Légal
Politique de confidentialité.
La présente politique de confidentialité décrit la manière dont Comprendo collecte, utilise, conserve et protège les données personnelles des utilisateurs de la plateforme comprendo.fr(et de son sous-domaine app.comprendo.fr), conformément au Règlement général sur la protection des données (RGPD) n° 2016/679 et à la loi n° 78-17 du 6 janvier 1978 modifiée (« Informatique et Libertés »).
1. Responsable du traitement
- Responsable du traitement : Comprendo, entreprise individuelle (EI)
- Représentée par : Madame Manuella Dalimeido
- Adresse postale : 59, rue de Ponthieu, Bureau 326, 75008 Paris, France
- SIRET : [En cours d'attribution]
- Contact : contact@comprendo.fr
Délégué à la protection des données (DPO) : Comprendo n'est pas tenue de désigner un DPO au sens de l'article 37 du RGPD. Pour toute question relative à la protection des données, le contact privilégié est contact@comprendo.fr.
2. Données collectées et finalités
Comprendo collecte uniquement les données strictement nécessaires à la fourniture du service :
| Donnée | Finalité | Base légale |
|---|---|---|
| Email du parent | Création de compte, authentification, communication contractuelle | Exécution du contrat |
| Mot de passe (haché) | Authentification sécurisée | Exécution du contrat |
| Prénom de l'enfant | Personnalisation pédagogique | Consentement parental |
| Année de naissance / niveau scolaire | Adaptation du contenu au programme | Consentement parental |
| Matières sélectionnées | Personnalisation du parcours | Consentement parental |
| Messages du chat | Suivi pédagogique, mémoire IA, amélioration du service | Consentement parental |
| Réponses aux exercices | Évaluation et progression | Consentement parental |
| Historique de navigation interne | Continuité de l'expérience d'apprentissage | Exécution du contrat |
| Adresse IP, user-agent | Sécurité, prévention de la fraude, traçabilité du consentement | Intérêt légitime |
| Données de paiement | Facturation et règlement de l'abonnement | Exécution du contrat (traitées par Stripe) |
Aucune donnée sensible au sens de l'article 9 du RGPD (origine ethnique, opinions politiques, santé, etc.) n'est collectée. Aucune donnée n'est utilisée à des fins de profilage publicitaire ou de revente à des tiers.
3. Données des mineurs
Comprendo traite des données d'élèves mineurs. Conformément à l'article 8 du RGPD et à l'article 45 de la loi Informatique et Libertés, le consentement du titulaire de l'autorité parentale est requis pour tout mineur de moins de 15 ans.
Ce consentement est recueilli lors de l'inscription via une case à cocher dédiée et tracé en base de données (date, adresse IP, version des CGU/Politique de confidentialité acceptées). Le Parent peut retirer son consentement à tout moment depuis l'espace parent ou en écrivant à contact@comprendo.fr, sans préjudice de la licéité des traitements effectués avant le retrait.
4. Durée de conservation
- Données de compte : conservées pendant la durée de l'abonnement, puis pendant un (1) an après clôture (à des fins de réactivation), avant suppression définitive ou anonymisation.
- Messages du chat et réponses aux exercices : conservés pendant la durée de l'abonnement, supprimés à la clôture du compte.
- Données de facturation : conservées dix (10) ans, conformément à l'article L123-22 du Code de commerce.
- Données de paiement : non stockées par Comprendo — traitées par Stripe selon ses propres durées.
- Logs techniques et de sécurité : conservés douze (12) mois maximum, conformément aux recommandations de la CNIL.
- Traces du consentement parental : conservées pendant la durée nécessaire à la preuve, soit cinq (5) ans après la fin de la relation contractuelle.
5. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données :
- Droit d'accès : obtenir une copie de vos données (export disponible dans l'espace parent, rubrique « Mes données »).
- Droit de rectification : modifier vos informations directement depuis votre espace parent.
- Droit à l'effacement (« droit à l'oubli ») : demander la suppression de votre compte et de toutes les données associées (disponible dans l'espace parent, rubrique « Mes données »).
- Droit à la portabilité : exporter vos données dans un format structuré, couramment utilisé et lisible par machine (JSON).
- Droit d'opposition : vous opposer au traitement de vos données pour des motifs tenant à votre situation particulière.
- Droit à la limitation du traitement dans les cas prévus à l'article 18 du RGPD.
- Droit de retirer votre consentement à tout moment, sans que cela compromette la licéité des traitements effectués avant le retrait.
- Droit de définir des directives post-mortem relatives à la conservation, à l'effacement et à la communication de vos données après votre décès.
