1. Introduction
Bienvenue sur Methodix. Nous accordons une importance capitale à la protection de vos données personnelles et au respect de votre vie privée. Cette politique de confidentialité explique de manière transparente comment nous collectons, utilisons, stockons et protégeons vos informations conformément au Règlement Général sur la Protection des Données (RGPD - UE 2016/679).
Responsable du traitement :
G8W
Représenté par : Augustin Rouchet
Email : contact@g8w.co
Délégué à la Protection des Données (DPO) :
Email : dpo@g8w.co
Note : Structure juridique en cours de finalisation (immatriculation prévue avant publication publique sur les stores).
2. Données collectées
Nous collectons uniquement les données strictement nécessaires au fonctionnement de l'application :
| Type de données | Finalité | Base légale | Conservation |
|---|---|---|---|
| Email, nom d'utilisateur | Création et gestion de compte | Exécution du contrat | Jusqu'à suppression + 30j |
| Identifiants EcoleDirecte (transitoires) | Synchronisation devoirs/emploi du temps | Consentement explicite | Non stockés |
| Devoirs, emploi du temps, notes | Fonctionnalités de l'application | Exécution du contrat | 1 an après date du devoir |
| Conversations avec le Coach IA | Assistance personnalisée à l'apprentissage | Exécution du contrat | 6 mois glissants |
| Photos de cours (fiches) | Génération de fiches de révision | Consentement explicite | Jusqu'à suppression manuelle |
| Données d'usage (logs techniques) | Amélioration du service, sécurité | Intérêt légitime | 90 jours |
2.1 Identifiants EcoleDirecte - Précisions importantes
Vos identifiants EcoleDirecte ne sont JAMAIS stockés sur nos serveurs.
Fonctionnement technique :
- Vous saisissez vos identifiants ED directement dans l'application
- Ils sont chiffrés localement sur votre appareil (AES-256)
- Ils transitent de manière sécurisée (HTTPS/TLS 1.3) uniquement pour récupérer vos données
- Ils ne sont jamais enregistrés dans nos bases de données
- Vous pouvez révoquer l'accès à tout moment
3. Utilisation des données
Vos données sont utilisées exclusivement pour :
- Fournir les fonctionnalités de l'application Methodix
- Personnaliser votre expérience d'apprentissage
- Synchroniser vos devoirs depuis EcoleDirecte
- Générer des recommandations de planning via notre Coach IA
- Créer des fiches de révision à partir de vos photos de cours
- Améliorer nos services (données anonymisées uniquement)
- Assurer la sécurité et prévenir les fraudes
- Respecter nos obligations légales
Nous ne vendons JAMAIS vos données à des tiers.
Nous n'utilisons JAMAIS vos données à des fins publicitaires.
Aucune donnée n'est utilisée pour entraîner des modèles d'IA externes.
4. Sous-traitants et partenaires technologiques
Pour fournir nos services, nous faisons appel aux sous-traitants suivants, tous conformes au RGPD :
4.1 Hébergement et infrastructure
| Sous-traitant | Service | Localisation | Garanties |
|---|---|---|---|
| Amazon Web Services (AWS) | Hébergement base de données, serveurs backend | Région eu-west-1 (Irlande, UE) | DPA RGPD, certifié ISO 27001 |
| AWS Cognito | Authentification utilisateurs | Région eu-west-1 (Irlande, UE) | DPA RGPD, chiffrement AES-256 |
4.2 Intelligence Artificielle (Coach IA)
| Sous-traitant | Service | Données traitées | Garanties |
|---|---|---|---|
| AWS Bedrock (Anthropic Claude) | Traitement IA pour le coaching personnalisé | Devoirs, conversations, photos de cours | Données restent dans VPC AWS UE. Aucune utilisation pour entraînement IA. Suppression immédiate après traitement. |
Important concernant le Coach IA :
- Vos conversations et données scolaires sont envoyées à AWS Bedrock (hébergé en UE) pour générer les réponses du Coach
- Les données ne quittent JAMAIS l'Union Européenne
- Elles ne sont JAMAIS utilisées pour entraîner ou améliorer les modèles d'IA d'Anthropic
- Elles sont supprimées immédiatement après génération de la réponse
- AWS et Anthropic ont signé un Data Processing Agreement (DPA) conforme au RGPD
4.3 Traitement des photos de cours
Lorsque vous prenez une photo de vos cours pour générer une fiche :
- La photo est envoyée de manière chiffrée (TLS 1.3) à nos serveurs AWS (UE)
- Elle est transmise à AWS Bedrock pour extraction du contenu et génération de la fiche
- La photo originale est supprimée de nos serveurs dans les 24 heures
- Seule la fiche générée (texte) est conservée dans votre compte
- Vous pouvez supprimer vos fiches à tout moment
5. Stockage et sécurité
Vos données sont stockées de manière sécurisée sur les serveurs AWS (Amazon Web Services) situés dans l'Union Européenne (région eu-west-1, Irlande).
