Dossier de conformité RGPD du produit Phosforea (LMS et Faux-Phishing

Dossier de conformité RGPD du produit Phosforea (LMS et Faux-Phishing

Mise à jour du : 02/12/2025

➡️Télécharger le document

1. INTRODUCTION

Ce document décrit la politique de sécurité et de conformité du produit Phosforea LMS et Faux-Phishing de June Factory.

June Factory a mis en oeuvre sa conformité et s’engage à respecter les obligations suivantes :

TRANSPARENCE
June Factory veille à informer les personnes concernées par les traitements de manière concise, transparente,
compréhensible. Phosforea s’assure que l’information est aisément accessible des personnes concernées.

TRAÇABILITE
June Factory a cartographié ses traitements de données. Les traitements de données réalisés par June Factory sont
documentés.

PRIVACY BY DESIGN
Pour garantir le principe de Privacy by design, June Factory a nommé un Délégué à la protection des données (ou DPO).
Ce DPO est associé aux projets entrepris dès les premières phases. Il s’assure avec les équipes projets que la protection
des données personnelles et la protection de la vie privée sont pris dès la conception.

FORMATION ET SENSIBILISATION DES COLLABORATEURS
L’ensemble des collaborateurs June Factory sont sensibilisés aux principes de la protection des données à caractère
personnel et formés à les appliquer dans le cadre de leurs activités. Ils sont soumis à une obligation de confidentialité.
June Factory s’assure que les outils et services proposés aux clients intègrent de façon effective les principes relatifs à la protection des données.

LICEITE, LOYAUTE, EXACTITUDE, PERTINENCE
June Factory veille à ce que par défaut :

  • Ses outils et services garantissent que seules sont traitées les données nécessaires à la finalité du traitement ;
  • Que les données sont collectées et traitées de manière licite, et ne soient pas réutilisées sans que les personnes
    concernées en soient informées ;
  • Que les données traitées sont exactes et pertinentes vis-à-vis de la finalité des traitements ;

MINIMISATION DES DONNEES
Au nom du principe de minimisation des données personnelles, les collaborateurs de June Factory doivent manipuler
le moins possible de fichiers contenant des données personnelles et inviter les clients à utiliser systématiquement les
fonctions de la plateforme pour modifier, importer, exporter les données de leurs apprenants.

LIMITES DU TRAITEMENT ET DE LA DUREE DE CONSERVATION
June Factory s’assure de limiter :

  • La quantité de données collectées ;
  • L’étendue de leur traitement ;
  • La durée de conservation ;
  • Le nombre de personnes qui ont accès aux données

SECURITE DES DONNEES
Pour garantir le principe de Security by design dans les produits et solutions qu’elle met à disposition de ses clients, June
Factory fait appel à des développeurs formés à la sécurité et à la protection des données. Les produits déployés sont
audités par des experts cybersécurité, et font l’objet de tests d’intrusion pour s’assurer de la fiabilité des mesures de
sécurité.

 

2. CONTENU DU DOSSIER DE CONFORMITE PHOSFOREA

Préambule

La sécurité et la conformité sont des priorités pour June Factory, éditeur du produit Phosforea.
Le produit Phosforea utilise des outils de standard industriel pour assurer la protection des données clients de tout accès, diffusion et utilisation non autorisée. La sécurité est opérée par le responsable du pôle product owner & customer
success June Factory, le responsable infrastructure ainsi que l’équipe de développement June Factory sous gouvernance
de la Direction Sécurité.

