Politique de confidentialité

Le responsable du traitement des données personnelles collectées via le site ovolant.pro et l'application Ovolant est :

• Société : Ovolant SAS
• Adresse : 5 rue des Écrins, 38000 Grenoble, France
• Email DPO : dpo@ovolant.pro

Ovolant collecte uniquement les données strictement nécessaires à la fourniture du service. Selon votre rôle, les données suivantes peuvent être traitées :

Les traitements sont fondés sur les bases légales suivantes :

Les données sont conservées uniquement le temps nécessaire aux finalités pour lesquelles elles ont été collectées :

• Dossiers élèves : 3 ans après l'obtention du permis ou la fin de la relation contractuelle (soft-delete, puis purge hard)
• Données de facturation et comptables : 10 ans (obligation légale, stockage immuable)
• Journal d'audit RGPD : 3 ans
• Données de contact (formulaire) : 3 ans après le dernier contact
• Logs techniques : 90 jours glissants

Ovolant ne vend ni ne loue vos données à des tiers. Les données peuvent être partagées avec les sous-traitants suivants, dans le strict cadre de la fourniture du service :

• OVH SAS (France) — hébergement cloud, stockage objet
• Stripe Inc. (UE — données de paiement) — traitement des paiements, abonnements
• Brevo SAS (France) — envoi d'emails transactionnels
• Caisse des Dépôts (France) — API Mon Compte Formation (vérification éligibilité CPF)
• ANTS (France) — inscription examens via RdvPermis
• DGFiP (France) — e-reporting obligatoire

Aucun transfert de données hors Union Européenne n'est effectué. Toutes les données sont hébergées sur le territoire français.

Conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) et à la loi Informatique et Libertés, vous disposez des droits suivants :

• Droit d'accès (art. 15 RGPD) : Obtenir une copie de vos données personnelles traitées
• Droit de rectification (art. 16 RGPD) : Corriger des données inexactes ou incomplètes
• Droit à l'effacement (art. 17 RGPD) : Demander la suppression de vos données (sous réserve des obligations légales de conservation)
• Droit à la limitation (art. 18 RGPD) : Suspendre temporairement le traitement de vos données
• Droit à la portabilité (art. 20 RGPD) : Recevoir vos données dans un format structuré et lisible
• Droit d'opposition (art. 21 RGPD) : Vous opposer au traitement fondé sur l'intérêt légitime

Pour exercer ces droits, contactez notre DPO à dpo@ovolant.pro. Nous répondons dans un délai d'un mois. Vous avez également le droit de déposer une réclamation auprès de la CNIL (www.cnil.fr).

Le site ovolant.pro utilise un nombre limité de cookies, strictement nécessaires au fonctionnement du service :

• Cookie de session : maintien de votre session authentifiée (Keycloak OIDC) — durée de vie de la session
• Cookie CSRF : protection contre les attaques CSRF — session
• Cookie de préférence thème : mémorisation de votre préférence clair/sombre — 1 an

Aucun cookie publicitaire, aucun cookie de tracking tiers (Google Analytics, Facebook Pixel, etc.) n'est déposé. Les analytics d'usage sont agrégés, anonymisés et hébergés sur notre infrastructure OVH.

Ovolant met en œuvre les mesures techniques et organisationnelles appropriées pour protéger vos données :

• • Chiffrement des données en transit (TLS 1.3) et au repos (AES-256)
• • Isolation multi-tenant par Row Level Security (RLS) PostgreSQL
• • Authentification forte via Keycloak OIDC (multi-facteur disponible)
• • Analyse antivirus (ClamAV) de tous les documents téléversés
• • URLs de documents signées avec TTL maximum de 3 600 secondes
• • Journal d'audit horodaté pour tout accès aux données personnelles d'élèves
• • Sauvegardes chiffrées quotidiennes avec rétention 30 jours

Ovolant se réserve le droit de modifier la présente politique de confidentialité. En cas de modification substantielle, les utilisateurs seront informés par email au moins 30 jours avant l'entrée en vigueur des changements. La version en vigueur est celle accessible sur cette page, avec la date de dernière mise à jour indiquée en en-tête.