Notre philosophie de traitement des informations

Chez polynarveth, nous appréhendons les détails personnels à travers le prisme de la responsabilité active. Chaque élément d'information que nous détenons existe pour servir un besoin opérationnel précis lié à votre parcours éducatif dans l'univers de l'analyse financière.

Cette approche implique que nous n'accumulons jamais de données par anticipation. L'acquisition d'informations survient au moment exact où elle devient indispensable pour rendre effective une fonctionnalité que vous avez sollicitée. Ce principe directeur guide l'ensemble de nos pratiques de gestion des données.

Les circonstances qui génèrent des données

Consultation de nos ressources pédagogiques

Lorsque vous parcourez polynarveth.com, votre navigateur transmet automatiquement certaines métadonnées techniques : type de périphérique utilisé, version du logiciel de navigation, adresse IP attribuée par votre fournisseur d'accès. Ces éléments sont capturés dans des journaux système temporaires.

Cette collecte automatique sert exclusivement à maintenir la stabilité de notre plateforme. Elle nous permet de détecter des anomalies techniques, d'identifier des tentatives d'accès non autorisé, et d'optimiser les temps de chargement en fonction des configurations matérielles les plus fréquentes.

Échanges directs initiés par vous

Différentes situations peuvent vous amener à nous transmettre volontairement des informations :

• Remplissage du formulaire de prise de contact : nom complet, adresse électronique, numéro de téléphone optionnel, et contenu de votre message
• Inscription à notre bulletin d'information mensuel sur les fondamentaux de l'analyse financière : uniquement votre adresse courriel
• Participation à des séances de questions-réponses en direct : pseudonyme ou identité complète selon votre préférence
• Téléchargement de guides pratiques avancés : adresse électronique requise pour transmission du document

Dans chacun de ces scénarios, vous contrôlez précisément quelles informations vous partagez. Nous ne récupérons jamais de données en arrière-plan au-delà de ce que vous avez explicitement fourni dans les formulaires.

Création d'un espace personnel (fonctionnalité prévue pour 2026)

À partir du deuxième trimestre 2026, nous introduirons la possibilité de créer un compte utilisateur pour suivre votre progression dans nos modules d'apprentissage. Cette fonctionnalité nécessitera la fourniture d'un identifiant unique, d'un mot de passe sécurisé, et d'une adresse électronique de récupération.

L'espace personnel enregistrera automatiquement votre avancement dans les différents parcours pédagogiques, vos préférences d'affichage, et l'historique des ressources consultées. Ces informations servent un seul objectif : vous permettre de reprendre votre apprentissage là où vous l'aviez interrompu, quel que soit l'appareil utilisé.

Les raisons qui justifient notre manipulation des données

Chaque catégorie d'information collectée répond à une nécessité opérationnelle identifiable. Voici la logique fonctionnelle derrière nos pratiques :

Assurer la continuité technique

Les métadonnées de connexion (adresses IP, signatures de navigateurs) nous aident à maintenir l'intégrité de notre infrastructure. Elles permettent de bloquer des tentatives d'intrusion automatisées, d'équilibrer la charge entre nos serveurs, et de diagnostiquer des problèmes d'affichage signalés par certains utilisateurs.

Sans ces éléments, nous serions incapables de garantir un accès stable à nos contenus pédagogiques. La durée de conservation de ces journaux techniques ne dépasse jamais 90 jours, après quoi ils sont purgés de manière irréversible.

Établir une communication bidirectionnelle

Lorsque vous nous contactez via le formulaire dédié, les coordonnées fournies permettent à notre équipe de vous répondre de façon personnalisée. Votre adresse électronique garantit que notre réponse parvienne directement dans votre boîte de réception, tandis que le numéro de téléphone optionnel offre une voie alternative pour les échanges nécessitant davantage de réactivité.

Le contenu de vos messages est conservé aussi longtemps que notre échange reste actif. Une fois la conversation terminée et votre demande satisfaite, nous archivons la correspondance pendant 36 mois maximum pour référence historique, puis la supprimons définitivement.

