← Retour à MA1Politique de Confidentialité
Dernière mise à jour : mars 2026
1. Responsable du traitement
DamCompany, [adresse à compléter]
Email DPO : dpo@ma1.app
2. Données collectées
2.1 Données d'inscription
- Adresse email
- Prénom (optionnel)
- Mot de passe (stocké sous forme hachée avec bcrypt)
- Date de naissance (pour vérification de l'âge)
2.2 Données d'utilisation
- Questions posées au chatbot IA
- Réponses aux QCM (thème, résultat, horodatage)
- Résultats des examens blancs
- Images uploadées pour analyse de panneaux (non conservées au-delà de l'analyse)
- Progression dans le plan de révision
- Données de gamification (XP, badges, streaks)
2.3 Données techniques
- Adresse IP (logs serveur, conservation 12 mois)
- Type de navigateur et appareil
- Pages consultées et durée de session
3. Finalités et bases légales
| Finalité | Base légale |
| Fourniture du service (chat, QCM, examen) | Exécution du contrat (Art. 6.1.b RGPD) |
| Personnalisation (profil adaptatif) | Intérêt légitime (Art. 6.1.f) |
| Amélioration du service (analytics) | Intérêt légitime (Art. 6.1.f) |
| Facturation et paiement | Obligation légale (Art. 6.1.c) |
| Prospection commerciale (emails) | Consentement (Art. 6.1.a) |
4. Transferts de données hors UE
Certaines données sont transférées vers des sous-traitants établis hors de l'Union européenne :
- Anthropic (Claude IA) — États-Unis : les messages envoyés au chatbot et les images uploadées sont transmis à l'API Anthropic pour traitement. Anthropic s'engage contractuellement à ne pas utiliser ces données pour entraîner ses modèles (politique d'utilisation commerciale). Transfert encadré par les Clauses Contractuelles Types (SCC) de la Commission européenne.
- Stripe (paiements) — États-Unis : données bancaires uniquement. Stripe est certifié PCI DSS Level 1 et opère sous le Data Privacy Framework UE-US.
- Supabase (base de données) — Hébergement configurable. Instance recommandée : région eu-west (Francfort/Paris) pour conformité.
- Vercel (hébergement) — Réseau mondial avec points de présence en Europe.
5. Durée de conservation
- Données de compte : durée de l'abonnement + 3 ans (prescription légale)
- Données de progression : durée de l'abonnement
- Images uploadées : supprimées immédiatement après analyse (non stockées)
- Logs serveur : 12 mois
- Données de facturation : 10 ans (obligation comptable)
6. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Accès : obtenir une copie de vos données personnelles
- Rectification : corriger vos données inexactes
- Suppression : demander l'effacement de vos données (« droit à l'oubli »)
- Portabilité : recevoir vos données dans un format structuré (JSON)
- Opposition : vous opposer au traitement à des fins de prospection
- Limitation : demander la limitation du traitement
Pour exercer ces droits : dpo@ma1.app — Réponse sous 30 jours maximum.
7. Cookies
MA1 utilise des cookies techniques strictement nécessaires au fonctionnement du service (localStorage pour la sauvegarde de progression). Aucun cookie publicitaire ou de tracking tiers n'est utilisé. Le consentement est recueilli via la bannière cookies conforme à la directive ePrivacy.
8. Protection des mineurs
Le Service est accessible aux mineurs de 15 ans et plus (conduite accompagnée). Les mineurs de moins de 15 ans doivent fournir une preuve de consentement parental. Aucune donnée n'est collectée sciemment auprès d'enfants de moins de 15 ans sans consentement parental.
9. Réclamation
En cas d'insatisfaction, vous pouvez déposer une réclamation auprès de la CNIL : www.cnil.fr
10. Modification
Cette politique peut être modifiée. Les utilisateurs seront informés par email en cas de changement substantiel.