Ce document a pour but d’informer les utilisateurs sur :

  • La manière dont sont collectées leurs données personnelles. Sont considérées comme des données personnelles,
    toute information permettant d’identifier un utilisateur (par exemple, nom complet, email, adresse IP, etc. (liste
    non-exhaustive));
  • Les droits dont ils disposent concernant leurs données personnelles ;
  • La personne responsable du traitement de leurs données personnelles dans le cadre d’une collecte et/ou d’un
    traitement ;
  • Les destinataires de leurs données personnelles

2.1 RGPD et protection des données

2.1.1 Responsable de traitement de vos données

Le responsable de traitement est la société qui définit pour quel usage et comment vos données personnelles sont
utilisées.
Les données personnelles collectées sont traitées par :

  • JUNE FACTORY – RCS Toulouse B 825 216 328 – Domicilié : 209 Rue Jean Bart, 31670 Labège ;

Ci-après dénommé « June Factory ».

 

2.1.2 Collecte de vos données personnelles

Dans le cadre des traitements de données à caractère personnel dont les finalités vous sont présentées dans la section
« 2.1.3. Bases légales et finalités des traitements », nous collectons et traitons les catégories de données suivantes :

  • Des données d’identification des personnes concernées ;
  • Des données d’utilisation des services proposés sur la plateforme concernée (adresse IP, données de connexions,
    etc.) ;
  • Des données relatives aux résultats des activités ;
  • Vos échanges avec June Factory.

Le caractère obligatoire ou facultatif des données à caractère à renseigner est signalé par un astérisque lors de la collecte. Si vous refusez de fournir les données obligatoires, June Factory ne sera pas en mesure de vous fournir les services souhaités.

En outre, vous pouvez être amené à nous communiquer les données à caractère personnel d’un tiers, en particulier si
vous avez la qualité de client ou d’administrateur. Dans ce cadre, nous vous rappelons que vous êtes tenu d’informer
cette personne de la communication et du traitement de ses données à caractère personnel par June Factory et de lui
communiquer la présente politique.

Par ailleurs, les utilisateurs du site et des plateformes peuvent se voir associer, par les appareils, applications, outils et
protocoles qu’ils utilisent, des identifiants en ligne tels que des adresses IP, des témoins de connexion (« cookies ») ou
d’autres identifiants de connexion. Ces identifiants peuvent laisser des traces qui, notamment lorsqu’elles sont
combinées aux identifiants uniques et à d’autres informations reçues par les serveurs, peuvent servir à créer des profils
de personnes physiques et à identifier ces personnes. Pour de plus amples informations sur les cookies utilisés par June
Factory, nous vous invitons à consulter notre politique de gestion des cookies publiée sur notre site web www.june-factory.com

 

2.1.3 Bases légales et finalités des traitements

Parmi les bases légales applicables :

  • Le consentement : vous acceptez le traitement de vos données personnelles par le biais d’un
    consentement exprès (case à cocher, clic, etc.). Vous pouvez retirer ce consentement à tout moment.
  • Le contrat : le traitement des données personnelles est nécessaire à l’exécution du contrat auquel vous
    avez consenti.
  • L’obligation légale : le traitement de vos données personnelles est rendu obligatoire par un texte de loi.
  • Les intérêts légitimes : June Factory a un intérêt légitime à traiter vos données qui est justifié, équilibré et
    ne vient pas porter atteinte à votre vie privée. Sauf exception, vous pouvez à tout moment vous opposer à
    un traitement basé sur l’intérêt légitime en le signalant à June Factory, imposant l’arrêt de l’accès au
    produit sans remboursement.


Les traitements mis en œuvre par June Factory sont présentés selon leurs finalités, sous-finalités et base légale dans le
tableau suivant :

2.1.4 Destinataires de vos données

June Factory ne communique vos données à caractère personnel qu’auprès de destinataires habilités et définis :

  • Les membres de June Factory chargés de la gestion des plateformes que vous utilisez et des contenus ;
  • Les éventuels sous-traitants de June Factory uniquement pour les traitements les concernant ;
  • Les autorités ou juridictions compétentes en application d’une loi, d’un règlement ou en vertu d’une décision
    d’une autorité réglementaire ou judiciaire compétent.

2.1.5 Transferts de vos données

Aucun transfert des données à caractère personnel ne sera réalisé en dehors de l’Union Européenne ou de l’Espace
Économique Européen dans le cadre de nos plateformes.

