Politique de confidentialité
Article 1 — Identité du sous-traitant
Le service prep. est édité par la société NO WAY (SASU au capital de 1 225 000 €), immatriculée au RCS de Lyon sous le numéro 989 895 321, dont le siège social est situé au 28 Impasse des Lisières, 69730 Genay, France.
Directeur de la publication : Arnaud Duraffourd.
Au sens du Règlement Général sur la Protection des Données (RGPD), prep. agit en qualité de sous-traitant (Art. 28 RGPD) pour les données des élèves. L'enseignant utilisateur est le responsable de traitement des données de ses élèves et de leurs tuteurs légaux. Pour les données de l'enseignant lui-même (compte utilisateur), NO WAY est responsable de traitement.
Contact DPO : contact@prep-classe.fr
Article 2 — Données collectées
2.1 Données enseignants
- Nom, prénom, adresse e-mail
- Mot de passe (hashé bcrypt, jamais stocké en clair)
- Zone scolaire (A, B ou C), année scolaire, type de poste
- Données d'utilisation : séquences créées, horodatages de connexion
2.2 Données élèves (saisies par l'enseignant)
- Nom, prénom, date de naissance, genre
- Contacts des tuteurs légaux (adresse e-mail)
- Besoins spécifiques : PAP, PAI, PPRE
2.3 Données incidents
- Type d'incident, gravité, lieu, description
- Élèves impliqués, notification aux parents
2.4 Données documents
- Nom de l'élève, statut de remise du document
Article 3 — Finalités du traitement
Les données personnelles sont traitées pour les finalités suivantes :
| Traitement | Base légale |
|---|---|
| Gestion des comptes enseignants | Contrat (Art. 6.1.b RGPD) |
| Gestion des données élèves | Mission d'intérêt public (Art. 6.1.e RGPD) |
| Génération de contenu pédagogique par IA | Contrat (Art. 6.1.b RGPD) |
| Suivi des incidents de classe | Mission d'intérêt public (Art. 6.1.e RGPD) |
| Suivi des documents et autorisations | Mission d'intérêt public (Art. 6.1.e RGPD) |
Article 4 — Consentement parental
- L'enseignant, en tant que responsable de traitement des données de ses élèves, est responsable de recueillir le consentement des tuteurs légaux avant toute saisie de données d'élèves dans le service.
- Ce consentement doit être libre, spécifique, éclairé et univoque conformément à l'article 7 du RGPD.
- prep. met à disposition un modèle de formulaire de consentement téléchargeable.
- Le retrait du consentement est possible à tout moment. En cas de retrait, les données de l'élève concerné seront supprimées sous 30 jours.
Article 5 — Durée de conservation
- Données enseignant : conservées pendant la durée d'utilisation du service, puis supprimées dans un délai de 12 mois après la clôture du compte.
- Données élèves : conservées pour l'année scolaire en cours uniquement. La suppression manuelle est possible à tout moment depuis l'interface.
- L'enseignant peut supprimer les données d'un élève directement depuis son espace de gestion de classe.
Article 6 — Hébergement et sécurité
6.1 Localisation
- Application : Vercel Inc. (CDN global, serveurs EU privilégiés)
- Base de données : Supabase (PostgreSQL, région EU)
6.2 Mesures techniques
- Chiffrement HTTPS/TLS pour toutes les données en transit
- Base de données chiffrée au repos (AES-256)
- Mots de passe hashés (bcrypt, salt 12 rounds)
- Isolation multi-tenant : chaque enseignant n'accède qu'à ses propres données
- Sauvegardes automatiques quotidiennes
6.3 Mesures organisationnelles
- Accès à l'environnement de production limité au principe du moindre privilège
- Revue régulière des accès
Article 7 — Destinataires des données
prep. ne vend, ne loue et ne partage aucune donnée personnelle à des fins commerciales, publicitaires ou de profilage.
