TopTrainerTopTrainer.academy
Accueil
Entreprises
Onboarding, conformité, tableau de bord manager
Organismes de formation
Parcours, stagiaires, certifications vérifiables
TarifsContact
ConnexionEspaceDemander un espace
TopTrainer.academy

Plateforme de formation et simulation métier pour équipes opérationnelles.

Produit
  • Fonctionnalités
  • Tarifs
  • Demander un espace
Entreprise
  • Contact
  • Mentions légales
  • CGU
  • CGV
  • Confidentialité
  • Cookies
Support
  • support@toptrainer.academy
© 2026 TopTrainer.academy, tous droits réservés.

Documents légaux

  • Mentions légales
  • CGU, Conditions d'utilisation
  • CGV, Conditions de vente
  • Politique de confidentialité
  • Cookies

Version 1.0

Mise à jour : 19 avril 2026

Contact DPO : privacy@toptrainer.academy

Politique de confidentialité

La présente Politique de confidentialité décrit comment ⟨TopTrainer Academy⟩(ci-après « l’Éditeur », « nous ») collecte, utilise, partage, conserve et protège les données à caractère personnel traitées dans le cadre de la fourniture de la plateforme toptrainer.academy (ci-après « la Plateforme »).

Elle est rédigée conformément :

  • au Règlement (UE) 2016/679du 27 avril 2016 (ci-après « RGPD ») et à la loi française n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;
  • au Code du numérique du Bénin(loi n°2017-20 du 20 avril 2018), et au règlement intérieur de l’Autorité de Protection des Données à caractère Personnel (APDP-BJ) ;
  • à la loi ivoirienne n°2013-450du 19 juin 2013 relative à la protection des données à caractère personnel, ainsi qu’à ses décrets d’application (ARTCI / APDP Côte d’Ivoire) ;
  • à la loi sénégalaise n°2008-12 du 25 janvier 2008 sur la protection des données à caractère personnel, et aux lignes directrices de la Commission de protection des données personnelles (CDP Sénégal).

Article 1, Responsable du traitement

Le responsable du traitement des données à caractère personnel traitées via la Plateforme est :

  • ⟨TopTrainer Academy⟩
  • ⟨Cotonou, République du Bénin⟩, Bénin
  • Contact Délégué à la Protection des Données (DPO) : privacy@toptrainer.academy

Lorsqu’un Client (organisation) utilise la Plateforme pour traiter les données à caractère personnel de ses propres collaborateurs ou apprenants, il agit en qualité de responsable conjoint du traitement pour son périmètre, et l’Éditeur agit en qualité de sous-traitantau sens de l’article 28 RGPD. Les modalités de cette sous-traitance sont précisées dans un accord de traitement des données (DPA) fourni sur demande à privacy@toptrainer.academy.

Article 2, Données collectées et finalités

Nous collectons uniquement les données strictement nécessaires à la fourniture du service, au respect de nos obligations légales et à la sécurité de la Plateforme. Les catégories de données traitées sont les suivantes.

2.1 Compte et identité

  • Données collectées :email, nom et prénom, mot de passe (haché avec Argon2id), téléphone (optionnel), pays de résidence, langue préférée, horodatage de création, vérification d’email.
  • Finalité : créer et administrer un Compte, authentifier, transmettre les communications de service.
  • Base légale :exécution du contrat entre l’utilisateur et l’Éditeur (article 6.1.b du RGPD et équivalents BJ/CI/SN).
  • Durée de conservation :pendant toute la durée d’activité du Compte, puis 12 mois d’archivage à fin probatoire, sauf suppression demandée plus tôt par l’utilisateur.

2.2 Espace et facturation

  • Données collectées : raison sociale, adresse postale, numéro IFU/SIRET/RCCM, téléphone, email de facturation, montants facturés, numéros de facture, moyens de paiement masqués (quatre derniers chiffres, marque).
  • Finalité : établir les factures, encaisser les paiements, respecter les obligations fiscales et comptables.
  • Base légale : exécution du contrat et respect des obligations légales comptables (article 6.1.b et 6.1.c du RGPD ; articles 5 et 6 de la loi 2008-12 SN ; article 7 de la loi 2013-450 CI ; articles 385 et suivants du Code du numérique BJ).
  • Durée de conservation :10 ans à compter de la clôture de l’exercice comptable pour les pièces comptables (obligation fiscale), supprimée immédiatement ensuite.

