Politique de Confidentialité

🛡️ Notre engagement : Nous nous engageons à protéger votre vie privée et vos données personnelles conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés.

1. Responsable du traitement

Identité : [À COMPLÉTER - Nom/Raison sociale]

Statut : Micro-entrepreneur

Adresse : [À COMPLÉTER], 78100 Saint-Germain-en-Laye

Email : contact@rogerdepaoli.fr

2. Données personnelles collectées

2.1 Lors de la création de compte

Données du parent/responsable légal :

Nom et prénom (obligatoire)
Adresse email (obligatoire)
Numéro de téléphone (obligatoire)
Mot de passe (hashé avec bcrypt)

Données de l'élève :

Nom et prénom (obligatoire)
Niveau scolaire (obligatoire)
Âge (optionnel)
Sexe (optionnel - donnée sensible au sens du RGPD)
Numéro de téléphone de l'élève (optionnel)

2.2 Lors de l'utilisation du service

Réservations : Date, heure, durée, matières des cours réservés
Messages : Contenu des échanges via la messagerie interne
Avis : Note et commentaire (si l'utilisateur publie un avis)
Paiements : Montants, dates, statut (informations bancaires gérées par Stripe uniquement)
Logs de connexion : Date et heure de connexion, adresse IP (conservés par l'hébergeur)

2.3 Données techniques

Token d'authentification (JWT) : Stocké dans le localStorage du navigateur
Token de vérification email : Généré à l'inscription, valable 24 heures
Logs d'envoi d'emails : Destinataire, type d'email, statut (envoyé/échoué), date

3. Finalités et bases légales du traitement

Finalité	Base légale (RGPD)	Durée
Gestion des comptes utilisateurs	Exécution du contrat (Art. 6.1.b)	Jusqu'à suppression du compte
Réservation et gestion des cours	Exécution du contrat (Art. 6.1.b)	Jusqu'à suppression du compte
Traitement des paiements	Exécution du contrat (Art. 6.1.b) + Obligation légale (Art. 6.1.c)	10 ans (obligation fiscale)
Envoi d'emails transactionnels	Exécution du contrat (Art. 6.1.b)	[À COMPLÉTER]
Messagerie interne	Exécution du contrat (Art. 6.1.b)	Jusqu'à suppression
Publication des avis	Consentement (Art. 6.1.a)	Jusqu'à suppression ou refus admin
Sécurité et prévention fraude	Intérêt légitime (Art. 6.1.f)	[À COMPLÉTER]
Amélioration du service	Intérêt légitime (Art. 6.1.f)	[À COMPLÉTER]

⚠️ Données sensibles (sexe) : Le sexe de l'élève est une donnée sensible au sens de l'article 9 du RGPD. Sa collecte est optionnelle et nécessite un consentement explicite. [À COMPLÉTER - Ajouter checkbox consentement explicite]

4. Destinataires des données

4.1 Accès interne

Le professeur (pour l'organisation des cours)
L'administrateur de la plateforme (gestion des comptes et réservations)

4.2 Sous-traitants

Sous-traitant	Service	Données transférées	Localisation
Railway	Hébergement backend + base de données PostgreSQL	Toutes les données personnelles	[À COMPLÉTER - USA ? UE ?]
Stripe	Traitement des paiements	Informations de paiement, montants, emails	USA (garanties CCT)
Resend	Envoi d'emails transactionnels	Emails, noms, prénoms	[À COMPLÉTER]
OVH	Registrar DNS	Nom de domaine uniquement	France (UE)

4.3 Aucun partage commercial

Vos données ne sont jamais vendues, louées ou partagées à des fins marketing avec des tiers.

