Politique de confidentialité
1. Identité du responsable de traitement
Le responsable du traitement est T2 LABS (SAS au capital de 500 €, SIREN 990 351 645, siège : 3 Cité Fernet, 94700 Maisons-Alfort), dont les coordonnées complètes figurent dans les mentions légales.
2. Contact & Délégué à la Protection des Données (DPO)
Pour toute question relative à vos données personnelles, contactez : contact.t2labs+dpo@gmail.com. Pour le contact général, utilisez contact.t2labs@gmail.com.
3. Finalités et bases légales
| Finalité | Base légale |
|---|---|
| Fourniture du service de tutorat IA | Exécution du contrat (art. 6.1.b RGPD) |
| Authentification (magic link) | Exécution du contrat (art. 6.1.b RGPD) |
| Facturation / gestion abonnements | Obligation légale + contrat (art. 6.1.b-c RGPD) |
| Amélioration du service (analytics) | Intérêt légitime (art. 6.1.f RGPD) — [À CONFIRMER] |
| Respect des obligations légales (RGPD, LCEN, AI Act) | Obligation légale (art. 6.1.c RGPD) |
4. Données collectées
- Email du parent (identifiant de compte)
- Prénom de l'élève et niveau scolaire
- Messages échangés avec le tuteur IA (texte)
- Photos prises par l'élève (capture caméra ou pièce jointe) — transmises à Anthropic Claude Vision pour analyse pédagogique en temps réel. Aucune photo n'est stockée côté serveur (base64 inline dans la requête uniquement, éphémère).
- Messages audio (entrée microphone → Groq Whisper ; sortie TTS → Mistral Voxtral)
- Métadonnées d'usage (horodatage séances, durée, matières)
- Données de paiement (traitées par Stripe — non stockées chez nous)
Les durées de conservation seront précisées à la section 7 — Durées de conservation.
5. Destinataires et sous-traitants
Nous faisons appel à des sous-traitants spécialisés (hébergement, intelligence artificielle, paiement, analytics, email). Chacun est lié par un contrat conforme à l'article 28 du RGPD et ne traite vos données que sur nos instructions.
La liste exhaustive — avec finalité, catégories de données concernées, localisation, mécanisme de transfert et statut DPA — est disponible sur la page dédiée : Sous-traitants (RGPD art. 28).
Résumé des prestataires actuels :
- Anthropic — modèle de langage Claude, texte et image (Vision) : traitement des messages élève et analyse des photos prises (aucun stockage serveur)
- Mistral AI — synthèse vocale TTS (Voxtral, option voix)
- Groq — transcription audio Whisper (option voix)
- Stripe — paiement en ligne
- Vercel — hébergement (région EU fra1/cdg1)
- Supabase — base de données et authentification (région EU Frankfurt)
- Plausible — analytics RGPD-natif, hébergé en EU, sans cookie
- Mailjet — envoi d'emails transactionnels, hébergé en France
6. Transferts hors Union européenne
Certains sous-traitants (Anthropic, Groq, Stripe et, pour la maintenance, Vercel et Supabase) sont susceptibles de traiter des données depuis les États-Unis. Ces transferts sont encadrés par le Data Privacy Framework (DPF) UE–États-Unis (décision d'adéquation du 10 juillet 2023) et/ou des Clauses Contractuelles Types (CCT). Des mesures supplémentaires sont appliquées (Zero Data Retention, hébergement forcé EU, minimisation des données). Des analyses d'impact sur les transferts (TIA) sont en cours (cf. story #41).
Plausible et Mailjet hébergent leurs données en Union européenne ; aucun transfert hors UE n'est effectué pour ces services.
Pour le détail complet des garanties (CCT, DPA, certifications DPF) par sous-traitant, consultez la section Transferts de la page Sous-traitants.
7. Durées de conservation
Les durées de conservation par catégorie de données seront définies dans le cadre de la politique de rétention (story #42 — sprint 2). En attendant, les données sont conservées le temps nécessaire à la fourniture du service et aux obligations légales applicables.
8. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Droit d'accès à vos données (art. 15)
- Droit de rectification (art. 16)
- Droit à l'effacement (art. 17)
- Droit à la portabilité (art. 20)
- Droit d'opposition (art. 21)
- Droit au retrait du consentement (art. 7.3)
- Droit à la limitation du traitement (art. 18)
Pour exercer ces droits : privacy@portail-eleve.fr. Des interfaces d'export et de suppression de compte seront disponibles dans votre espace personnel (à venir).
9. Pour les jeunes utilisateurs (11-15 ans)
10. Informations pour les parents
Conformément à l'article 8 du RGPD et à l'article 7-1 de la loi Informatique et Libertés (LIL), le traitement de données concernant un mineur de moins de 15 ans requiert le consentement du titulaire de l'autorité parentale.
En créant un compte pour votre enfant, vous consentez au traitement décrit dans cette politique. Vous pouvez retirer ce consentement à tout moment en contactant privacy@portail-eleve.fr.
10 bis. Consentements pour les fonctionnalités sensibles
Pour les fonctionnalités sensibles (voix, capture photo, conservation des récapitulatifs pédagogiques), les consentements sont accordés par les parents ou tuteurs légaux par enfant inscrit, conformément à l'article 8 du RGPD relatif aux mineurs. Vous pouvez modifier ces consentements à tout moment depuis votre espace Mon compte.
En particulier, la capture photo (consentement multimodal_image par enfant) déclenche l'envoi de l'image à Anthropic Claude Vision pour analyse pédagogique. Les photos transitent uniquement le temps de la requête (base64 inline) et ne sont conservées ni sur nos serveurs ni chez le sous-traitant (Zero Data Retention — cf. Sous-traitants).
11. Cookies
Pour plus d'informations sur notre utilisation des cookies, consultez notre politique cookies.
12. Réclamation auprès de la CNIL
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL).
13. Mises à jour de cette politique
Cette politique peut être mise à jour. La version en vigueur est toujours accessible à cette adresse. En cas de modification substantielle, vous en serez informés par email.
Version actuelle : 1.1.1 — 2026-05-15