1Responsable du traitement
Le responsable du traitement est Tutobox, actuellement en cours d'immatriculation en France. Délégué à la protection des données : privacy@tutobox.eu.
2Données collectées
Tutobox collecte uniquement les données nécessaires au fonctionnement du service. Aucune donnée n'est revendue ou partagée à des fins publicitaires.
| Catégorie | Données | Origine |
|---|---|---|
| Compte | Nom, prénom, e-mail professionnel, organisation. | Saisie utilisateur |
| Authentification | Mot de passe haché, jetons de session, journal de connexion. | Génération système |
| Facturation | Raison sociale, adresse, TVA, historique d'abonnement. | Saisie utilisateur |
| Contenus | Captations d'écran, vidéos importées, tutoriels générés. | Production utilisateur |
| Usage | Pages consultées, actions clés (agrégat anonymisé). | Mesure d'audience |
3Finalités et base légale
- Fourniture du service (captation, génération, export) — exécution du contrat.
- Facturation et comptabilité — obligation légale.
- Support et communication transactionnelle — intérêt légitime.
- Mesure d'audience anonymisée — consentement (bandeau cookies).
- Sécurité et prévention de la fraude — intérêt légitime.
4Durée de conservation
5Vos droits
Conformément au RGPD, vous disposez des droits suivants : accès, rectification, effacement, limitation, opposition, portabilité, retrait du consentement et réclamation auprès de l'autorité de contrôle compétente (CNIL en France).
Pour exercer vos droits, écrivez à privacy@tutobox.eu. Une réponse vous sera apportée sous 30 jours. Vous pouvez également déposer une réclamation auprès de la CNIL — cnil.fr.
6Sous-traitants et transferts
L'hébergement applicatif et le stockage des contenus reposent sur une infrastructure cloud, principalement localisée dans l'Union européenne. Certains traitements font appel à des sous-traitants susceptibles d'opérer hors de l'UE :
- Amazon Web Services (AWS) — hébergement et stockage des fichiers (vidéos, documents générés).
- Google (Gemini API) — génération assistée par IA des procédures à partir des captations.
- Stripe — traitement des paiements.
Lorsqu'un transfert hors UE a lieu, il est encadré par les garanties prévues par le RGPD : clauses contractuelles types de la Commission européenne et, le cas échéant, adhésion au EU-US Data Privacy Framework. La liste des sous-traitants peut évoluer ; toute mise à jour est publiée sur cette page.
7Mesures de sécurité
- Chiffrement TLS pour toutes les communications réseau.
- Chiffrement au repos des contenus utilisateur (stockage cloud).
- Hachage des mots de passe.
- Sauvegardes chiffrées.
- Contrôle d'accès propriétaire : chaque fichier n'est accessible qu'au compte qui l'a produit.
- Notification de violation de données dans les délais prévus par le RGPD (72 h).