5. Transferts de données hors Union Européenne

⚠️ Transferts hors UE :

Railway : [À COMPLÉTER - Vérifier localisation + garanties]
Stripe : Données transférées aux USA avec garanties appropriées (Clauses Contractuelles Types)
Resend : [À COMPLÉTER - Vérifier localisation]

6. Durées de conservation

Donnée	Durée
Compte utilisateur	Jusqu'à suppression du compte par l'utilisateur ou l'admin
Données de facturation/paiement	10 ans (obligation légale fiscale et comptable)
Token vérification email	24 heures
Token JWT (localStorage)	[À COMPLÉTER - Ajouter expiration JWT]
Messages	Jusqu'à suppression manuelle
Avis publiés	Jusqu'à suppression manuelle ou refus admin
Logs d'emails	[À COMPLÉTER]
Logs de connexion (Railway)	[À COMPLÉTER - Selon politique Railway]

7. Sécurité des données

7.1 Mesures techniques

Mots de passe : Hashés avec bcrypt (10 rounds)
Authentification : Tokens JWT signés
Base de données : Requêtes préparées (protection SQL injection)
Communications : HTTPS (chiffrement SSL/TLS) [À activer via Cloudflare]
Paiements : Traités par Stripe (PCI-DSS), aucune donnée bancaire stockée sur nos serveurs

7.2 Mesures organisationnelles

Accès admin restreint et tracé
Pas de cookies de tracking tiers
Validation des entrées utilisateur côté serveur

8. Vos droits (RGPD)

Conformément au RGPD, vous disposez des droits suivants :

8.1 Droit d'accès (Art. 15)

Vous pouvez obtenir une copie de l'ensemble de vos données personnelles.

8.2 Droit de rectification (Art. 16)

Vous pouvez corriger vos données inexactes ou incomplètes directement depuis votre espace personnel.

8.3 Droit à l'effacement (Art. 17)

Vous pouvez demander la suppression de vos données. [À COMPLÉTER - Fonctionnalité de suppression de compte à implémenter]

Exceptions : Les données de facturation doivent être conservées 10 ans (obligation légale).

8.4 Droit à la limitation du traitement (Art. 18)

Vous pouvez demander le gel temporaire de vos données dans certaines circonstances.

8.5 Droit à la portabilité (Art. 20)

Vous pouvez récupérer vos données dans un format structuré et lisible par machine.

8.6 Droit d'opposition (Art. 21)

Vous pouvez vous opposer au traitement de vos données pour des motifs légitimes.

8.7 Droit de retirer son consentement

Pour les traitements basés sur le consentement (ex: avis, données sensibles), vous pouvez retirer votre consentement à tout moment.

Exercer vos droits :

Pour exercer l'un de ces droits, contactez-nous à : contact@rogerdepaoli.fr

Nous vous répondrons dans un délai maximum de 1 mois.

Une pièce d'identité pourra vous être demandée pour vérifier votre identité.

9. Cookies et technologies similaires

9.1 Aucun cookie de tracking

Ce site n'utilise aucun cookie publicitaire ou de tracking (pas de Google Analytics, Facebook Pixel, etc.).

9.2 LocalStorage

Le site utilise le localStorage de votre navigateur pour stocker votre token d'authentification (JWT). Cette technologie n'est pas soumise au consentement cookies car elle est strictement nécessaire au fonctionnement du service.

Données stockées :

userToken - Token JWT utilisateur
adminToken - Token JWT admin (si applicable)

Vous pouvez supprimer ces données en vous déconnectant ou en vidant le cache de votre navigateur.

10. Droits spécifiques aux mineurs

Les cours s'adressent à des élèves mineurs. Les données des élèves sont collectées avec le consentement du parent ou responsable légal qui crée le compte.

Les parents peuvent à tout moment exercer les droits mentionnés ci-dessus pour le compte de leur enfant.

11. Modification de la politique

Nous nous réservons le droit de modifier cette politique de confidentialité. Toute modification substantielle sera portée à votre connaissance par email ou notification sur le site.

12. Réclamation auprès de la CNIL

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL :

Commission Nationale de l'Informatique et des Libertés (CNIL)
3 Place de Fontenoy
TSA 80715
75334 PARIS CEDEX 07
Tél : 01 53 73 22 22
Site web : https://www.cnil.fr

13. Contact - Délégué à la protection des données

Pour toute question concernant vos données personnelles ou cette politique de confidentialité :