Connexion

Transparence des données

Cette page liste l'ensemble des sous-traitants qui hébergent ou traitent vos données dans le cadre de Distil. Régions, finalités, encadrement légal : tout y est, sans simplification commerciale.

Hébergement et conformité RGPD

Nous privilégions des sous-traitants européens chaque fois que c'est possible. Vos données d'apprentissage (compte, progression, suivi de cours) sont stockées en Europe. Le paiement et certaines briques techniques s'appuient sur des prestataires américains, encadrés par des Clauses Contractuelles Types (SCCs) conformes au RGPD.

Sous-traitants

Distil s'appuie sur 7 sous-traitants : Supabase, Vercel, Lemon Squeezy, PostHog, Resend, Beehiiv, GitHub. Pour chacun, l'entité légale, la région d'hébergement, la finalité et l'encadrement sont détaillés ci-dessous. Toute modification substantielle vous est notifiée par email.

La newsletter Le Carnet est hébergée et envoyée par Beehiiv, qui s'appuie lui-même sur 17 sous-processeurs (hébergement cloud, anti-spam, analytique, paiement). La liste exhaustive et à jour est publiée par Beehiiv sur subprocessors.beehiiv.com. Les transferts hors UE sont encadrés par les Clauses Contractuelles Types (Décision UE 2021/914).

Supabase

Irlande (eu-west-1)
Entité légale
Supabase Inc. (États-Unis)
Finalité
Authentification, base de données, suivi de progression
Données traitées
Email, mot de passe (chiffré), progression de cours, métadonnées techniques
Encadrement
Données stockées en Europe. Société américaine, support encadré par SCCs.

Vercel

Functions exécutées en Europe ; société soumise au droit US
Entité légale
Vercel Inc. (États-Unis, Delaware)
Finalité
Hébergement du site et des fonctions serveur
Données traitées
Logs techniques, adresse IP (éphémère), entêtes de requête
Encadrement
Encadrement par Clauses Contractuelles Types (SCCs).

Lemon Squeezy

États-Unis
Entité légale
Lemon Squeezy LLC, filiale de Stripe Inc. (États-Unis)
Finalité
Paiement, facturation, prévention de la fraude
Données traitées
Email, nom, adresse de facturation, données de paiement (via Stripe), IP
Encadrement
Encadrement par SCCs. Aucune donnée bancaire stockée par Distil.

PostHog

Allemagne (Frankfurt, eu.i.posthog.com)
Entité légale
PostHog Inc. (États-Unis)
Finalité
Analyse produit (parcours, funnels, achèvement de leçons)
Données traitées
Identifiant utilisateur, événements de navigation, email (associé au compte)
Encadrement
Données stockées en Europe. Pas de tracking publicitaire, pas de revente.

Resend

États-Unis
Entité légale
Resend Inc. (États-Unis)
Finalité
Envoi d'emails transactionnels (confirmation de compte, réinitialisation de mot de passe, accusés d'achat)
Données traitées
Email, contenu des messages transactionnels, statut de délivrabilité
Encadrement
Encadrement par SCCs. Pas de stockage durable des contenus. Migration vers la région EU à l'étude.

Beehiiv

États-Unis
Entité légale
beehiiv Inc. (États-Unis, New York)
Finalité
Hébergement et envoi de la newsletter Le Carnet : gestion des abonnés, envois éditoriaux, statistiques d'engagement
Données traitées
Email, prénom (si fourni), statut d'abonnement, métadonnées d'engagement (ouvertures, clics), date d'inscription
Encadrement
Encadrement par Clauses Contractuelles Types (Décision UE 2021/914, Module 2) et UK IDTA. Beehiiv s'appuie sur 17 sous-processeurs détaillés sur subprocessors.beehiiv.com. Transfer Impact Assessment réalisé en interne (mai 2026).

GitHub

États-Unis
Entité légale
GitHub Inc., filiale de Microsoft Corp. (États-Unis)
Finalité
Hébergement du code source du site
Données traitées
Aucune donnée d'apprenant. Code source uniquement.
Encadrement
Pas de transfert de données utilisateurs.

Cookies et stockage navigateur

Distil dépose uniquement des éléments de stockage strictement nécessaires au fonctionnement du service, exemptés de consentement préalable au titre de l'article 82 de la loi Informatique et Libertés.

Nom Type Finalité Durée
sb-<projet>-auth-token Cookie HttpOnly Session d'authentification Supabase 1 semaine (refresh token)
sb-<projet>-auth-token-code-verifier Cookie HttpOnly Sécurité OAuth/PKCE Supabase Session
theme localStorage Préférence visuelle (clair/sombre) Persistant jusqu'à effacement
ph_* localStorage Mesure d'audience produit PostHog (Frankfurt). Email haché avant envoi, jamais en clair. 13 mois maximum (délibération CNIL n°2020-091)
distil_capture_done Cookie Strictement nécessaire : masque le formulaire de création de compte gratuit après une soumission réussie pour éviter de le réafficher à chaque page. 90 jours

La mesure d'audience PostHog applique la délibération CNIL n°2020-091 relative aux outils de mesure d'audience exemptés de consentement : pas de croisement avec d'autres traitements, pas de revente, durée de vie ≤ 13 mois, pas de cookie tiers.

Ce que nous ne faisons pas

  • Aucun cookie publicitaire ni de tracking tiers.
  • Aucun profilage commercial ni revente de données.
  • Aucune décision automatisée sur vos données.
  • Aucun envoi de prospection commerciale sans inscription volontaire de votre part.

Vos droits RGPD

L'accès (Art. 15), la portabilité (Art. 20) et l'effacement (Art. 17) sont accessibles en self-service immédiat depuis votre espace compte, section Mes données. La rectification (Art. 16), l'opposition (Art. 21) et la limitation (Art. 18) restent traitées par email à contact@distil.academy. Cette adresse joint Pierre Touzet, CIL labellisé CNIL et opérateur de Distil. Réponse aux demandes par email sous 30 jours maximum.

Voir aussi notre politique de confidentialité et nos mentions légales.

Dernière mise à jour :