⚠️ Document de travail — squelette à compléter avec tes informations légales (zones jaunes [À COMPLÉTER : …]), puis à faire valider par un juriste avant la première vente. Sans ces étapes, l'activité de vente est juridiquement irrégulière.
Confidentialité
Politique de confidentialité
Cette politique décrit comment vos données personnelles sont collectées, traitées et protégées, conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés modifiée.
Dernière mise à jour : 2026-05-09
1.Responsable du traitement
Le responsable du traitement des données personnelles est :
SASU INGEGREEN
3324 avenue Kennedy, 30900 Nîmes, France
SIREN : 887 842 854 — RCS Nîmes
Email : support@prepa-gdp.fr
Délégué à la protection des données (DPO) : pas de DPO désigné — le responsable du traitement est joignable directement à l'adresse email ci-dessus.
2.Données collectées
2.1 Données fournies directement par vous
- Identifiants de compte : adresse email, mot de passe (stocké sous forme hachée — jamais en clair)
- Informations de profil : nom, prénom (optionnel), marque d'origine
- Données de paiement : numéro de carte bancaire, date d'expiration, CVC. Ces données ne transitent jamais par nos serveurs et sont collectées et stockées exclusivement par notre prestataire de paiement Stripe.
- Messages de contact : contenu des messages que vous nous envoyez via le formulaire de contact ou le chat
2.2 Données générées par votre utilisation du Service
- Données pédagogiques : sessions QCM, scores, réponses à chaque question, marquages favoris/à revoir, corrections IA de cas pratique
- Données de progression : nombre de jours consécutifs, score moyen, maîtrise par thème
- Logs techniques : adresse IP, type de navigateur, pages visitées, dates et heures (à des fins de sécurité et de diagnostic)
2.3 Données collectées automatiquement
- Cookies fonctionnels : nécessaires au fonctionnement de l'authentification (cf. article 9)
- Identifiants techniques : ID utilisateur, tokens de session
3.Finalités et bases légales
Les données sont collectées pour les finalités suivantes :
| Finalité | Base légale |
|---|---|
| Création et gestion de votre compte | Exécution du contrat (CGV) |
| Fourniture des services payants | Exécution du contrat |
| Traitement des paiements | Exécution du contrat + obligation légale (comptabilité) |
| Personnalisation pédagogique (recommandations, score préparation) | Exécution du contrat |
| Réponse aux messages de support | Exécution du contrat / intérêt légitime |
| Prévention de la fraude et sécurité | Intérêt légitime |
| Statistiques d'usage agrégées et anonymisées | Intérêt légitime |
| Communication marketing (newsletters) | Consentement (opt-in explicite) |
| Respect d'obligations légales (lutte contre la fraude, archivage comptable) | Obligation légale |
4.Destinataires et sous-traitants
Vos données ne sont jamais vendues ni cédées à des tiers. Elles peuvent toutefois être communiquées à nos sous-traitants techniques dans la stricte mesure nécessaire à la fourniture du Service :
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| Stripe Payments Europe Ltd | Traitement des paiements et facturation | Irlande (UE) |
| Supabase Inc. | Hébergement de la base de données et authentification | Irlande (UE) |
| Vercel Inc. | Hébergement et exécution de l'application, mesure d'audience agrégée (Web Analytics) et indicateurs de performance (Speed Insights) | États-Unis (DPF — UE-US Data Privacy Framework) |
| Anthropic PBC | Correction IA des cas pratiques, assistant de support | États-Unis (clauses contractuelles types) |
| Resend Inc. | Envoi d'emails transactionnels (création de compte, réinitialisation de mot de passe, notifications) | États-Unis (clauses contractuelles types — DNS et SPF/DKIM signés au nom du domaine prepa-gdp.fr) |
Tous les sous-traitants sont liés contractuellement au respect du RGPD et appliquent des mesures de sécurité conformes à l'état de l'art.
5.Transferts hors Union européenne
Certains de nos sous-traitants (Vercel, Anthropic) sont situés aux États-Unis. Ces transferts sont encadrés par :
- Le Data Privacy Framework (UE-US DPF) auquel Vercel a adhéré ;
- Des clauses contractuelles types (CCT) signées avec Anthropic, conformément aux décisions de la Commission européenne ;
- Des engagements de chiffrement des données en transit et au repos.