Pour exercer vos droits :
- depuis votre espace parent, rubrique « Mes données » ;
- par email à contact@comprendo.fr ;
- par courrier postal à : Comprendo — 59, rue de Ponthieu, Bureau 326, 75008 Paris, France.
Comprendo s'engage à répondre dans un délai d'un (1) mois, prorogeable de deux mois en cas de demande complexe, conformément à l'article 12 du RGPD. Une preuve d'identité pourra être demandée en cas de doute raisonnable sur l'identité du demandeur.
6. Sous-traitants et destinataires
Comprendo fait appel aux sous-traitants suivants, encadrés par des accords de traitement de données (DPA) :
| Sous-traitant | Rôle | Localisation | Encadrement transfert |
|---|---|---|---|
| Vercel Inc. | Hébergement de l'application web | USA (CDN mondial) | SCC + DPF |
| Neon Inc. | Base de données PostgreSQL | UE (Frankfurt) | UE — pas de transfert |
| OpenRouter (modèles d'IA) | Génération de contenu pédagogique | USA | SCC + DPF |
| Stripe Inc. | Traitement des paiements | USA / Irlande | SCC + DPF + PCI-DSS |
| Brevo (Sendinblue) | Envoi d'emails transactionnels | France (UE) | UE — pas de transfert |
| Sentry | Suivi des erreurs techniques | USA (option UE activée) | SCC + DPF |
Transferts hors UE : les transferts de données vers les États-Unis sont encadrés par les Clauses Contractuelles Types (CCT / SCC) adoptées par la Commission européenne et, lorsque le sous-traitant y est certifié, par le Data Privacy Framework UE-USA (décision d'adéquation du 10 juillet 2023). Comprendo ne transfère aucune donnée à des tiers à des fins commerciales ou publicitaires.
7. Cookies et traceurs
Comprendo utilise un nombre minimal de cookies, listés ci-dessous :
| Cookie | Finalité | Durée | Catégorie |
|---|---|---|---|
| Session (next-auth) | Authentification | Session | Strictement nécessaire |
| Theme preference | Mémorisation du mode clair/sombre | 1 an | Préférence (consentement non requis) |
| Cookie consent | Mémorisation du choix sur les cookies | 6 mois | Strictement nécessaire |
Aucun cookie publicitaire, de tracking tiers, de mesure d'audience tierce ou de réseaux sociaux n'est déposé. Le cookie de session est strictement nécessaire au fonctionnement du service et ne nécessite donc pas de consentement préalable (article 82 de la loi Informatique et Libertés, recommandation CNIL).
8. Sécurité
Comprendo met en œuvre les mesures techniques et organisationnelles suivantes pour protéger vos données :
- chiffrement des mots de passe via l'algorithme bcrypt avec sel ;
- chiffrement des communications en HTTPS (TLS 1.2+) ;
- isolation logique des données par famille (Row Level Security au niveau base de données) ;
- contrôle d'accès strict aux serveurs et à la base de données ;
- journalisation des actions d'administration ;
- sauvegardes chiffrées et restaurables (RPO 24h, RTO 4h) ;
- politique de gestion des incidents et de notification des violations.
9. Violation de données
En cas de violation de données personnelles, Comprendo s'engage à notifier la CNIL dans un délai de 72 heures après en avoir pris connaissance, conformément à l'article 33 du RGPD. Si la violation est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, Comprendo en informera les utilisateurs concernés dans les meilleurs délais (article 34 RGPD).
10. Décisions automatisées et intelligence artificielle
Comprendo utilise des systèmes d'intelligence artificielle générative pour produire le contenu pédagogique (fiches, exercices, corrections, échanges du tuteur). Ces systèmes ne prennent aucune décision produisant des effets juridiques sur les utilisateurs au sens de l'article 22 du RGPD.
Les données pédagogiques sont utilisées exclusivement pour personnaliser l'expérience d'apprentissage de l'élève au sein de son compte. Elles ne sont pas utilisées pour entraîner les modèles d'IA des sous-traitants tiers (paramètre désactivé contractuellement auprès des fournisseurs de modèles).
11. Réclamation auprès de la CNIL
Si vous estimez, après avoir contacté Comprendo, que vos droits sur vos données ne sont pas respectés, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
CNIL — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
Téléphone : 01 53 73 22 22
Site : www.cnil.fr
12. Modification de la politique
Comprendo se réserve la faculté de modifier la présente politique pour tenir compte d'évolutions légales ou techniques. Les modifications substantielles font l'objet d'une information préalable des utilisateurs par email et/ou notification dans la Plateforme.
13. Contact
Pour toute question relative à la protection de vos données :
Email : contact@comprendo.fr
Adresse postale : Comprendo — 59, rue de Ponthieu, Bureau 326, 75008 Paris, France