2.3 Contenu pédagogique

  • Données collectées : cours, procédures, scénarios, questions de quiz, évaluations, transcriptions de sessions de simulation, scores, progression des apprenants.
  • Finalité : mettre en œuvre les fonctionnalités pédagogiques, évaluer les apprenants, délivrer des certifications, produire des statistiques anonymisées pour le pilotage interne du Client.
  • Base légale :exécution du contrat du Client avec son collaborateur/apprenant (le Client est responsable de traitement, l’Éditeur sous-traitant).
  • Durée de conservation :pendant toute la durée d’activité de l’Espace ; les sessions de simulation individuelles sont conservées jusqu’à 36 mois (configurable par l’Administrateur du Client), les certifications émises sont conservées sans limite pour en permettre la vérification.

2.4 Données techniques et journaux

  • Données collectées :adresse IP, type de navigateur et d’appareil, horodatage des requêtes, pages consultées, actions administratives (audit log), identifiant de session.
  • Finalité :assurer la sécurité, détecter les fraudes et tentatives d’intrusion, diagnostiquer les incidents, respecter nos obligations en matière de cybersécurité (notamment articles 500 et suivants du Code du numérique béninois et loi ivoirienne 2013-451).
  • Base légale :intérêt légitime de l’Éditeur à sécuriser la Plateforme (article 6.1.f du RGPD), et obligation légale en matière de conservation des journaux de connexion.
  • Durée de conservation :
    • journaux d’accès techniques : 12 mois, alignés sur les exigences de l’article 500 du Code du numérique BJ et de l’article L. 34-1 du Code des postes et communications électroniques français ;
    • audit log des actions sensibles (validation de procédure, émission de certificat, changement de rôle) : 5 ans à titre probatoire.

2.5 Journaux d’usage IA

  • Données collectées :date, tenant, utilisateur, type d’action IA (génération, évaluation, roleplay…), modèle utilisé, tokens consommés, durée d’appel, statut (succès / erreur). Le contenu intégral des prompts n’est pas conservé au-delà de la durée de la requête, sauf troncature anonymisée à fin de diagnostic (300 premiers caractères, purgée sous 30 jours).
  • Finalité : comptabiliser la consommation, facturer le dépassement de quota, détecter les abus, améliorer la qualité de service.
  • Base légale : exécution du contrat et intérêt légitime.
  • Durée de conservation :24 mois sous forme agrégée, 30 jours pour les logs détaillés.

2.6 Communications support

  • Données collectées : email, message, pièces jointes éventuelles, horodatage.
  • Finalité : traiter votre demande, améliorer notre service client.
  • Base légale : exécution du contrat (si client) ou intérêt légitime (si prospect).
  • Durée de conservation :3 ans après le dernier échange pour les clients ; 12 mois pour les prospects.

Article 3, Absence de profilage automatisé significatif

Les Services IA de la Plateforme peuvent produire des évaluations suggérées (scores, points de vigilance) sur les réponses d’un apprenant. Ces évaluations n’ont de valeur certificative qu’après validation humaine par un Validateur QA et ne produisent pas seules, de manière automatisée, des effets juridiques ou des décisions significatives affectant l’apprenant au sens de l’article 22 RGPD.

Lorsqu’une évaluation IA est utilisée par un Administrateur dans un processus ressources humaines (par exemple décision de promotion ou de sanction), l’Administrateur est responsable de s’assurer que la décision finale est prise par un être humain, et d’informer l’apprenant conformément aux règles applicables.

Article 4, Sous-traitants et partage des données

Nous faisons appel à un nombre limité de sous-traitants techniques soigneusement sélectionnés. Chaque sous-traitant est contractuellement engagé par un accord de traitement des données (DPA) comportant des clauses conformes à l’article 28 RGPD. La liste à jour des sous-traitants est la suivante.