Diffuser des ressources éducatives ciblées

Notre bulletin mensuel s'appuie sur les adresses électroniques collectées lors de l'inscription volontaire. Nous utilisons ces coordonnées exclusivement pour transmettre du contenu pédagogique relatif aux bases de l'analyse financière : décryptages de concepts comptables, études de cas d'entreprises cotées, recommandations de lectures spécialisées.

Chaque envoi comporte un lien de désinscription fonctionnel qui retire immédiatement votre adresse de notre liste de diffusion. Aucune justification n'est requise pour exercer ce retrait.

Personnaliser l'expérience d'apprentissage

Les futurs comptes utilisateurs enregistreront votre progression dans nos modules pour adapter les recommandations de contenu. Si vous avez déjà maîtrisé les fondamentaux de la lecture de bilans comptables, notre système évitera de vous suggérer des ressources d'introduction sur ce thème.

Cette personnalisation repose entièrement sur l'historique de vos interactions avec nos contenus. Elle n'implique aucune analyse comportementale externe à notre plateforme ni aucun croisement avec des sources de données tierces.

Qui manipule concrètement vos informations

Au sein de polynarveth, l'accès aux données personnelles est strictement compartimenté selon des rôles fonctionnels prédéfinis. Notre équipe pédagogique consulte les messages reçus via le formulaire de contact pour préparer des réponses pertinentes. Notre responsable technique accède aux journaux système lors d'investigations de sécurité ou de résolutions d'incidents.

Personne chez polynarveth ne dispose d'un accès global et permanent à l'ensemble des informations collectées. Chaque consultation est tracée dans un registre d'audit interne qui consigne l'identité de la personne ayant accédé aux données, l'horodatage précis, et la justification opérationnelle de cet accès.

Interventions d'entités externes

Certaines opérations techniques nécessitent le recours à des partenaires spécialisés qui, par nature, entrent en contact avec vos informations :

• Hébergement de l'infrastructure : Nos serveurs sont physiquement situés dans un centre de données en France métropolitaine, exploité par un prestataire certifié. Ce partenaire assure la disponibilité matérielle des machines qui stockent nos contenus et vos données, mais il n'exploite jamais ces informations pour son propre compte.
• Acheminement des courriels : Nos communications électroniques transitent par un service d'envoi professionnel qui gère la délivrabilité technique des messages. Ce prestataire traite temporairement les adresses électroniques destinataires, uniquement le temps nécessaire à la transmission effective du courriel.
• Support technique ponctuel : En cas de dysfonctionnement complexe, nous pouvons solliciter l'expertise d'un développeur externe. Dans ces circonstances exceptionnelles, un accord de confidentialité encadre strictement l'étendue et la durée de son accès aux systèmes contenant potentiellement des données personnelles.

Tous ces partenaires sont sélectionnés en fonction de leur conformité au Règlement Général sur la Protection des Données. Des clauses contractuelles explicites leur interdisent toute utilisation des informations à des fins autres que celles définies dans notre relation commerciale.

Situations de divulgation contrainte

Dans des circonstances très particulières, nous pourrions être légalement obligés de communiquer certaines données à des autorités publiques :

• Réquisition judiciaire dans le cadre d'une enquête pénale
• Demande formelle d'une administration fiscale ou douanière
• Injonction d'un régulateur sectoriel compétent

Lorsqu'une telle demande survient, nous vérifions systématiquement sa légalité formelle et ne transmettons que le strict minimum d'informations requis par le document officiel reçu. Sauf interdiction légale explicite, nous vous informons de cette divulgation contrainte dans un délai raisonnable.

Mécanismes de protection mis en œuvre

Notre approche sécuritaire combine des mesures techniques et des protocoles organisationnels conçus pour limiter les risques d'accès non autorisé, de modification frauduleuse ou de perte accidentelle.

Protections techniques déployées

Tous les échanges entre votre navigateur et nos serveurs sont cryptés via le protocole HTTPS avec certificat TLS actuel. Cette couche de chiffrement empêche l'interception des données pendant leur transit sur les réseaux publics.

