Retour à l'accueil

Politique de confidentialité

La présente politique décrit la manière dont VINCENT BACHELET CONSULTING collecte, traite et protège les données personnelles des utilisateurs du service Mentorino, conformément au Règlement (UE) 2016/679 (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée.

1. Responsable de traitement

Le responsable de traitement est VINCENT BACHELET CONSULTING (SIREN 101 917 789, RCS Paris). Coordonnées complètes dans les mentions légales. Contact : '<EMAIL_CONTACT>'.

2. Délégué à la protection des données

Aucun délégué à la protection des données (DPO) n'a été désigné : la désignation n'est pas obligatoire au sens de l'article 37 du RGPD pour la structure et le volume de traitement actuels. Toute question relative aux données personnelles peut être adressée à '<EMAIL_CONTACT>'.

3. Données collectées

Compte parent

Email, mot de passe (hashé via bcrypt par Supabase Auth), date d'inscription, statut de paiement.

Profil élève

Prénom, niveau scolaire (3e), matières choisies, points faibles déclarés, moyennes par matière, historique des sessions et transcripts des conversations avec l'IA.

Données explicitement non collectées

Aucun nom de famille, aucun email élève, aucune date de naissance, aucune photo de l'élève ne sont collectés. Cette politique de minimisation est volontaire et stricte.

4. Finalités du traitement

  • Fournir le service de révision (génération du plan, sessions IA, récapitulatifs).
  • Facturer le client via le prestataire Stripe.
  • Envoyer les communications transactionnelles nécessaires (réinitialisation de mot de passe, confirmation de paiement, récapitulatifs parent).
  • Établir des statistiques internes anonymisées d'usage du service.

5. Base légale

Le traitement repose sur l'exécution du contrat conclu entre l'utilisateur et l'éditeur, conformément à l'article 6.1.b du RGPD.

6. Durée de conservation

  • Compte parent : pendant toute la durée d'utilisation du service, puis 3 ans après la dernière connexion (prescription commerciale).
  • Données élève et sessions : tant que le compte parent existe. Suppression immédiate sur demande du parent.
  • Logs techniques : 12 mois maximum.
  • Données de facturation : conservées par Stripe selon ses obligations légales (10 ans pour la facturation comptable).

7. Sous-traitants et transferts hors UE

Conformément à l'article 28 du RGPD, l'éditeur fait appel aux sous-traitants suivants pour le traitement des données :

  • Vercel Inc. - hébergement applicatif - région fra1 (Paris/Francfort) - sous-traitance ultérieure AWS UE.
  • Supabase Inc. - base de données, authentification, stockage - région eu-central-1 (Francfort, Allemagne) - sous-traitance ultérieure AWS UE.
  • Anthropic PBC - génération de contenu IA - API hébergée aux États-Unis (San Francisco) - sous-traitance ultérieure cloud US.
  • Stripe Payments Europe Ltd - paiement - Irlande (UE).
  • Resend.com - email transactionnel - Dublin (UE) - sous-traitance ultérieure AWS UE.

Transfert hors UE - mention spéciale Anthropic

L'utilisation de l'API Anthropic implique un transfert de données vers les États-Unis. Ce transfert est encadré par les clauses contractuelles types adoptées par la Commission européenne (Décision d'exécution (UE) 2021/914 du 4 juin 2021), garantissant un niveau de protection adéquat. Aucune donnée directement identifiante de l'élève n'est transmise : seuls le prénom, le niveau scolaire, les matières et les transcripts pédagogiques sont envoyés. Le prénom seul, associé au niveau scolaire, ne constitue pas une donnée hautement identifiante au sens du RGPD.

8. Droits de l'utilisateur

Conformément aux articles 15 à 22 du RGPD, l'utilisateur dispose des droits suivants :

  • Droit d'accès à ses données personnelles.
  • Droit de rectification des données inexactes.
  • Droit à l'effacement (droit à l'oubli).
  • Droit à la portabilité des données.
  • Droit d'opposition au traitement.
  • Droit à la limitation du traitement.

Pour exercer ces droits, l'utilisateur peut adresser une demande par email à '<EMAIL_CONTACT>'. Une réponse sera apportée dans un délai d'un mois. En cas de difficulté, l'utilisateur peut introduire une réclamation auprès de la CNIL : https://www.cnil.fr.

9. Cookies

Le site n'utilise aucun cookie de tracking ni d'analytics. Seuls les cookies strictement nécessaires au fonctionnement du service sont déposés : cookies de session pour l'authentification (Supabase), cookies de panier pour le checkout (Stripe). Conformément à l'article 5.3 de la directive ePrivacy, ces cookies essentiels ne nécessitent pas de consentement préalable.

10. Sécurité

Les données sont chiffrées en transit (TLS 1.2+) et au repos. Elles sont stockées dans l'Union européenne, à l'exception des données envoyées à l'API Anthropic (cf. point 7). Les accès aux bases de données sont restreints et journalisés. Les mots de passe sont hashés via bcrypt par Supabase Auth.

11. Mineurs

Le service est destiné à être utilisé par des mineurs âgés de 13 à 15 ans, sous la responsabilité parentale exclusive. Le compte est créé par le parent, qui consent au traitement des données de l'élève en sa qualité de représentant légal. Aucune donnée n'est collectée directement auprès du mineur sans intervention parentale, conformément à l'article 8 du RGPD.

Dernière mise à jour : 1er mai 2026