Sous-traitantRôleDonnéesLocalisationBase transfert
Vercel Inc.Hébergement applicatif (compute + CDN)Toutes données de la Plateforme en transitRégion UE (Paris cdg1), société de droit américainClauses Contractuelles Types UE 2021/914 signées avec Vercel Inc.
DPA
Neon Inc.Base de données PostgreSQL (SaaS managé)Comptes, tenants, contenu pédagogique, sessions de simulation, journaux d'usage IARégion UE (Francfort), société de droit américainClauses Contractuelles Types UE 2021/914 signées avec Neon Inc.
DPA
Supabase Inc.Stockage de fichiers (médias, PDF, certificats)Documents téléversés, exports PDF, certificats, médias coursRégion UE (Francfort), société de droit singapourienClauses Contractuelles Types UE 2021/914.
DPA
KKiaPay SAPrestataire de paiement Mobile Money et carteIdentité client, numéro Mobile Money ou carte masquée, montantsCotonou, BéninTraitement intra-CEDEAO, pas de transfert hors zone d'adéquation.
DPA
Resend Inc.Envoi des emails transactionnelsAdresse email destinataire, nom, contenu du messageSan Francisco, Californie (USA)Clauses Contractuelles Types UE 2021/914 et certification Data Privacy Framework UE-US.
DPA
Vercel AI GatewayPasserelle vers les modèles IA (OpenAI, Anthropic, Google)Prompt utilisateur (PII masquée par défaut), sortie du modèleUSA (Vercel), modèles hébergés par leurs éditeurs respectifsClauses Contractuelles Types UE 2021/914. Option « no-training » activée par défaut.
DPA
ElevenLabs Inc.Synthèse vocale (TTS) pour les dialogues de scénariosTexte des répliques à vocaliser (aucune donnée utilisateur directe)USAClauses Contractuelles Types UE 2021/914.
DPA

Aucun partage de données avec des tiers à des fins publicitaires ou de profilage commercial n’est effectué. Nous n’installons aucun cookie tiers de suivi publicitaire.

Article 5, Transferts internationaux de données

La Plateforme héberge les bases de données et fichiers dans l’Union européenne (région Francfort pour la base de données et le stockage ; région Paris pour l’hébergement applicatif). Certains sous-traitants étant des entités américaines, des transferts ponctuels de données hors de l’UE peuvent avoir lieu, encadrés par :

  • les Clauses Contractuelles Types de la Commission européenne du 4 juin 2021 (décision 2021/914), pour les transferts vers les États-Unis et autres pays tiers ;
  • le Data Privacy Framework (DPF)UE-États-Unis adopté par la décision d’adéquation de la Commission européenne du 10 juillet 2023, lorsque le sous-traitant y est certifié ;
  • une analyse d’impact des transferts (TIA)documentée pour chaque sous-traitant concerné.

Dans le cadre du droit béninois (articles 391 à 395 du Code du numérique), ivoirien (articles 25 à 28 de la loi 2013-450) et sénégalais (articles 47 à 50 de la loi 2008-12), les transferts hors territoire national sont notifiés à l’APDP compétente, reposent sur des garanties contractuelles équivalentes et, lorsque requis, sur une autorisation préalable de l’autorité.

Article 6, Vos droits sur vos données

Conformément au RGPD et aux lois nationales applicables, vous disposez des droits suivants :

  • Droit d’accès : obtenir la confirmation que des données vous concernant sont traitées, et en recevoir une copie.
  • Droit de rectification : corriger des données inexactes ou incomplètes.
  • Droit à l’effacement (« droit à l’oubli ») : demander la suppression des données vous concernant, dans les limites des obligations légales de conservation.
  • Droit à la limitation : faire geler le traitement pendant un examen de contestation.
  • Droit à la portabilité : recevoir dans un format structuré (JSON) et couramment utilisé les données que vous nous avez fournies, et les faire transmettre à un autre responsable de traitement lorsque techniquement possible.
  • Droit d’opposition : vous opposer pour motif légitime à un traitement fondé sur notre intérêt légitime, et sans motif pour les traitements de prospection commerciale.
  • Droit de retrait du consentement : lorsque le traitement repose sur votre consentement, le retirer à tout moment sans affecter la licéité du traitement effectué antérieurement.
  • Droit de définir des directives post-mortem :conformément à l’article 85 de la loi française 78-17 modifiée, et aux dispositions équivalentes des lois béninoise, ivoirienne et sénégalaise.

Modalités d’exercice :adressez votre demande, accompagnée d’un justificatif d’identité, à privacy@toptrainer.academy. Nous répondons dans un délai maximum de 30 jours calendaires, prolongeable de 60 jours en cas de demande complexe (avec information préalable). Aucun frais n’est facturé, sauf demande manifestement infondée ou excessive.