Les informations stockées dans nos bases de données résident sur des volumes chiffrés au niveau du système de fichiers. En cas de vol physique d'un disque dur, les données demeurent illisibles sans les clés de déchiffrement qui sont stockées séparément et accessibles uniquement à notre responsable technique.

Les mots de passe des futurs comptes utilisateurs subiront un hachage cryptographique irréversible avant stockage. Même nos administrateurs système ne peuvent pas récupérer un mot de passe en clair – seul un mécanisme de réinitialisation sécurisé permet à un utilisateur de définir un nouveau mot de passe en cas d'oubli.

Protocoles organisationnels

Notre équipe suit des procédures internes documentées qui définissent précisément comment manipuler les informations personnelles. Ces directives imposent notamment :

• La fermeture systématique des sessions de travail lors de l'absence du poste
• L'interdiction de transférer des fichiers contenant des données personnelles vers des services de stockage cloud grand public
• La vérification de l'identité avant de communiquer des informations par téléphone
• La suppression immédiate des versions préliminaires de documents contenant des données après finalisation

Chaque membre de l'équipe signe un engagement de confidentialité qui lui rappelle ses responsabilités et les conséquences disciplinaires en cas de manquement.

Limites inhérentes

Malgré ces dispositifs, aucun système connecté à Internet ne peut garantir une sécurité absolue. Des vulnérabilités inconnues dans les logiciels que nous utilisons, des attaques sophistiquées bénéficiant de moyens importants, ou des erreurs humaines malgré les formations dispensées restent des risques résiduels.

En cas de violation de sécurité compromettant des données personnelles, nous nous engageons à notifier l'autorité de contrôle compétente dans les 72 heures suivant la découverte de l'incident. Si cette violation présente un risque élevé pour vos droits, vous recevrez également une communication directe décrivant la nature de la faille, ses conséquences probables, et les mesures correctives mises en place.

Les prérogatives dont vous disposez

Le cadre réglementaire européen vous confère plusieurs droits opposables concernant les informations que nous détenons à votre sujet. Voici comment les exercer concrètement :

Consultation et rectification

Vous pouvez demander à consulter l'intégralité des données personnelles vous concernant que nous conservons. Cette demande s'effectue par courriel à l'adresse contact@polynarveth.com en précisant « Demande d'accès RGPD » dans l'objet du message.

Nous répondons à cette sollicitation sous 30 jours maximum en vous transmettant une copie structurée de vos données dans un format lisible (généralement PDF ou tableur). Si certaines informations sont inexactes ou incomplètes, vous nous signalez les corrections nécessaires et nous les appliquons dans les 15 jours ouvrés.

Effacement des informations

Vous pouvez exiger la suppression de vos données personnelles dans plusieurs situations :

• Vous retirez le consentement sur lequel reposait le traitement (par exemple, désinscription de la newsletter)
• Les informations ne sont plus nécessaires au regard des finalités initiales
• Vous vous opposez au traitement et il n'existe pas de motif légitime impérieux justifiant son maintien

Après réception de votre demande d'effacement, nous procédons à la suppression effective sous 15 jours maximum. Cette suppression est définitive et irréversible – nous ne conservons aucune sauvegarde permettant de restaurer les informations effacées.

Certaines obligations légales peuvent nous contraindre à conserver temporairement des données malgré une demande d'effacement. C'est notamment le cas pour les factures et documents comptables qui doivent être archivés durant 10 ans selon le Code de commerce français. Dans ces situations, nous vous expliquons précisément quelle base légale nous oblige à maintenir les informations et pour quelle durée.

Limitation du traitement

Plutôt que de demander une suppression complète, vous pouvez solliciter un gel temporaire du traitement de vos données. Pendant cette période de limitation, nous conservons les informations mais ne les utilisons plus activement, sauf exceptions prévues par la loi.