Mesures de sécurité techniques mises en place :
- Chiffrement des données en transit : TLS 1.3 pour toutes les communications
- Chiffrement des données au repos : AES-256 pour toutes les bases de données
- Authentification sécurisée : AWS Cognito avec MFA disponible
- Identifiants EcoleDirecte : Chiffrés localement (AES-256), non stockés sur serveurs
- Accès restreint : Principe du moindre privilège, logs d'accès, authentification 2FA pour l'équipe
- Sauvegardes : Chiffrées, stockées en UE, retention 30 jours
- Tests de sécurité : Audits réguliers, scan de vulnérabilités
Mesures organisationnelles :
- Politique de sécurité interne stricte
- Formation RGPD de l'équipe
- Contrats de confidentialité pour tous les collaborateurs
- Procédure de gestion des incidents de sécurité
6. Conservation des données
| Type de données | Durée de conservation | Raison |
|---|---|---|
| Compte utilisateur (email, nom) | Jusqu'à suppression du compte + 30 jours | Délai légal de rétractation |
| Devoirs et planning | 1 an après la date du devoir | Pertinence pédagogique |
| Conversations Coach IA | 6 mois glissants | Contextualisation des réponses |
| Photos de cours (originales) | 24 heures maximum | Traitement IA puis suppression |
| Fiches générées | Jusqu'à suppression manuelle | Révisions long terme |
| Logs techniques | 90 jours | Sécurité et débogage |
| Données de facturation | 10 ans | Obligation légale comptable |
À l'expiration de ces délais, les données sont supprimées définitivement de nos systèmes de production et de sauvegarde.
7. Vos droits (RGPD)
Conformément au RGPD (articles 15 à 22), vous disposez des droits suivants :
7.1 Droit d'accès (art. 15)
Vous pouvez obtenir une copie de toutes vos données personnelles au format JSON ou PDF.
7.2 Droit de rectification (art. 16)
Vous pouvez corriger vos données inexactes ou incomplètes directement dans l'application ou en nous contactant.
7.3 Droit à l'effacement / "Droit à l'oubli" (art. 17)
Vous pouvez demander la suppression de vos données. Délai de traitement : 30 jours maximum. Certaines données peuvent être conservées pour obligations légales (ex: facturation).
7.4 Droit à la portabilité (art. 20)
Vous pouvez recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON, CSV). Vous pouvez les transmettre à un autre service.
7.5 Droit d'opposition (art. 21)
Vous pouvez vous opposer au traitement de vos données pour des motifs légitimes.
7.6 Droit à la limitation (art. 18)
Vous pouvez demander la limitation temporaire du traitement dans certains cas (contestation, opposition en cours, etc.).
7.7 Droit de retirer votre consentement
Pour les traitements basés sur le consentement (EcoleDirecte, photos), vous pouvez le retirer à tout moment.
Comment exercer vos droits ?
✉️ Email : dpo@g8w.co ou contact@g8w.co
📱 Directement dans l'application : Paramètres > Confidentialité et données
⏱️ Délai de réponse : 30 jours maximum (1 mois à compter de la réception de votre demande)
🆔 Pièce d'identité requise pour garantir la sécurité de vos données
8. Cookies et traceurs
Application mobile : L'application mobile Methodix n'utilise pas de cookies. Nous n'effectuons aucun suivi publicitaire.
Site web (methodix.app) :
- Cookies essentiels : Session utilisateur (si vous vous connectez via le web)
- Traceurs tiers : Google Fonts (chargement de polices). Ce service peut déposer des cookies de performance. Vous pouvez les bloquer via les paramètres de votre navigateur.