 

2.1.6 Durées de conservation de vos données personnelles

Nous faisons en sorte que vos données personnelles soient conservées de manière proportionnée pendant une certaine
durée au regard des finalités pour lesquelles elles sont collectées et analysées.


Pour davantage d’informations, nous organisons notre politique de conservation des données de la manière suivante :

2.1.7 Sécurité de vos données

Nous collectons certaines données de navigation pour nous permettre d’assurer la sécurité de nos services et de détecter, d’éviter ou de retracer toute tentative de malveillance ou d’intrusion informatique ou toute violation des conditions d’utilisation de nos Services.

 

2.1.8 Sous-traitance

En cas de recours à un sous-traitant pour le renforcement ponctuel de nos équipes, nous pouvons être menés à leur
communiquer certaines de vos données personnelles, mais uniquement après avoir obtenu un engagement et des
garanties sur leur capacité à répondre à nos exigences de sécurité et de confidentialité.

La sélection de nos sous-traitants s’appuie sur les critères suivants :

  • Un niveau de protection des données à caractère personnel équivalent au notre ;
  • Une utilisation limitée des données à caractère personnel pour assurer la gestion des services sous-traités ;
  • Un respect strict de la législation et règlementation applicable en matière de confidentialité et de données à
    caractère personnel ;
  • La mise en œuvre de toutes les mesures adéquates pour garantir la protection des données à caractère personnel
    nécessaires à nos traitements ;
  • La définition des mesures techniques et organisationnelles nécessaires pour assurer la sécurité.

Nous concluons avec nos sous-traitants dans le respect de nos obligations légales et réglementaires des contrats
définissant précisément les conditions et modalités de traitement des données à caractère personnel par ces derniers,
en conformité avec la réglementation sur la protection des données à caractère personnel.

 

2.1.9 Modalités d’exercice de vos droits

Vous pouvez exercer vos droits conformément à la règlementation sur la protection des données personnelles (accès,
rectification, suppression, opposition, limitation et portabilité le cas échéant) et contacter le Délégué à la protection des
données :

  • Par adresse email : dpo@june-factory.com ;
  • Par courrier : JUNE FACTORY, 209 Rue Jean Bart, 31670 Labège.
    Dossier conformité RGPD Phosforea
    Version 1.2 8 / 9

Lors de votre exercice de droits par adresse email, veuillez apporter suffisamment de détails (par exemple, nom complet, adresse email) afin de nous permettre de vous identifier. En revanche, dans le cas d’une demande par courrier postal, veuillez préciser l’adresse à laquelle doit vous parvenir la réponse à votre demande.

Nous pourrons procéder à des vérifications d’identité afin de garantir la confidentialité et la sécurité de vos données.
Dans certains cas, une copie d’une pièce d’identité portant votre signature pourra vous être demandée. Une réponse
vous sera alors adressée dans un délai d’un (1) mois maximum suivant la réception de la demande.

Vous disposez par ailleurs, du droit d’introduire une réclamation auprès de la Commission Nationale de l’Informatique
et des Libertés (CNIL), notamment sur son site internet à l’adresse suivante : www.cnil.fr.
Pour rappel, June Factory dispose d’un Délégué à la Protection des données personnelles (DPO en anglais) chargé de
garantir la protection des données personnelles. Vous pouvez contacter le Délégué à la protection des données
personnelles de June Factory par adresse email : dpo@june-factory.com.

 

2.1.10 Gestion des sauvegardes

June Factory conserve une sauvegarde de toutes les instances Phosforea dans le cadre des projets pendant une durée
de 5 années civiles. Il s’agit de se baser sur le délai de prescription d’une action en justice, le délai de droit commun étant
de 5 ans (article L110-4 du Code du commerce, article 2224 du Code civil).
Les sauvegardes réalisées par June Factory sont chiffrées en AES-256 puis transférées vers un dépôt de stockage cloud
(prestataire de cloud français dans un datacenter en France).
Les sauvegardes de l’année N sont supprimées en janvier de l’année N+6 (exemple : janvier 2024 : suppression définitive
des sauvegardes de l’année 2018).

