IDMN Group
Dernière mise à jour : 24 mai 2026
Dans le cadre de l'exploitation de la plateforme IDMN — Institut des Métiers Network, le responsable du traitement des données personnelles est INSTITUT DES MÉTIERS NETWORK, société par actions simplifiée (SAS), au capital social de 101 200,00 €, dont le siège social est situé ZA du Puech Radier, 260 rue du Puech Radier, 34970 Lattes, immatriculée au Registre du Commerce et des Sociétés de Montpellier sous le numéro 812 724 953, SIRET 812 724 953 00029, TVA intracommunautaire FR40 812 724 953.
La présente politique décrit la manière dont IDMN traite les données personnelles des alternants, des représentants d'entreprises d'accueil, des personnels administratifs des CFA et, plus largement, des utilisateurs autorisés de la plateforme. Elle répond aux obligations d'information prévues par le RGPD, en particulier ses articles 12 à 14.
Pour toute question relative à la protection des données personnelles, vous pouvez contacter Monsieur Klein, délégué à la protection des données d'INSTITUT DES MÉTIERS NETWORK, à l'adresse suivante : accueil@i2mc-formations.fr.
Cette adresse est utilisée pour toute demande d'exercice de droits, toute question sur la présente politique, tout signalement relatif à la sécurité des données ou toute demande concernant les sous-traitants et transferts. La CNIL rappelle que le responsable du traitement doit indiquer concrètement la procédure d'exercice des droits et répondre en principe dans un délai d'un mois.
Données de compte. IDMN peut traiter les données d'identification et de contact nécessaires à la création et à la gestion du compte utilisateur : nom, prénom, adresse électronique, numéro de téléphone, photographie de profil, identifiants techniques de connexion et paramètres de compte.
Données professionnelles et administratives. La plateforme peut traiter des pièces et informations relatives au parcours professionnel et contractuel : CV, diplômes, attestations, documents relatifs au contrat d'alternance, données figurant dans les formulaires ou pièces CERFA, coordonnées de l'employeur ou du CFA, éléments de candidature et informations utiles au rapprochement alternant/entreprise/CFA.
Données pédagogiques. IDMN peut traiter les éléments nécessaires au suivi de la formation et à la relation CFA/entreprise/alternant : carnet de suivi, évaluations, présence, absences, observations pédagogiques, comptes-rendus d'échanges, état d'avancement du parcours, justificatifs associés et documents de preuve susceptibles d'être exigés dans le cadre de la qualité de la formation. Les obligations de certification qualité de la formation professionnelle imposent en pratique de pouvoir justifier d'éléments probants relatifs aux actions dispensées.
Données d'usage. IDMN journalise les connexions, les actions réalisées sur la plateforme, les événements de sécurité, les horodatages, les rôles et droits d'accès utilisés, ainsi que certaines opérations d'administration ou de support. La CNIL recommande la traçabilité des opérations et une conservation glissante des événements sur une période comprise, en principe, entre six mois et un an.
Données techniques. Lors de l'utilisation de la plateforme, peuvent également être traitées l'adresse IP, le type de navigateur, des informations de terminal, les cookies strictement nécessaires à la session, les préférences d'interface et les métadonnées techniques liées au bon fonctionnement du service.
Le cas échéant pour les alternants mineurs. Lorsque cela est nécessaire au contrat d'apprentissage, au suivi réglementaire ou aux relations avec le CFA, des données relatives au représentant légal peuvent être traitées de manière limitée, notamment les coordonnées utiles. Le décret créant le SIFA prévoit lui-même, pour le traitement étatique, des données relatives aux responsables légaux des jeunes mineurs.
Gestion du compte utilisateur. Les données de compte sont traitées pour créer, administrer et sécuriser l'espace utilisateur, authentifier la personne, gérer ses accès, réinitialiser son mot de passe et assurer la continuité du service. Base légale : exécution du contrat ou de mesures précontractuelles demandées par l'utilisateur.
Mise en relation alternant – entreprise – CFA. Les données d'identité, de parcours, de candidature et de contrat sont traitées afin de permettre le matching, les échanges, l'instruction des dossiers, la mise en relation et le suivi du placement en alternance. Base légale : exécution du contrat et, selon les cas, mesures précontractuelles.
Suivi pédagogique et qualité de la formation. Les données pédagogiques, présences, évaluations et pièces de suivi sont traitées pour organiser le parcours, documenter les apprentissages, produire les justificatifs utiles aux contrôles et satisfaire aux exigences de qualité de la formation, notamment lorsqu'un organisme est soumis à l'obligation de certification prévue par le code du travail. Base légale : obligation légale.