Le contenu de votre compte (questions de QCM, réponses, fiches) est stocké en Union européenne (Supabase région Irlande). Les interactions avec l'IA (corrections de cas pratique, chatbot) sont traitées par Anthropic aux États-Unis et ne sont pas conservées au-delà du temps nécessaire à la réponse.
6.Durées de conservation
| Catégorie de données | Durée de conservation |
|---|---|
| Données du compte (email, profil) | Tant que le compte est actif. Suppression dans les 30 jours suivant une demande. |
| Données pédagogiques (sessions, scores) | 3 ans après la dernière activité, puis anonymisation |
| Logs techniques | 12 mois |
| Factures et données comptables | 10 ans (obligation légale, article L.123-22 Code de commerce) |
| Messages de contact | 3 ans après le dernier échange |
| Données de prospection (newsletter) | 3 ans après le dernier contact ou désabonnement immédiat |
7.Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles conformes à l'état de l'art pour protéger vos données :
- Chiffrement HTTPS/TLS pour toutes les communications
- Mots de passe stockés sous forme hachée (bcrypt via Supabase Auth)
- Row Level Security (RLS) sur la base de données : chaque utilisateur n'accède qu'à ses propres données
- Authentification multi-facteurs disponible pour les administrateurs
- Sauvegardes quotidiennes chiffrées hébergées en UE
- Surveillance et journalisation des accès anormaux
8.Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès : obtenir une copie de toutes les données vous concernant
- Droit de rectification : corriger des données inexactes
- Droit à l'effacement (« droit à l'oubli ») : faire supprimer vos données, sauf obligation légale de conservation
- Droit à la portabilité : recevoir vos données dans un format structuré et lisible par machine
- Droit de limitation : restreindre temporairement le traitement
- Droit d'opposition : refuser un traitement basé sur l'intérêt légitime ou la prospection
- Droit de retirer votre consentement à tout moment, pour les traitements basés sur le consentement
- Droit de définir des directives post-mortem relatives au sort de vos données après votre décès
Pour exercer ces droits, contactez-nous à l'adresse : support@prepa-gdp.fr. Nous répondrons dans un délai d'un mois.
En cas de réponse insatisfaisante, vous pouvez saisir la Commission Nationale de l'Informatique et des Libertés (CNIL) :
CNIL — 3 place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07
Tél. : 01 53 73 22 22
Site : www.cnil.fr
9.Cookies
Notre site utilise des cookies dans les conditions suivantes :
9.1 Cookies strictement nécessaires (sans consentement requis)
- Authentification : conservation de la session après connexion (cookies Supabase Auth, durée : session du navigateur ou 7 jours selon le choix de l'utilisateur)
- Sécurité : protection contre les attaques CSRF (cookies courte durée)
9.2 Mesure d'audience
Nous utilisons Vercel Web Analytics et Vercel Speed Insights pour mesurer la fréquentation du site et la qualité technique des pages (vitesse, indicateurs Core Web Vitals).
Ces outils ne posent aucun cookie, n'utilisent aucun identifiant persistant et n'effectuent aucun fingerprinting. Les données collectées sont uniquement : page consultée, source de la visite (referrer), type de navigateur, pays, durée de chargement. Toutes les données sont agrégées et ne permettent pas d'identifier un utilisateur précis. Conformément aux lignes directrices de la CNIL relatives aux cookies et traceurs, ces traitements sont exemptés de consentement préalable.
Aucun outil de mesure d'audience tiers (Google Analytics, PostHog, Mixpanel, etc.) n'est posé sur ce site. Aucun cookie publicitaire n'est utilisé.
9.3 Cookies publicitaires ou de tracking
Aucun cookie publicitaire n'est posé sur ce site.
9.4 Gestion des cookies
Vous pouvez à tout moment configurer vos préférences via les paramètres de votre navigateur. La désactivation des cookies fonctionnels peut empêcher le bon fonctionnement de votre compte.
10.Modifications de la politique
La présente politique peut être modifiée pour refléter l'évolution du service ou des obligations légales. Toute modification substantielle vous sera communiquée par email au moins 30 jours avant son entrée en vigueur.
La version applicable à tout moment est celle datée en haut de cette page.
Politique conforme au Règlement (UE) 2016/679 (RGPD), à la loi n° 78-17 du 6 janvier 1978 modifiée (Informatique et Libertés) et aux lignes directrices de la CNIL. À faire valider par un juriste ou un délégué à la protection des données avant la première vente.