Quelles données Distil collecte-t-il ?

Distil collecte uniquement les données nécessaires : email et mot de passe chiffré pour le compte, métadonnées de paiement via Lemon Squeezy (jamais d'information bancaire), progression dans les leçons, événements de navigation produit (PostHog), email de newsletter si vous vous y inscrivez, et logs techniques de sécurité.

Distil utilise-t-il des cookies de tracking ?

Non. Distil n'utilise aucun cookie publicitaire, de retargeting ou de tracking marketing. Seuls les cookies techniques d'authentification Supabase sont déposés. La mesure d'audience produit s'appuie sur PostHog en stockage local (localStorage), sans cookie tiers.

Combien de temps Distil conserve-t-il mes données ?

Vos données sont conservées tant que votre compte est actif. La suppression est immédiate via votre espace compte, sauf : factures (10 ans, Code de commerce, anonymisées), preuves de consentement (3 ans, recommandation CNIL, anonymisées), logs de sécurité (12 mois maximum).

Distil prend-il des décisions automatisées sur mes données ?

Non. Aucune décision automatisée ni profilage n'est effectué sur vos données. Distil ne fait pas de scoring, pas de personnalisation algorithmique, pas de tarification dynamique.

Comment supprimer mon compte Distil ?

Vous pouvez supprimer votre compte vous-même depuis la page Mon compte, section Mes données. La suppression est immédiate après confirmation : profil, accès aux cours et progression sont effacés. Les factures sont conservées anonymisées (Code de commerce, 10 ans) et les preuves de consentement aussi (Art. 7.1 RGPD, 3 ans).

Politique de confidentialité

Q: Qui est le DPO de Distil ?

Pierre Touzet, fondateur de Distil, est CIL labellisé CNIL n°2016-080 et titulaire d'une formation Délégué à la Protection des Données dispensée par Anaxil. Il est le point de contact pour toute question RGPD à contact@distil.academy.

Distil collecte le minimum de données nécessaires à votre formation, héberge vos comptes en Europe (Supabase Irlande, PostHog Frankfurt) et n'utilise aucun cookie publicitaire ni de tracking marketing. Téléchargement et suppression du compte en self-service depuis votre espace. Le contact RGPD est Pierre Touzet, CIL labellisé CNIL n°2016-080.

1. Responsable du traitement et contact RGPD

Pierre Touzet. Contact : contact@distil.academy. Adresse postale et SIRET sur les mentions légales.

Pierre Touzet est CIL labellisé CNIL n°2016-080 et titulaire d'une formation Délégué à la Protection des Données dispensée par Anaxil. Il est le point de contact pour toute question relative à la protection des données personnelles.

2. Données collectées

Nous collectons uniquement les données nécessaires au fonctionnement du service :

Compte : adresse email, nom (optionnel), mot de passe (chiffré).
Paiement : données traitées par Lemon Squeezy. Nous recevons l'email, le pays, le numéro de commande et le statut. Nous ne stockons aucune information bancaire.
Usage produit : progression dans les leçons, événements de navigation produit (PostHog), date de dernier accès.
Newsletter (optionnelle) : email et statut d'abonnement, uniquement si vous vous y inscrivez.
Sécurité et technique : adresse IP éphémère (logs serveur), entêtes de requête, cookies d'authentification, journaux anti-fraude.

3. Finalités et bases légales

Gestion du compte et accès aux formations : exécution du contrat (Art. 6.1.b RGPD).
Emails transactionnels (confirmation, mot de passe, accès commande) : exécution du contrat.
Newsletter « Le Carnet » : consentement (Art. 6.1.a RGPD), retirable à tout moment via le lien de désinscription.
Mesure d'audience produit (PostHog) : intérêt légitime (Art. 6.1.f RGPD), opposition possible en écrivant à contact@distil.academy.
Prévention de la fraude et sécurité : intérêt légitime (Art. 6.1.f RGPD).

3 bis. Accès interne aux données

En tant que responsable de traitement, Pierre Touzet accède aux données de compte (email, nom, statut d'achat, progression dans les leçons) via un dashboard d'administration sécurisé, dans la stricte limite des finalités suivantes : support utilisateur, prévention de la fraude, statistiques agrégées d'amélioration pédagogique et produit.

L'accès est protégé par authentification, restreint à une liste blanche d'adresses email, et tracé par les logs d'infrastructure Supabase (Auth logs, Postgres logs). Aucune donnée n'est exportée hors de cet environnement. Si un collaborateur est ajouté à l'équipe, il signera un engagement de confidentialité et suivra une formation RGPD préalable.

4. Destinataires des données

Distil s'appuie sur 7 sous-traitants. La page Transparence détaille pour chacun l'entité légale, la région d'hébergement, la finalité et les données traitées.