Déclarations, fiabilisation et remontées réglementaires liées à l'apprentissage. Lorsque le CFA ou l'établissement concerné y est légalement tenu, les données strictement nécessaires peuvent être utilisées pour préparer, fiabiliser, exporter ou transmettre des données requises dans le cadre des obligations réglementaires de l'apprentissage, notamment celles en lien avec le SIFA. Base légale : obligation légale.
Sécurité, prévention de la fraude et maintien en condition opérationnelle. Les journaux, traces de connexion et données techniques sont traités pour surveiller l'intégrité du système, prévenir les accès non autorisés, détecter les incidents et assurer la continuité de service. Base légale : intérêt légitime de l'éditeur à sécuriser la plateforme et à protéger ses utilisateurs.
Amélioration du service. Certaines données d'usage et données techniques peuvent être analysées pour corriger des erreurs, améliorer l'ergonomie, documenter des incidents et optimiser les performances. À ce jour, aucun cookie analytics tiers n'est déployé ; si cela change, la présente politique sera mise à jour et, le cas échéant, un recueil de consentement sera mis en place. Base légale : intérêt légitime.
Les données personnelles sont accessibles, dans la limite de leurs attributions et du strict besoin d'en connaître, aux équipes internes d'IDMN chargées de l'administration, de la pédagogie, de la relation client et de la sécurité du service.
Elles peuvent également être communiquées, lorsque cela est nécessaire au fonctionnement de la plateforme, aux CFA partenaires, aux entreprises d'accueil et aux utilisateurs habilités agissant pour leur compte, uniquement dans le cadre du placement, du suivi administratif et pédagogique, et de l'exécution de la relation d'alternance.
Le support technique est assuré par AILIX.AI en qualité de prestataire technique et sous-traitant, sur instruction d'INSTITUT DES MÉTIERS NETWORK. Les données traitées par AILIX.AI le sont exclusivement pour le compte d'IDMN et dans la limite des besoins strictement nécessaires à l'exploitation, à la maintenance et au support de la plateforme.
Enfin, les données peuvent être traitées par des sous-traitants techniques agissant pour le compte d'IDMN, notamment : Netlify pour l'hébergement et la diffusion du front statique, Supabase pour l'authentification et les composants associés au projet configuré en eu-west-3 Paris, Scaleway pour l'infrastructure backend européenne. Ces relations sont encadrées conformément à l'article 28 du RGPD.
Netlify. Netlify est une société établie aux États-Unis. Même si, dans l'architecture retenue d'IDMN, Netlify n'est utilisé que pour la diffusion du front statique et non pour le traitement métier via Forms ou Functions, son service repose sur une infrastructure globale et son DPA prévoit les mécanismes applicables aux transferts internationaux, y compris les clauses contractuelles types. En conséquence, l'existence d'un risque juridique de transfert ou d'accès hors EEE doit être signalée de façon transparente.
Supabase. Le projet IDMN est configuré en région West EU (Paris) eu-west-3. La documentation Supabase précise que chaque projet est déployé dans une région principale choisie par le client, et son DPA prévoit que, lorsqu'un client demande une région géographique spécifique, les données client y sont stockées et principalement traitées. En pratique, cette configuration permet de présenter l'hébergement principal d'authentification et de base associée comme localisé à Paris ; toutefois, d'un point de vue contractuel, les mécanismes de sous-traitance et, si nécessaire, de transfert restent encadrés par le DPA et les clauses contractuelles pertinentes.
Scaleway. Scaleway indique que ses services sont situés dans l'Union européenne par défaut et que le client peut choisir la région ou la zone applicable lors de la commande. Dans l'architecture déclarée, le backend métier est opéré en Paris PAR1, sans transfert hors UE recherché pour l'hébergement courant.
Comptes utilisateurs. Les données liées à un compte actif sont conservées pendant toute la durée d'utilisation de la plateforme, puis pendant trois ans à compter de la dernière connexion en base active ou intermédiaire lorsque cette conservation demeure nécessaire à des fins de reprise de contact, de preuve, de sécurité ou de gestion de la relation. Au terme de cette durée, elles sont supprimées, anonymisées ou archivées si une obligation particulière l'impose.
Contrats d'alternance, CERFA et documents contractuels. Les contrats, conventions et pièces administratives liées à une relation commerciale ou contractuelle sont conservés pendant cinq ans, sans préjudice des obligations d'archivage plus longues imposées par un texte spécial ou des durées nécessaires à la preuve en cas de contentieux.
Données pédagogiques. Les données pédagogiques sont conservées pendant la durée du parcours de formation, puis en archivage intermédiaire pendant la durée réglementaire ou probatoire applicable à la formation professionnelle, aux contrôles de qualité, aux audits et aux obligations du CFA concerné. À défaut de texte spécial identifié pour un sous-ensemble de données, la durée retenue doit rester strictement proportionnée à la finalité et documentée dans le registre des traitements.
