Politique de Confidentialité
Protection de vos données personnelles
1. Responsable du traitement
Le responsable du traitement des données personnelles est :
DIGIKA 29 Rue de la Résistance, 93230 ROMAINVILLE, France SIREN : 815 112 727
Délégué à la Protection des Données (DPO) : contactdpo@digika.fr
2. Données collectées
2.1 Données fournies par l'utilisateur
| Catégorie | Données | Finalité |
|---|---|---|
| Identification | Prénom, pseudo, email | Création et gestion du compte |
| Scolarité | Niveau scolaire, classe | Personnalisation des exercices |
| Paiement | Informations bancaires* | Gestion des abonnements |
Les données bancaires sont traitées directement par Stripe et ne sont pas stockées par DIGIKA.
2.2 Données collectées automatiquement
- Adresse IP
- Type de navigateur et appareil
- Pages visitées et temps passé
- Données de progression (exercices réalisés, scores)
- Cookies (voir notre politique cookies)
3. Finalités du traitement
Vos données sont utilisées pour : 1. Fournir le service : création de compte, accès aux exercices, suivi de progression 2. Personnaliser l'expérience : adaptation du niveau, recommandations 3. Gérer les paiements : facturation, abonnements 4. Communiquer avec vous : notifications, support, newsletters (si consentement) 5. Améliorer le service : analyses statistiques anonymisées 6. Respecter nos obligations légales : conservation des factures, réponse aux réquisitions
4. Base légale du traitement
| Finalité | Base légale |
|---|---|
| Fourniture du service | Exécution du contrat |
| Personnalisation | Intérêt légitime |
| Newsletter | Consentement |
| Statistiques | Intérêt légitime |
| Obligations légales | Obligation légale |
5. Partage des données
Nous ne vendons jamais vos données.
Vos données peuvent être partagées avec : - Prestataires techniques : hébergement infrastructure (OVH SAS, France), hébergement données et authentification (Supabase Inc., certifié SOC 2 Type 2, serveurs européens), paiement sécurisé (Stripe, certifié PCI-DSS Level 1), emailing transactionnel - Fournisseurs d'intelligence artificielle : Google LLC (Gemini) et DeepSeek (modèles de langage), utilisés pour alimenter le tuteur pédagogique Nyms, la génération de contenu et la correction automatique. Ces prestataires peuvent traiter des données de session (historique de conversation anonymisé) dans le cadre de leurs conditions d'utilisation. Aucune donnée personnelle identifiante n'est transmise sans votre consentement explicite. - Autorités : uniquement sur réquisition judiciaire - Partenaires B2B : si vous êtes inscrit via une école, celle-ci peut accéder à vos statistiques de progression
6. Durée de conservation
| Type de données | Durée |
|---|---|
| Données de compte | Durée du compte + 3 ans après suppression |
| Données de progression | Durée du compte |
| Factures | 10 ans (obligation légale) |
| Logs de connexion | 1 an |
| Cookies | 13 mois maximum |
7. Vos droits
Conformément au RGPD, vous disposez des droits suivants : - Droit d'accès : obtenir une copie de vos données - Droit de rectification : corriger des données inexactes - Droit à l'effacement : demander la suppression de vos données - Droit à la portabilité : récupérer vos données dans un format standard - Droit d'opposition : refuser certains traitements - Droit de limitation : limiter le traitement de vos données - Droit de retirer votre consentement : à tout moment
Comment exercer vos droits ?
Envoyez un email à contactdpo@digika.fr avec : - Votre nom et email de compte - Le droit que vous souhaitez exercer - Une pièce d'identité (pour vérification)
Nous répondrons sous 30 jours maximum. Ce délai peut être prolongé de deux mois supplémentaires en cas de demande complexe ou de demandes multiples, sous réserve de vous en informer dans le premier mois suivant votre demande.
8. Sécurité des données
Nous mettons en œuvre des mesures de sécurité appropriées : - Chiffrement SSL/TLS des communications - Hashage des mots de passe (bcrypt) - Accès restreint aux données (principe du moindre privilège) - Sauvegardes régulières et chiffrées - Surveillance des accès et détection d'intrusion
9. Protection des mineurs
Nos plateformes s'adressent à un public de 3 à 18 ans. La protection des données des mineurs est une priorité absolue.
Inscription et consentement parental : - Conformément à l'article 8 du RGPD et à l'article 45 de la loi Informatique et Libertés, les mineurs de 15 ans et plus peuvent créer un compte de manière autonome. - Les mineurs de moins de 15 ans ne peuvent créer un compte qu'avec le consentement vérifiable d'un parent ou tuteur légal. Ce consentement est recueilli par validation email parentale. - Le parent ou tuteur peut à tout moment accéder aux données de l'enfant, les rectifier ou demander leur suppression depuis son espace parent.
Protections renforcées pour tous les mineurs : - Aucune donnée n'est utilisée à des fins de profilage commercial ou publicitaire - Aucune publicité ciblée n'est diffusée aux utilisateurs identifiés comme mineurs - Aucune collecte de données superflues (pas de géolocalisation, pas de données biométriques) - Le système de gamification est strictement personnel (pas de classement entre élèves) - Les données collectées se limitent au strict nécessaire : prénom, email, niveau scolaire, progression pédagogique - Les parents disposent d'un tableau de bord de suivi et de contrôle parental intégré
10. Hébergement et sécurité des données
Vos données sont hébergées exclusivement en France et en Europe : - Infrastructure serveurs : OVH SAS (Roubaix, France) — serveurs dédiés Docker sous gestion directe de DIGIKA - Base de données et authentification : Supabase Inc. (serveurs européens AWS eu-west) — plateforme certifiée SOC 2 Type 2, auditée annuellement pour la sécurité, la disponibilité, l'intégrité, la confidentialité et la vie privée des données - Paiements : Stripe Payments Europe, Ltd (Dublin, Irlande) — certifié PCI-DSS Level 1. Vos données bancaires ne transitent jamais par nos serveurs
Mesures de sécurité : chiffrement des données au repos et en transit (TLS 1.3), isolation des données par Row Level Security (RLS), protection DDoS via Cloudflare, sauvegardes quotidiennes chiffrées, authentification sécurisée via Supabase Auth.
Vos données personnelles identifiantes sont hébergées exclusivement au sein de l'Union Européenne. Les échanges avec les fournisseurs d'intelligence artificielle (Google Gemini, DeepSeek) sont réalisés avec des données de session minimales. Aucune donnée personnelle identifiante n'est transférée hors Union Européenne. Seul le prénom (non identifiant à lui seul) peut être utilisé dans les échanges avec le tuteur IA pour personnaliser l'expérience pédagogique. Ces prestataires peuvent traiter des données de session (historique de conversation, prénom uniquement) dans le cadre de leurs conditions d'utilisation. Aucune donnée permettant d'identifier directement l'utilisateur (nom, email, date de naissance, adresse IP) n'est transmise à ces fournisseurs. En cas d'évolution nécessitant un transfert de données personnelles hors UE, nous nous assurerions de la mise en place de garanties appropriées (clauses contractuelles types de la Commission européenne).
11. Modifications de la politique
Cette politique peut être mise à jour. En cas de modification substantielle, vous serez informé par email ou notification sur le site.
12. Réclamation
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL :
CNIL 3 Place de Fontenoy, TSA 80715 75334 PARIS CEDEX 07 www.cnil.fr
13. Contact
Pour toute question relative à vos données personnelles : contactdpo@digika.fr