Cette option se révèle pertinente lorsque vous contestez l'exactitude de certaines données (le temps que nous vérifions leur précision) ou que vous vous opposez à un traitement mais souhaitez éviter une suppression définitive dans l'attente de la vérification de vos droits.

Portabilité

Pour les informations que vous nous avez transmises volontairement et qui font l'objet d'un traitement automatisé, vous bénéficiez d'un droit à la portabilité. Concrètement, nous vous remettons vos données dans un format structuré couramment utilisé et lisible par machine (JSON ou CSV), ce qui vous permet de les transférer facilement vers un autre prestataire.

Cette prérogative facilite votre mobilité entre services concurrents et prévient les situations de verrouillage technologique où changer de fournisseur impliquerait de perdre l'historique de vos informations.

Opposition à des traitements spécifiques

Vous pouvez vous opposer à tout moment à un traitement de vos données fondé sur notre intérêt légitime. Par exemple, si nous envisagions d'utiliser votre historique de consultation pour vous suggérer des contenus personnalisés (fonctionnalité non encore active), vous pourriez refuser cette personnalisation tout en continuant à accéder à nos ressources pédagogiques.

Suite à votre opposition, nous cessons le traitement concerné sauf si nous démontrons l'existence de motifs légitimes et impérieux qui prévalent sur vos intérêts. Dans la pratique, nous privilégions systématiquement le respect de votre opposition plutôt que d'engager un débat juridique sur la hiérarchie des intérêts en présence.

Modalités pratiques d'exercice

Toutes ces demandes s'adressent par écrit à contact@polynarveth.com ou par courrier postal à notre siège social dont l'adresse figure en fin de document. Pour des raisons de sécurité, nous pouvons vous demander une copie d'une pièce d'identité afin de vérifier que vous êtes bien la personne concernée par les données.

Aucun frais ne vous est facturé pour une première demande. Si vous formulez des demandes manifestement infondées ou excessives (par exemple, sollicitations répétées à intervalle très court sans changement de circonstances), nous pourrions exiger le paiement de frais administratifs raisonnables ou refuser de donner suite.

Durées de conservation appliquées

Nous appliquons une logique de rétention différenciée selon la nature des informations et les obligations qui s'y rattachent. Voici les principes temporels qui régissent nos archives :

Données de navigation technique

Les journaux de connexion contenant adresses IP et métadonnées de navigateurs sont purgés automatiquement après 90 jours calendaires. Ce délai correspond au temps généralement nécessaire pour détecter et investiguer une anomalie de sécurité tout en respectant le principe de conservation minimale.

Correspondances par formulaire de contact

Vos messages et nos réponses sont conservés pendant toute la durée de notre échange actif. Une fois la conversation close (absence de nouveau message depuis 6 mois), nous archivons la correspondance dans un système à accès restreint pour une période complémentaire de 36 mois.

Cette archive nous permet de retrouver le contexte d'échanges antérieurs si vous nous recontactez ultérieurement sur un sujet connexe. Au terme des 36 mois, l'intégralité de la conversation est supprimée définitivement.

Inscriptions à la newsletter

Votre adresse électronique demeure dans notre liste de diffusion tant que vous n'avez pas cliqué sur le lien de désinscription. Dès que vous vous désabonnez, l'adresse est retirée immédiatement de la base active et transférée dans une liste de suppression qui empêche toute réinscription accidentelle via une ancienne copie de sauvegarde.

Cette liste de suppression elle-même est vidée tous les 5 ans, période estimée suffisante pour que toutes nos sauvegardes anciennes aient été écrasées par les cycles de rotation normaux.

Comptes utilisateurs (à venir en 2026)

Un compte créé mais jamais utilisé (aucune connexion depuis sa création) sera automatiquement supprimé après 12 mois d'inactivité totale, précédé d'un avertissement par courriel 30 jours avant l'effacement.

Pour les comptes actifs, nous conservons l'historique de progression pédagogique pendant 5 ans après la dernière connexion. Ce délai permet à un utilisateur de reprendre son apprentissage même après une longue interruption tout en évitant une accumulation indéfinie d'archives obsolètes.

