prestataire (Robin Fourratier) sous l’angle de la sécurité et de la confidentialité.
Nous documentons ces réflexions au fil de l’eau dans notre registre simplifié des traitements et nos échanges avec notre prestataire. Un processus de revue annuelle est prévu.
Annexe 3 : gestion des incidents et violation de données
Nous avons mis en place un processus proportionné de gestion des incidents et violations de données, adapté à la taille de notre structure.
Ce processus repose sur les principes suivants :
1. Détection et signalement
Tout incident ou suspicion de faille de sécurité est immédiatement signalé par notre prestataire informatique (Robin Fourratier) ou par un membre de l’équipe à notre DPO (Pierre Fournier).
2. Qualification de l’incident
Le DPO analyse les faits pour déterminer s’il s’agit :
- d’un simple bug non critique,
- ou d’une violation de données à caractère personnel au sens du RGPD.
3. Notification (si nécessaire)
En cas de risque pour les droits et libertés des personnes concernées, une notification :
- est faite à la CNIL sous 72 heures, si nécessaire,
- et aux personnes concernées, de manière claire et transparente.
4. Traçabilité et amélioration
- Chaque incident est consigné dans un registre interne.
- Des mesures correctives sont définies avec notre prestataire pour éviter la récurrence.
Nous n’avons à ce jour jamais connu de violation de données nécessitant notification. Toutefois, nous avons testé ce processus en interne pour en garantir la réactivité.
Annexe 4 : Politique de conservation des données
Nous avons mis en place une politique de conservation des données adaptée à nos activités et à la nature des données traitées.
Durées de conservation :
- Comptes inactifs : purge automatique après 12 mois d’inactivité (mise en place en 2025).
- Données liées aux formations : conservées 5 ans, conformément à nos obligations légales (via Dendréo).
- Données commerciales (CRM) : conservées 3 ans après le dernier contact actif.
Pour information, les données commerciales sont gérées via Pipedrive, qui ne propose pas nativement de purge automatique par date d’inactivité.
Cependant, nous avons mis en place une politique interne de nettoyage annuel, combinée à des filtres personnalisés, pour identifier les contacts sans activité depuis 3 ans. Ces contacts peuvent être :
- supprimés manuellement en masse,
- ou anonymisés via un export/retraitement.
Nous sommes également en capacité d’automatiser ce processus via un scénario Make ou Zapier si cela est exigé par un donneur d’ordre.
Mécanismes de purge :
- ✅ Automatique : via une règle programmée dans notre app pour les comptes inactifs.
- ✅ Manuelle : possible à tout moment par notre DPO ou notre prestataire informatique à la demande de l’utilisateur ou du client.
- ✅ À la demande / en masse : traitement possible sur demande spécifique (ex : lot de comptes à anonymiser ou supprimer).
- 🛡️ Anonymisation :
- Une anonymisation manuelle est possible pour les retours d'expérience pédagogiques ou exports statistiques, sur demande.
- Nous n'avons pas encore de mécanisme automatique d’anonymisation à grande échelle, mais cette option peut être envisagée dans le cadre d’une collaboration spécifique.
Personnalisation des durées :
Les durées de conservation peuvent être ajustées par un donneur d’ordre, dans la mesure du raisonnable, notamment pour des durées plus courtes ou une anonymisation à échéance.