Politique de confidentialité

Version 1.0 — En vigueur depuis mars 2026 — Conforme au RGPD (UE) 2016/679

1. Responsable de traitement

Pour les données des élèves mineurs, LIAVO agit en qualité de sous-traitant au sens de l'article 28 RGPD, les établissements scolaires étant les responsables de traitement.

2. Données collectées et finalités

2.1 Comptes utilisateurs (enseignants, directeurs, rectorat)

• Données d'identification : nom, prénom, email, téléphone
• Données professionnelles : établissement (UAI, nom, adresse), email rectorat
• Données de connexion : adresse IP, horodatage, user-agent

Base légale : exécution du contrat (CGU). Conservation : durée du compte + 3 ans.

2.2 Données des élèves mineurs

• Identité : nom, prénom, date de naissance
• Données physiques : taille, poids, pointure (pour équipements)
• Niveau ski (séjours montagne)
• Régime alimentaire, informations médicales, documents médicaux uploadés
• Attestation d'assurance
• Coordonnées des parents : email, téléphone d'urgence

Base légale : consentement explicite du parent + exécution de la mission scolaire. Conservation : 1 an après la fin du séjour.

2.3 Données hébergeurs

• Données d'identification : nom, prénom, email, téléphone
• Données entreprise : SIRET, raison sociale, adresse, TVA, IBAN
• Documents : agrément EN, attestation assurance RC
• Données de connexion : IP, horodatage

Base légale : exécution du contrat (CGV). Conservation : durée du contrat + 10 ans (obligations comptables).

2.4 Données de navigation

LIAVO collecte des données techniques de navigation (adresse IP, navigateur, pages visitées) à des fins de sécurité et d'amélioration du service. Ces données ne sont pas partagées avec des tiers à des fins publicitaires.

Base légale : intérêt légitime. Conservation : 12 mois.

3. Destinataires des données

Les données sont accessibles aux personnes suivantes, dans la stricte limite de leurs besoins :

• Équipe LIAVO : accès restreint aux données nécessaires à la gestion du service
• Centre d'hébergement sélectionné : accès aux données de séjour (hors données médicales élèves sauf accord explicite)
• Rectorat/DSDEN : accès aux dossiers de séjour soumis par les établissements
• Sous-traitants techniques : Scalingo (hébergement backend et frontend, France), OVH Object Storage (stockage fichiers, France), Brevo (emails transactionnels, France) — tous engagés contractuellement au RGPD

Aucune donnée personnelle n'est vendue, cédée ou louée à des tiers à des fins commerciales.

4. Transferts hors Union Européenne

L'ensemble de l'infrastructure technique de LIAVO est hébergée en France ou dans l'Union Européenne :

• Backend et base de données : Scalingo SAS, datacenter Paris, France
• Stockage fichiers : OVH Object Storage, datacenter Gravelines, France
• Emails transactionnels : Brevo (Sendinblue SAS), France

Aucun transfert de données personnelles n'est effectué hors de l'Union Européenne.

5. Sécurité des données

LIAVO met en œuvre les mesures techniques et organisationnelles suivantes :

• Chiffrement des communications (HTTPS/TLS)
• Chiffrement des données financières sensibles (IBAN) en base de données
• Authentification par JWT avec expiration
• Accès aux données segmenté par rôle (RBAC)
• Stockage des fichiers sur OVH Object Storage (France) avec accès présigné temporaire
• Journalisation des accès et des modifications

6. Droits des personnes concernées

Conformément au RGPD, vous disposez des droits suivants :

• Droit d'accès : obtenir une copie de vos données
• Droit de rectification : corriger des données inexactes
• Droit à l'effacement ("droit à l'oubli") : sous réserve des obligations légales
• Droit à la limitation du traitement
• Droit à la portabilité de vos données
• Droit d'opposition : pour les traitements basés sur l'intérêt légitime
• Droit de retrait du consentement : pour les traitements basés sur le consentement

Pour exercer vos droits, contactez contact@liavo.fr. Réponse sous 30 jours.

En cas de réclamation non résolue, vous pouvez saisir la CNIL : cnil.fr.

7. Droits spécifiques aux mineurs

Les données des élèves mineurs sont traitées sur la base du consentement de leurs représentants légaux (parents ou tuteurs). Les parents peuvent exercer les droits d'accès, rectification et effacement au nom de leur enfant en contactant contact@liavo.fr.

Les données médicales ne sont jamais partagées avec le centre d'hébergement sans consentement explicite du parent, matérialisé par une case à cocher distincte dans le formulaire d'autorisation.

8. Cookies

LIAVO utilise uniquement des cookies strictement nécessaires au fonctionnement de la plateforme :

• Cookie de session : maintien de la connexion (durée : session navigateur)
• Token JWT : authentification sécurisée (durée : 24h)

Aucun cookie publicitaire, analytique tiers ou de tracking n'est utilisé. Aucun consentement cookie n'est donc requis au sens de la directive ePrivacy pour ces cookies essentiels.

9. Mise à jour de la politique

LIAVO peut mettre à jour la présente politique. La date de dernière mise à jour est indiquée en en-tête. Les modifications substantielles sont notifiées par email aux utilisateurs avec un préavis de 30 jours.