Obligations comptables et fiscales

Si vous effectuez un paiement pour accéder à des ressources premium (fonctionnalité envisagée pour fin 2026), la facture correspondante et les données associées (nom, adresse de facturation, montant) doivent être conservées 10 ans conformément à l'article L123-22 du Code de commerce.

Cette conservation obligatoire s'applique même si vous demandez l'effacement de votre compte. Pendant cette période, les informations sont isolées dans un système d'archivage comptable distinct, inaccessible aux équipes opérationnelles, et utilisable uniquement en cas de contrôle fiscal ou de contentieux juridique.

Fondements juridiques des traitements

Le Règlement Général sur la Protection des Données impose que chaque traitement repose sur au moins une des six bases légales prévues par l'article 6. Voici comment nous qualifions juridiquement nos différentes opérations :

Consentement explicite

L'inscription à notre bulletin d'information repose sur votre consentement libre, spécifique, éclairé et univoque. Le formulaire d'inscription comprend une case à cocher distincte du bouton de validation, accompagnée d'une description précise de la fréquence et du contenu des envois.

Ce consentement peut être retiré à tout instant via le lien de désinscription présent dans chaque courriel, sans que ce retrait remette en cause la licéité des traitements effectués avant le retrait.

Intérêt légitime

Nous invoquons notre intérêt légitime pour justifier certains traitements techniques indispensables au bon fonctionnement de notre service :

• Conservation des journaux de connexion pour la sécurité informatique
• Détection automatisée de tentatives de fraude ou d'abus
• Optimisation des performances de chargement en fonction des configurations matérielles

Avant d'appliquer cette base légale, nous effectuons systématiquement un test de proportionnalité pour vérifier que notre intérêt ne porte pas atteinte de manière disproportionnée à vos droits et libertés. Vous conservez le droit de vous opposer à ces traitements s'ils vous paraissent injustifiés.

Exécution d'un contrat

Lorsque nous proposerons des formations payantes avec création de compte utilisateur, le traitement des données nécessaires à la fourniture effective du service (identifiants de connexion, suivi de progression) sera qualifié d'exécution contractuelle.

Dans ce cadre, le traitement est une condition sine qua non de la prestation : sans enregistrement de votre progression, nous ne pouvons pas vous offrir une expérience d'apprentissage personnalisée. Refuser ce traitement équivaudrait à rendre impossible l'exécution du contrat.

Obligations légales

Certains traitements échappent totalement à notre pouvoir discrétionnaire car ils découlent d'obligations légales impératives :

• Conservation décennale des factures et documents comptables
• Déclarations fiscales comportant l'identité des clients professionnels
• Réponse aux réquisitions judiciaires et administratives régulières

Pour ces traitements obligatoires, ni votre consentement ni votre opposition ne peuvent être opposés puisqu'ils résultent d'une contrainte légale s'imposant à nous.

Territoire géographique et transferts internationaux

Nos serveurs sont physiquement situés en France métropolitaine, dans un centre de données certifié situé en région parisienne. L'ensemble de nos opérations de traitement s'effectue sur le territoire de l'Union européenne, ce qui garantit l'application du cadre protecteur du RGPD.

Absence de transferts hors UE

Dans notre configuration actuelle, aucune information personnelle ne transite vers des pays tiers situés hors de l'Espace Économique Européen. Tous nos prestataires techniques (hébergeur, service d'acheminement des courriels) opèrent depuis l'Union européenne avec des garanties contractuelles conformes au RGPD.

Évolution potentielle

Si nos besoins techniques futurs nous amenaient à recourir à un prestataire établi hors UE, nous mettrions en place l'un des mécanismes de protection prévus par le Chapitre V du RGPD :

• Clauses contractuelles types approuvées par la Commission européenne
• Certification sous un mécanisme reconnu garantissant un niveau de protection adéquat
• Codes de conduite sectoriels comportant des engagements contraignants

Toute mise en œuvre d'un transfert international ferait l'objet d'une actualisation de cette politique de confidentialité avec notification préalable aux utilisateurs concernés.