Article 7, Réclamation auprès d’une autorité

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de l’autorité de contrôle compétente, selon votre pays de résidence ou le lieu de la violation :

  • France et Union européenne :Commission Nationale de l’Informatique et des Libertés (CNIL), 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, cnil.fr/fr/plaintes.
  • Bénin : Autorité de Protection des Données à caractère Personnel (APDP), 03 BP 4066 Cotonou, apdp.bj.
  • Côte d’Ivoire : Autorité de Régulation des Télécommunications et des TIC (ARTCI) / Autorité de Protection des Données à Caractère Personnel, 18 BP 2203 Abidjan 18, artci.ci.
  • Sénégal : Commission de Protection des Données Personnelles (CDP), sis au Point E, Avenue Cheikh Anta Diop × Rue 6, Dakar, cdp.sn.

Article 8, Sécurité des données

Nous mettons en œuvre des mesures techniques et organisationnelles de sécurité conformes à l’état de l’art et aux exigences des articles 32 RGPD, 395 du Code du numérique BJ, 28 de la loi 2013-450 CI et 34 de la loi 2008-12 SN.

  • chiffrement des communications en transit (TLS 1.2 minimum, 1.3 par défaut) ;
  • hachage des mots de passe avec Argon2id ;
  • chiffrement au repos des secrets sensibles (tokens, clés API) en AES-256-GCM avec rotation ;
  • isolation stricte entre Espaces (PostgreSQL Row-Level Security sur chaque table métier, filtrage obligatoire par tenant_id) ;
  • journaux d’audit immuables sur les actions sensibles et politique de rétention documentée ;
  • authentification forte TOTP disponible et obligatoire pour les super-administrateurs ;
  • revues de sécurité périodiques, tests de pénétration, politique de gestion des vulnérabilités ;
  • procédure documentée de notification de violation de données aux autorités compétentes (72 heures pour la CNIL, 48  heures pour l’APDP-BJ) et aux personnes concernées lorsque la violation présente un risque élevé.

Article 9, Mineurs

La Plateforme n’est pas destinée aux mineurs de moins de 15 ans. Les Administrateurs qui invitent des apprenants âgés de 15 à 18 ans doivent avoir recueilli au préalable l’autorisation du titulaire de l’autorité parentale, conformément à l’article 8 RGPD, à l’article 14 de la loi 2013-450 CI, à l’article 9 de la loi 2008-12 SN et à l’article 400 du Code du numérique BJ.

Article 10, Cookies et traceurs

La Plateforme utilise exclusivement des cookies et stockages locaux strictement nécessairesà la fourniture du service demandé par l’utilisateur :

  • grs-account-session, cookie de session d’authentification ;
  • grs-session, cookie de session tenant, scoped au sous-domaine concerné ;
  • préférences locales (langue, thème, brouillon de formulaire de demande d’espace) stockées en localStorage côté utilisateur uniquement.

Ces cookies sont exemptés de consentement au titre de l’article 82 de la loi française 78-17 et des lignes directrices équivalentes des APDP-BJ, APDP-CI et CDP-SN, car strictement nécessaires à la fourniture du service expressément demandé par l’utilisateur.

Le détail complet figure sur la page Cookies. La Plateforme n’utilise aucun cookie de suivi publicitaire, aucun pixel Meta, aucun Google Analytics sans consentement préalable. Les outils d’analyse interne employés (si activés) sont configurés en mode strictement anonymisé.

Article 11, Conservation et suppression

Les durées de conservation applicables à chaque catégorie de données sont précisées à l’article 2. À l’expiration de ces durées ou à la fin de la finalité poursuivie, les données sont :

  • soit effacées définitivement de nos systèmes principaux ;
  • soit anonymisées de manière irréversible pour conservation statistique ;
  • soit archivéesen base à accès restreint lorsque la conservation est exigée par une obligation légale (par exemple, 10 ans pour les pièces comptables).

Article 12, Modifications de la présente politique

La présente Politique est susceptible d’évoluer. Toute modification substantielle sera notifiée aux utilisateurs par email au moins 30 jours avant son entrée en vigueur, et la date de dernière mise à jour est indiquée en pied de cette page. Les versions antérieures sont conservées sur demande auprès du DPO.

Article 13, Contact DPO

Pour toute question relative à vos données, contactez notre Délégué à la Protection des Données :

  • Email (prioritaire) : privacy@toptrainer.academy
  • Courrier postal : ⟨TopTrainer Academy⟩, à l’attention du DPO, ⟨Cotonou, République du Bénin⟩, Bénin.

Version 1.0, dernière mise à jour le 19 avril 2026.