 

2.2 Sécurité de l’infrastructure et du produit Phosforea

La sécurité du LMS Phosforea est une priorité. June Factory tient à disposition de ses clients un Dossier de Sécurité
détaillant l’ensemble des mesures physiques, logiques et organisationnelles mises en œuvre pour assurer la sécurité de
la plateforme LMS Phosforea.

 

2.2.1 Hébergement

L’hébergement de l’application est sur un serveur virtuel privé (VPS) du fournisseur OVH. Ce serveur est situé en France,
à Gravelines. Toute la logique applicative ainsi que les données stockées sont situées sur ce même serveur.
Le niveau de sécurité du fournisseur OVH a été évalué et est conforme au niveau de sécurité exigé par June Factory pour
le produit Phosforea.
Les environnements de développement, de préproduction ainsi que le code source de l’application sont internalisés au
sein du Système d’Information de l’entreprise.

 

2.2.2 Sécurité et confidentialité des données

Toutes les données transitant par l’application Phosforea sont envoyées de manière sécurisée via HTTPS. Chaque instance client hébergée sur le serveur June Factory est cloisonnée de manière logique à tous les niveaux.

 

2.2.3 Authentification

L’accès à l’application se fait obligatoirement avec la création d’un mot de passe sécurisé selon les recommandations de
l’ANSSI : au moins 12 caractères de types différents (majuscules, minuscules, chiffres, caractères spéciaux). Les mots de
passes sont stockés de manière chiffrée.
Le Single Sign On (SSO) est également disponible comme méthode d’authentification via le protocole OIDC ou à défaut
SAML v2.0.

 

2.2.4 Développement sécurisé

Les développeurs intégrant l’équipe June Factory suivent la formation interne « Sécurité dans les développements » : ce
cursus permet à nos collaborateurs d’intégrer la sécurité dans les développements à tous les niveaux et de communiquer efficacement avec les équipes pour mettre en place les stratégies de remédiations adaptées (dès la conception ou en réponse à un incident).

Chaque changement du code Phosforea est déployé sur une plateforme de test interne et est soumis à un ensemble de
tests : unitaires, fonctionnels, non régression et de sécurité. Chaque version admissible (release candidate) est revue au
niveau du code pour assurer la mise en place des bonnes pratiques internes avant la publication d’une version stable.

 

2.3 Gestion des incidents

La déclaration d’un incident se fait via l’unique canal mail à l’adresse :
support-phosforea@june-factory.com

En fonction de l’incident, notre équipe support peut être amenée à vous contacter par visio ou téléphone.

 

2.3.1 Accords de niveau de service (SLA)

Le support informatique de June Factory pour le produit Phosforea est disponible de 09h00 à 18h00 du lundi au vendredi
(UTC +1).
June Factory fera tous les efforts raisonnables pour assurer la disponibilité maximale de la plateforme LMS Phosforea
créée et attribuée pour le client et, simultanément, le respect des paramètres de fonctionnement suivants :
99% de disponibilité et d’accessibilité annuelles.
A la réception d’une demande, les équipes techniques ont 4 heures ouvrées pour accuser réception à celle-ci.
La résolution d’une demande doit se faire dans les 16 heures ouvrées à la suite de la 1ère demande.

 

2.3.2 Continuité d’activité

Les sauvegardes journalières peuvent être utilisées dans le cadre d’un incident provoquant une perte de données.
Dans le cas où une panne de l’hébergeur provoquerait une indisponibilité complète du serveur, un environnement
identique serait monté dans une région différente. L’équipe de développeurs et d’opérations effectuent annuellement
des scénarios de crise où la migration de données, la remise en service et la création d’un nouvel environnement de
production sont testées.