Les destinataires des données sont exclusivement :
- L'enseignant lui-même (ses propres données et celles de sa classe)
- Les hébergeurs techniques (sous-traitants, cf. Article 8)
- Les autorités compétentes (en cas de réquisition judiciaire uniquement)
Article 8 — Sous-traitants ultérieurs
| Sous-traitant | Service | Localisation | Données traitées |
|---|---|---|---|
| Vercel Inc. | Hébergement application | USA (CDN global) | Données en transit |
| Supabase Inc. | Base de données PostgreSQL | EU | Toutes données stockées |
| Anthropic PBC | API IA (Claude) | USA | Contenus pédagogiques uniquement (aucune donnée nominative d'élève) |
Article 9 — Transferts hors UE
Les sous-traitants Vercel et Anthropic sont situés aux États-Unis. Ces transferts sont encadrés par des Clauses Contractuelles Types (CCT) approuvées par la Commission européenne.
Aucune donnée nominative d'élève n'est transmise à l'API IA. Les contenus envoyés à l'IA sont exclusivement pédagogiques (domaine d'enseignement, objectifs, niveau de classe) et ne contiennent pas d'informations identifiantes.
Article 10 — Intelligence artificielle
prep. utilise l'intelligence artificielle (Anthropic Claude) pour générer des séquences, séances et évaluations pédagogiques.
- Aucune donnée nominative d'élève n'est envoyée à l'API IA.
- L'API est stateless : aucune donnée n'est conservée par le sous-traitant IA après traitement de la requête.
- Les contenus générés constituent une aide à la préparation. L'enseignant reste seul responsable de la validation et de l'adaptation des contenus à sa classe.
- Ce traitement est conforme aux recommandations de la CNIL concernant l'utilisation de l'intelligence artificielle dans le domaine éducatif.
Article 11 — Droits des personnes
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Droit d'accès (Art. 15)
- Droit de rectification (Art. 16)
- Droit à l'effacement (Art. 17)
- Droit à la limitation du traitement (Art. 18)
- Droit à la portabilité (Art. 20)
- Droit d'opposition (Art. 21)
Exercice des droits : par e-mail à contact@prep-classe.fr ou directement depuis l'interface (Profil > Mes données). Réponse sous 30 jours maximum.
Réclamation CNIL : vous pouvez également introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) — 3 Place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07 — www.cnil.fr
Article 12 — Cookies
prep. utilise uniquement des cookies strictement nécessaires au fonctionnement du service (session, authentification). Aucun cookie publicitaire, analytique ou de profilage n'est déposé.
Si des outils d'analyse statistique venaient à être ajoutés à l'avenir, un bandeau de consentement conforme à la directive ePrivacy serait mis en place préalablement.
Article 13 — Violation de données
En cas de violation de données personnelles :
- Notification à la CNIL dans un délai de 72 heures (Art. 33 RGPD)
- Information des personnes concernées si la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés (Art. 34 RGPD)
- Information de l'enseignant (responsable de traitement) sans délai
- Documentation de la violation dans un registre interne
- Mise en place de mesures correctives
Article 14 — Contrat de sous-traitance (Art. 28 RGPD)
prep. met à disposition un contrat de sous-traitance conforme à l'article 28 du RGPD précisant : l'objet et la durée du traitement, la nature et la finalité du traitement, les types de données personnelles, les catégories de personnes concernées, les obligations et droits du responsable de traitement, les mesures de sécurité, la liste des sous-traitants ultérieurs, ainsi que les conditions de restitution ou de suppression des données en fin de contrat.
Ce contrat est accessible sur demande à contact@prep-classe.fr.
Article 15 — Modifications et contact
La présente politique de confidentialité peut être mise à jour pour refléter les évolutions légales ou techniques. En cas de modification substantielle, les utilisateurs seront informés par e-mail et par notification dans l'application.
Contact :
- E-mail : contact@prep-classe.fr
- Adresse postale : 28 Impasse des Lisières, 69730 Genay, France
Réponse sous 30 jours maximum.
PREP. — Politique de confidentialité — Version 1.0 — Mars 2026