Supabase (Supabase Inc. (États-Unis)). Finalité : Authentification, base de données, suivi de progression. Région : Irlande (eu-west-1). Données stockées en Europe. Société américaine, support encadré par SCCs.
Vercel (Vercel Inc. (États-Unis, Delaware)). Finalité : Hébergement du site et des fonctions serveur. Région : Functions exécutées en Europe ; société soumise au droit US. Encadrement par Clauses Contractuelles Types (SCCs).
Lemon Squeezy (Lemon Squeezy LLC, filiale de Stripe Inc. (États-Unis)). Finalité : Paiement, facturation, prévention de la fraude. Région : États-Unis. Encadrement par SCCs. Aucune donnée bancaire stockée par Distil.
PostHog (PostHog Inc. (États-Unis)). Finalité : Analyse produit (parcours, funnels, achèvement de leçons). Région : Allemagne (Frankfurt, eu.i.posthog.com). Données stockées en Europe. Pas de tracking publicitaire, pas de revente.
Resend (Resend Inc. (États-Unis)). Finalité : Envoi d'emails transactionnels (confirmation de compte, réinitialisation de mot de passe, accusés d'achat). Région : États-Unis. Encadrement par SCCs. Pas de stockage durable des contenus. Migration vers la région EU à l'étude.
Beehiiv (beehiiv Inc. (États-Unis, New York)). Finalité : Hébergement et envoi de la newsletter Le Carnet : gestion des abonnés, envois éditoriaux, statistiques d'engagement. Région : États-Unis. Encadrement par Clauses Contractuelles Types (Décision UE 2021/914, Module 2) et UK IDTA. Beehiiv s'appuie sur 17 sous-processeurs détaillés sur subprocessors.beehiiv.com. Transfer Impact Assessment réalisé en interne (mai 2026).
GitHub (GitHub Inc., filiale de Microsoft Corp. (États-Unis)). Finalité : Hébergement du code source du site. Région : États-Unis. Pas de transfert de données utilisateurs.

Aucune donnée n'est vendue ni partagée à des fins publicitaires. Les transferts hors UE sont encadrés par les Clauses Contractuelles Types (décision 2021/914).

5. Durée de conservation

Vos données sont conservées tant que votre compte est actif. La suppression depuis votre espace compte est immédiate : profil, accès aux cours et progression sont effacés sans délai. Les éléments suivants sont conservés au titre d'obligations légales, dissociés de votre identité :

factures : 10 ans (Code de commerce Art. L123-22), avec suppression des informations personnelles attachées au paiement,
preuves de consentement : 3 ans (recommandation CNIL Art. 7.1 RGPD), identifiant utilisateur dissocié,
logs de sécurité et anti-fraude : 12 mois maximum.

6. Vos droits (RGPD)

Conformément au RGPD, vous disposez des droits suivants :

Droit d'accès et de portabilité (Art. 15 et 20) : téléchargement immédiat de vos données au format JSON depuis votre espace compte, section Mes données.
Droit à l'effacement (Art. 17) : suppression immédiate du compte depuis votre espace compte, après confirmation typée.
Droit de rectification (Art. 16) : contactez contact@distil.academy.
Droit d'opposition et de limitation du traitement (Art. 21 et 18) : contactez contact@distil.academy.
Droit de retirer votre consentement à tout moment, sans affecter la licéité des traitements antérieurs.

Réponse aux demandes par email sous 30 jours maximum.

Vous avez également le droit d'introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr.

7. Cookies et stockage local

Distil n'utilise aucun cookie publicitaire ni de tracking marketing.

Cookies techniques nécessaires au fonctionnement du service : cookies de session Supabase pour l'authentification. Aucun consentement n'est requis (Art. 82 de la Loi Informatique et Libertés).

Stockage local (localStorage) : un identifiant anonyme utilisé par PostHog pour la mesure d'audience produit, hébergé en région Frankfurt. Pas de cookie tiers, pas de tracking publicitaire, pas de revente.

Aucun cookie publicitaire, de retargeting ou de tracking marketing n'est utilisé. La mesure d'audience produit s'appuie sur un intérêt légitime auquel vous pouvez vous opposer en écrivant à contact@distil.academy.

8. Décisions automatisées

Aucune décision automatisée ou profilage n'est effectué sur vos données.

9. Notification de violation de données

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous vous notifierons sans délai conformément à l'Art. 34 du RGPD. La CNIL est informée dans les 72 heures (Art. 33).

10. Mineurs

Distil est un service destiné à des personnes majeures dans un cadre professionnel ou personnel adulte. Nous ne collectons pas de données personnelles auprès de mineurs de moins de 15 ans en connaissance de cause. Si vous constatez qu'un mineur nous a transmis des données, contactez contact@distil.academy pour suppression immédiate.

11. Modifications

Cette politique peut être mise à jour. Les modifications substantielles vous seront notifiées par email. La date de dernière mise à jour est indiquée ci-dessous ; l'historique des versions est disponible sur demande.

Voir aussi : Transparence des données, mentions légales, conditions générales de vente, profil de Pierre Touzet.

Dernière mise à jour : 6 mai 2026