- Aucun cookie publicitaire ou de tracking comportemental
9. Transferts de données hors UE
Principe : Vos données restent dans l'Union Européenne.
Tous nos serveurs et sous-traitants principaux (AWS, Bedrock) sont situés dans l'UE (région eu-west-1, Irlande).
Exception : En cas de support technique exceptionnel, certaines données techniques (logs, non nominatives) pourraient transiter par des outils basés aux États-Unis (ex: outils de monitoring). Dans ce cas :
- Clauses Contractuelles Types (CCT) de la Commission Européenne
- Chiffrement renforcé des données en transit
- Minimisation des données transférées
10. Protection des mineurs
Methodix est destiné aux élèves et étudiants, dont beaucoup sont mineurs.
10.1 Consentement parental (moins de 16 ans)
Conformément à l'article 8 du RGPD, les utilisateurs de moins de 16 ans doivent obtenir le consentement de leurs parents ou tuteurs légaux.
Mécanisme de consentement :
- Lors de l'inscription, l'utilisateur indique son âge
- Si l'utilisateur a moins de 16 ans, un email est automatiquement envoyé au parent/tuteur
- Le parent doit valider le compte en cliquant sur un lien de confirmation
- Le compte est activé uniquement après validation parentale
- Les parents peuvent révoquer le consentement à tout moment en nous contactant
10.2 Mesures de protection renforcées
- Aucune publicité ciblée ou générale
- Aucun partage de données avec des tiers à des fins commerciales
- Interface adaptée aux mineurs (pas de contenus inappropriés)
- Contrôles parentaux disponibles sur demande
11. Incidents de sécurité (Data breach)
En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à :
- Notifier la CNIL dans les 72 heures suivant la découverte de l'incident (art. 33 RGPD)
- Vous informer individuellement si le risque est élevé pour vos données (art. 34 RGPD)
- Décrire la nature de la violation et les mesures prises
- Fournir des recommandations pour protéger vos données (ex: changement de mot de passe)
Nous disposons d'une procédure interne de gestion des incidents pour réagir rapidement et efficacement.
12. Anonymisation et statistiques
Nous pouvons utiliser des données anonymisées à des fins statistiques et d'amélioration du service. Les données anonymisées ne permettent en aucun cas de vous identifier.
Exemples d'usage :
- Taux de réussite moyen des élèves utilisant le Coach IA
- Matières les plus révisées
- Heures de pic d'utilisation de l'application
Ces statistiques agrégées peuvent être partagées publiquement ou avec des partenaires pédagogiques, mais ne contiennent aucune donnée personnelle.
13. Décisions automatisées et profilage
Le Coach IA de Methodix génère des recommandations de planning basées sur :
- Vos devoirs à venir
- Votre emploi du temps
- Vos sessions de travail passées
Important : Ces suggestions sont des aides à la décision, pas des décisions automatisées ayant des effets juridiques. Vous restez libre de les suivre ou non. Il n'y a aucun profilage à des fins commerciales ou publicitaires.
14. Modifications de la politique
Nous nous réservons le droit de modifier cette politique de confidentialité. En cas de changement substantiel :
- Vous serez informé via l'application (notification in-app)
- Un email vous sera envoyé si vous avez accepté les communications
- La date de "Dernière mise à jour" sera actualisée en haut de cette page
La poursuite de l'utilisation de l'application après modification vaut acceptation de la nouvelle politique.
15. Contact et réclamations
15.1 Nous contacter
Email général : contact@g8w.co
Délégué à la Protection des Données (DPO) : dpo@g8w.co
Délai de réponse : 30 jours maximum
15.2 Réclamation auprès de la CNIL
Si vous estimez que vos droits ne sont pas respectés, vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle française :
Commission Nationale de l'Informatique et des Libertés (CNIL)
📍 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
📞 01 53 73 22 22
📧 Via le formulaire en ligne : www.cnil.fr/fr/plaintes
16. Glossaire
- RGPD : Règlement Général sur la Protection des Données (UE 2016/679)
- DPA : Data Processing Agreement (Accord de traitement des données)
- TLS : Transport Layer Security (Protocole de chiffrement des communications)
- AES-256 : Advanced Encryption Standard, algorithme de chiffrement
- VPC : Virtual Private Cloud (Réseau privé virtuel isolé)
- UE : Union Européenne