Politique de Confidentialité et de Protection des Données
Préambule — Kylian Duprat, entrepreneur individuel (ci-après « Ernest », « nous » ou « notre »), respecte l'ensemble des dispositions applicables en matière de protection de la vie privée et des données à caractère personnel, notamment la loi n° 78-17 du 6 janvier 1978 modifiée (Loi Informatique et Libertés) et le Règlement UE 2016/679 du 27 avril 2016 (RGPD).
1. Objet de la politique de confidentialité
La présente politique a vocation à définir nos engagements en matière de protection des données personnelles envers toute personne utilisant l'application Ernest. Elle précise les conditions de collecte, d'utilisation et de conservation des données personnelles, les droits dont vous disposez concernant vos données, et les mesures de sécurité mises en œuvre.
2. Responsable du traitement
Identité : Kylian Duprat, Entrepreneur individuel
Email : [email protected]
Adresse : 6 impasse Saint Michel, 64200 Biarritz, France
Site web : https://ernest-app.fr
3. Données collectées et finalités
3.1 Données d'identification et de compte
| Donnée | Finalité | Base légale (RGPD) | Durée |
|---|---|---|---|
| Adresse email | Création de compte, authentification, communications | Art. 6.1.b – Exécution du contrat | Durée du compte + 3 ans |
| Mot de passe (hashé) | Sécurisation de l'accès au compte | Art. 6.1.b – Exécution du contrat | Durée du compte |
| Prénom (optionnel) | Personnalisation de l'expérience | Art. 6.1.a – Consentement | Durée du compte |
| Diplôme préparé | Adaptation du contenu pédagogique (BTS MCO, NDRC, GPME, etc.) | Art. 6.1.b – Exécution du contrat | Durée du compte |
| Matières sélectionnées | Personnalisation des bases de connaissances IA | Art. 6.1.b – Exécution du contrat | Durée du compte |
3.2 Données générées par l'utilisation du service
| Donnée | Finalité | Base légale (RGPD) | Durée |
|---|---|---|---|
| Messages envoyés au Coach IA | Fourniture du service de coaching personnalisé | Art. 6.1.b – Exécution du contrat | Durée du compte |
| Documents uploadés (photos de cours) | Analyse IA pour génération de fiches et quiz | Art. 6.1.b – Exécution du contrat | Durée du compte |
| Fiches, quiz et flashcards générés | Stockage du contenu pédagogique créé | Art. 6.1.b – Exécution du contrat | Durée du compte |
| Statistiques de progression (XP, streak) | Gamification et suivi d'apprentissage | Art. 6.1.b – Exécution du contrat | Durée du compte |
3.3 Données techniques collectées automatiquement
| Donnée | Finalité | Base légale (RGPD) | Durée |
|---|---|---|---|
| Identifiant unique de session | Fonctionnement technique | Art. 6.1.f – Intérêt légitime | Durée de la session |
| Type d'appareil et OS | Optimisation et compatibilité | Art. 6.1.f – Intérêt légitime | 12 mois |
| Logs d'erreurs | Maintenance et débogage | Art. 6.1.f – Intérêt légitime | 12 mois |
4. Traitement des données par l'intelligence artificielle
4.1 Fonctionnement du Coach IA
Ernest utilise des modèles d'intelligence artificielle (Claude par Anthropic) pour fournir un coaching personnalisé. Lorsque vous interagissez avec le Coach IA, vos messages sont transmis à notre fournisseur d'IA pour générer des réponses adaptées.
4.2 Mesures de protection
- Pseudonymisation des données avant envoi au fournisseur d'IA
- Les données ne sont pas utilisées pour entraîner les modèles d'IA tiers
- Les conversations sont chiffrées en transit (TLS 1.2+)
- Les réponses du Coach IA sont générées en temps réel et non stockées par le fournisseur d'IA
4.3 Absence de décision automatisée
Aucune décision ayant des effets juridiques ou similaires n'est prise de manière entièrement automatisée. Le Coach IA fournit une assistance pédagogique et ne se substitue pas à un enseignant.
5. Sous-traitants et destinataires des données
| Sous-traitant | Service | Localisation | Données concernées |
|---|---|---|---|
| Supabase Inc. | Hébergement base de données, authentification | UE (AWS eu-west-1) | Toutes les données du compte |
| Anthropic PBC | Intelligence artificielle (Coach IA) | États-Unis | Messages anonymisés au Coach IA |
| RevenueCat Inc. | Gestion des abonnements in-app | États-Unis | ID utilisateur, statut d'abonnement |
| Apple Inc. | Distribution App Store, achats in-app | États-Unis | ID de transaction, email (via Apple Sign-In) |
| Google LLC | Distribution Google Play, achats in-app | États-Unis | ID de transaction |
6. Transferts de données hors UE
Certains de nos sous-traitants étant situés aux États-Unis, des transferts de données hors de l'Union Européenne peuvent avoir lieu. Ces transferts sont encadrés par les Clauses Contractuelles Types (CCT) approuvées par la Commission Européenne (Décision d'exécution 2021/914), le Data Privacy Framework UE-États-Unis pour les entreprises certifiées, et des mesures techniques supplémentaires : chiffrement de bout en bout, pseudonymisation.
7. Sécurité des données
Nous mettons en œuvre des mesures techniques et organisationnelles conformément à l'article 32 du RGPD :
- Chiffrement : données en transit via TLS 1.2+, données au repos via AES-256 (Supabase), mots de passe hashés avec bcrypt
- Contrôle des accès : authentification par tokens JWT, politique de moindre privilège
- Sauvegardes : quotidiennes, réplication dans l'UE
- Notification des violations : CNIL sous 72h, information des utilisateurs si risque élevé
8. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Droit d'accès (Art. 15) : obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie
- Droit de rectification (Art. 16) : corriger vos données dans l'application (section Profil) ou via contact
- Droit à l'effacement (Art. 17) : supprimer votre compte et toutes vos données (Profil → Supprimer mon compte, ou par email). Suppression définitive et irréversible : compte, conversations, fiches, quiz, flashcards, statistiques, documents uploadés.
- Droit à la portabilité (Art. 20) : recevoir vos données en format structuré (JSON ou CSV)
- Droit d'opposition (Art. 21) : vous opposer au traitement pour motifs légitimes
- Droit à la limitation (Art. 18) : demander la limitation du traitement dans les cas prévus
Pour exercer vos droits : [email protected] — Réponse sous 30 jours maximum.
En cas de litige, vous pouvez saisir la CNIL : www.cnil.fr — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.
9. Utilisation par les mineurs
Ernest est destiné aux étudiants en BTS et DCG, généralement âgés de 18 ans ou plus. Si un utilisateur est âgé de moins de 16 ans, le consentement d'un titulaire de l'autorité parentale est requis conformément à l'article 8 du RGPD. Nous ne collectons pas sciemment de données relatives à des enfants de moins de 13 ans.
10. Cookies et technologies similaires
L'application mobile Ernest n'utilise pas de cookies. Le site web ernest-app.fr utilise Google Analytics avec anonymisation des adresses IP pour mesurer l'audience. Aucun cookie publicitaire n'est utilisé.
11. Modification de la politique
Nous nous réservons le droit de modifier cette politique à tout moment. En cas de modification substantielle, vous serez informé(e) par notification dans l'application ou par email au moins 30 jours avant l'entrée en vigueur.