Utilisateurs mineurs

Nos ressources pédagogiques sur l'analyse financière s'adressent prioritairement à un public adulte disposant déjà d'une culture économique de base. Nous ne collectons pas délibérément d'informations concernant des personnes de moins de 16 ans.

Si nous découvrons qu'un mineur nous a transmis des données personnelles sans le consentement d'un titulaire de l'autorité parentale, nous supprimons immédiatement ces informations de nos systèmes. Les parents ou représentants légaux qui constateraient une telle situation peuvent nous contacter à contact@polynarveth.com pour demander la suppression rapide.

Pour les fonctionnalités nécessitant une inscription (prévues courant 2026), nous mettrons en place un système de vérification de l'âge et de recueil du consentement parental pour les utilisateurs déclarant avoir entre 13 et 16 ans, conformément aux dispositions de l'article 8 du RGPD.

Évolutions de cette politique

Ce document constitue une photographie de nos pratiques en vigueur à la date indiquée en haut de page. L'ajout de nouvelles fonctionnalités, l'évolution du cadre réglementaire, ou les retours d'expérience liés à nos premières années d'activité peuvent nous amener à faire évoluer cette politique.

Modifications substantielles

Lorsqu'un changement affecte significativement la manière dont nous traitons vos informations – par exemple, introduction d'un nouveau partenaire technique accédant aux données, modification de la durée de conservation, ou ajout d'une finalité de traitement – nous publions la version actualisée avec mise en évidence des modifications apportées.

Si vous disposez d'un compte utilisateur ou d'un abonnement à notre newsletter, vous recevez une notification par courriel décrivant synthétiquement les changements intervenus. Pour les modifications majeures nécessitant un nouveau consentement, nous sollicitons explicitement votre accord avant d'appliquer les nouvelles pratiques vous concernant.

Ajustements mineurs

Les corrections purement rédactionnelles (reformulations sans changement de fond, corrections typographiques, mises à jour de coordonnées) ou les précisions ajoutées pour clarifier un point sans modifier la substance du traitement font l'objet d'une simple publication de la version révisée.

Nous vous encourageons à consulter périodiquement cette page pour rester informé de nos pratiques actuelles. La date de dernière actualisation figurant en haut du document vous permet d'identifier rapidement si des changements sont intervenus depuis votre précédente lecture.

Autorité de contrôle et réclamations

La Commission Nationale de l'Informatique et des Libertés (CNIL) constitue l'autorité de contrôle française compétente pour veiller au respect du RGPD sur le territoire national. Si vous estimez que nos pratiques de traitement de données personnelles violent vos droits, vous disposez d'un droit de réclamation auprès de cette institution.

Avant de saisir la CNIL

Nous vous encourageons vivement à nous contacter directement avant d'introduire une plainte formelle. La majorité des préoccupations peuvent se résoudre rapidement par un échange constructif, ce qui évite les lourdeurs administratives d'une procédure officielle.

Exposez-nous précisément la nature de votre inquiétude : quel traitement vous semble problématique, en quoi il porte atteinte à vos droits, quelle solution vous paraîtrait satisfaisante. Nous nous engageons à vous répondre sous 15 jours ouvrés avec une analyse circonstanciée de votre situation et, le cas échéant, les mesures correctives que nous mettrons en œuvre.

Procédure de réclamation officielle

Si notre réponse ne vous satisfait pas ou si vous préférez saisir directement l'autorité de contrôle, vous pouvez déposer une plainte auprès de la CNIL par plusieurs canaux :

• En ligne via le formulaire de plainte disponible sur le site cnil.fr
• Par courrier postal adressé à : Commission Nationale de l'Informatique et des Libertés, 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
• Par téléphone au 01 53 73 22 22 pour obtenir des informations sur la procédure

La CNIL dispose de pouvoirs d'investigation étendus et peut, après examen de votre plainte, ordonner des mesures correctives voire prononcer des sanctions administratives si elle constate des manquements caractérisés.