Logs techniques et journaux de sécurité. Les journaux de connexion, événements de sécurité et traces techniques sont conservés pendant douze mois glissants, sauf nécessité particulière de conservation plus courte ou plus longue imposée par la loi, un incident de sécurité, un contrôle interne ou un contentieux.
Conformément au RGPD, vous disposez, selon les cas, d'un droit d'accès, d'un droit de rectification, d'un droit à l'effacement, d'un droit d'opposition, d'un droit à la limitation du traitement, d'un droit à la portabilité et du droit de retirer votre consentement lorsque le traitement repose sur le consentement.
Pour exercer vos droits, vous pouvez écrire à accueil@i2mc-formations.fr en précisant votre identité, l'objet de votre demande et, si nécessaire, tout élément utile permettant de vous identifier ou de localiser votre dossier. Le responsable du traitement répondra dans les meilleurs délais et, en principe, dans un délai d'un mois, prolongeable dans les cas prévus par le RGPD.
Lorsque la demande concerne des données traitées dans le cadre d'obligations légales, de sécurité ou d'archivage probatoire, certains droits peuvent être aménagés ou limités dans les conditions prévues par les textes applicables. Lorsque la demande porte sur des données partagées avec un CFA ou une entreprise agissant pour ses propres finalités, l' utilisateur peut être redirigé vers l'organisme concerné pour la partie des traitements qui lui incombe.
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés ou que le traitement de vos données n'est pas conforme à la réglementation, vous pouvez introduire une réclamation auprès de la CNIL sur son site (cnil.fr) ou par courrier. Le RGPD reconnaît ce droit à l'article 77.
IDMN utilise uniquement, à ce stade, des cookies et traceurs strictement nécessaires au fonctionnement du service, notamment les cookies ou équivalents techniques liés à l'authentification Supabase, au maintien de session, à la sécurité, ainsi qu'aux préférences d'interface utilisateur. Selon la doctrine CNIL, les traceurs strictement nécessaires à l'authentification auprès d'un service peuvent être exemptés de consentement, sous réserve d' une information claire des utilisateurs.
À la date de la présente politique, aucun cookie analytics tiers n'est déployé. Si un outil de mesure d'audience, de personnalisation ou de publicité venait à être ajouté ultérieurement, la présente politique serait mise à jour et, lorsque la réglementation l'exige, le recueil du consentement serait mis en place avant dépôt ou lecture des traceurs concernés.
Les cookies strictement nécessaires sont conservés pour la durée de la session du navigateur ou, lorsque cela est requis pour le maintien de la session d'authentification côté application, pour une durée maximale annoncée de sept jours selon le paramétrage retenu par le prestataire technique. Cette durée doit être cohérente avec la configuration effective du mécanisme de session utilisé en production.
IDMN met en œuvre des mesures techniques et organisationnelles appropriées pour assurer la confidentialité, l'intégrité, la disponibilité et la résilience des données personnelles, conformément à l'article 32 du RGPD. Cela comprend, notamment, la gestion des habilitations, l'accès restreint selon le besoin d' en connaître, la journalisation des opérations pertinentes, la contractualisation avec les sous-traitants, la sauvegarde, ainsi que la correction des vulnérabilités.
Côté prestataires, Netlify indique un chiffrement des données au repos en AES-256 ou supérieur et du trafic en transit en TLS 1.2 ou supérieur ; Supabase indique également un chiffrement au repos en AES-256 et en transit par TLS, ainsi que des mécanismes de contrôle d'accès et de sécurité de plateforme ; Scaleway met à disposition des environnements européens, des réseaux privés régionaux et rappelle un modèle de responsabilité partagée entre fournisseur cloud et client.
Conformément à l'architecture déclarée, l'ensemble du traitement backend métier s'effectue sur Scaleway PAR1, sans recours à Netlify Functions ni à Supabase Edge Functions. Cette séparation limite l'exposition de données métier côté front et facilite une répartition plus claire des rôles entre diffusion frontale, authentification et traitement applicatif.
La présente politique peut être modifiée pour tenir compte d'une évolution légale, réglementaire, jurisprudentielle, technique ou organisationnelle, notamment en cas d'ajout d'un nouveau sous-traitant, d'un nouveau traitement, d'un nouveau cookie, d'une nouvelle fonctionnalité ou d'un changement d'infrastructure.
En cas de modification substantielle, les utilisateurs seront informés par tout moyen utile, notamment par affichage sur la plateforme, notification dans le compte, courrier électronique ou mise à jour visible de la date de révision. La version en vigueur est celle accessible en ligne à la date de consultation.