Politique de confidentialité
Version 1.0 (phase test).
1. Responsable de traitement
L'éditeur du service lpnx.net et de ses applications (Objectif Pompier, Révisions 6ème, etc.), identifié dans les mentions légales, est responsable du traitement des données personnelles collectées via le service.
Aucun DPO n'est désigné à ce jour. Les demandes d'exercice des droits sont traitées directement depuis votre profil (voir page Contact).
2. Données collectées et finalités
| Donnée | Finalité | Base légale | Durée |
|---|---|---|---|
| Email + prénom + mot de passe haché (bcrypt) | Création et accès au compte | Exécution du contrat (art. 6.1.b) | Tant que le compte est actif + 3 ans d'inactivité |
| Réponses aux QCM, sessions, progression XP / niveau / mastery | Suivi pédagogique, calcul de progression, recommandations | Exécution du contrat | Tant que le compte est actif |
| Préférences (grade, date de concours, avatar, mode parcours) | Personnalisation du parcours | Exécution du contrat | Tant que le compte est actif |
| Avis et commentaires (table sdis_avis) | Amélioration du service | Intérêt légitime (art. 6.1.f) | Conservation 3 ans |
| Feedback texte libre (table feedback) | Support, correction de bugs, amélioration | Intérêt légitime | Conservation 3 ans |
Cookies de session Supabase (sb-*) | Maintien de la session authentifiée | Strictement nécessaire (exemption consentement) | Jusqu'à la déconnexion ou expiration JWT |
Préférences UI (localStorage : thème, voix) | Mémorisation des préférences d'affichage | Strictement nécessaire (exemption consentement) | Stockées localement sur l'appareil |
3. Sous-traitants
L'éditeur s'appuie sur les sous-traitants suivants pour le fonctionnement du service (RGPD art. 28). Chacun a accepté un DPA (Data Processing Agreement) sur la plateforme du fournisseur.
- Vercel Inc. : hébergement et CDN. Transfert hors UE (États-Unis), couvert par le cadre Data Privacy Framework (DPF). Voir leur DPA.
- Supabase Inc. : base de données et authentification. Données stockées sur AWS Europe. Voir leur DPA.
- Sentry (Functional Software Inc.) : monitoring d'erreurs côté serveur et client.Transfert hors UE (États-Unis), couvert par DPF. Les données sensibles (mots de passe, contenus libres) sont systématiquement filtrées avant envoi.
- Cloudflare Inc. : protection anti-bot (Turnstile) sur les formulaires d'inscription. Transfert hors UE.
- Google LLC (Google Fonts) : diffusion des polices typographiques (Bricolage Grotesque, DM Sans). Ce chargement transmet l'adresse IP du visiteur à Google États-Unis.Transfert encadré par le Data Privacy Framework UE-USA.Base légale : intérêt légitime (rendu typographique cohérent). Une migration vers l'auto-hébergement des polices via
next/font/googleest en cours pour supprimer ce transfert externe.
4. Transferts hors Union Européenne
Certains sous-traitants (Vercel, Sentry, Cloudflare) sont basés aux États-Unis. Les transferts sont encadrés par le Data Privacy Framework UE-USA approuvé par la Commission européenne le 10 juillet 2023, et complétés par des clauses contractuelles types (CCT) le cas échéant.
5. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Droit d'accès et de portabilité. Vous pouvez télécharger l'intégralité de vos données SDIS depuis votre profil (bouton « Exporter mes données »), ou nous écrire pour les obtenir au format JSON.
- Droit de rectification. Vous pouvez modifier votre prénom, pseudo, email, mot de passe, grade et préférences depuis votre profil.
- Droit à l'effacement (« droit à l'oubli »). Vous pouvez supprimer définitivement votre compte et toutes vos données depuis votre profil (bouton « Supprimer mon compte »). L'effacement est irréversible.
- Droit d'opposition et de limitation. Voir la page Contact.
- Droit de réclamation auprès de la CNIL. Si vous estimez vos droits non respectés, vous pouvez saisir la CNIL : cnil.fr/fr/plaintes.
6. Décisions automatisées et IA
L'application Objectif Pompier propose des modules d'aide à la révision basés sur des modèles d'intelligence artificielle (Anthropic Claude) pour générer des questions, corriger des oraux ou produire des fiches synthèse. Ces traitements n'ont aucune conséquence juridique sur l'utilisateur (pas d'évaluation automatisée du concours réel). Vous pouvez vous y opposer en n'utilisant pas ces modules.
7. Données sensibles
Le service ne collecte aucune donnée sensible au sens de l'article 9 du RGPD (santé, opinion politique, religion, orientation sexuelle, données biométriques, génétiques, judiciaires). Nous vous demandons de ne pas renseigner de telles données dans les champs de texte libre (avis, feedback, prompts IA).
8. Sécurité
Les mesures techniques mises en œuvre incluent : chiffrement TLS partout (HSTS), chiffrement au repos sur Supabase, hashing bcrypt des mots de passe, isolation Row Level Security sur 100 % des tables utilisateur, audit régulier des dépendances, monitoring Sentry avec scrub PII.
9. Cookies et mesure d'audience
Le service utilise uniquement des cookies strictement nécessaires (session d'authentification Supabase). Aucun cookie tiers de mesure d'audience ou de publicité n'est posé sur les pages Objectif Pompier en phase test. Aucun consentement n'est donc requis sur ces pages.
10. Mineurs
Plusieurs apps de la plateforme s'adressent à des publics différents. La plupart (Objectif Pompier, Atout Bridge, etc.) visent un public adulte. Révisions Collège est en revanche explicitement destinée à des enfants de 11 à 15 ans, et fait l'objet de garanties renforcées détaillées ci-dessous.
10.1. Révisions Collège : traitement des données d'enfants
Conformément à l'article 8 du RGPD et à l'article 45 de la loi Informatique et Libertés, le traitement des données d'un mineur de moins de 15 ans est subordonné au consentement du titulaire de l'autorité parentale. Sur Révisions Collège :
- C'est le parent (ou responsable légal) qui crée son compte, puis le profil de son enfant. À la création de chaque profil enfant, le parent atteste explicitement être titulaire de l'autorité parentale et consent au traitement. Ce consentement est horodaté et conservé.
- Aucune donnée de contact n'est demandée à l'enfant : pas d'email, pas de téléphone, pas de nom de famille, pas d'adresse. L'enfant accède à l'app via un lien et un code à 4 chiffres fournis par le parent.
- Les seules données traitées sur l'enfant sont : un prénom ou pseudo (choisi par le parent), un avatar (emoji), le niveau scolaire, les matières activées, et la progression pédagogique (XP, scores aux quiz, chapitres terminés, durées de session, séries de jours).
- Aucun traceur publicitaire, aucun cookie tiers, aucun profilage commercial n'est appliqué aux pages enfant.
10.2. Droits du parent
Le parent peut à tout moment, depuis son espace : consulter et modifier le profil de son enfant, exporter l'ensemble des données (droit à la portabilité), révoquer l'accès, et supprimer définitivement le profil (la suppression efface en cascade toutes les données associées : progression, sessions, liens, appareils).
10.3. Durée de conservation
Les données d'un profil enfant sont conservées tant que le compte parent est actif. Un profil enfant inactif depuis plus de 36 mois est supprimé automatiquement, après information préalable du parent. Le parent peut demander la suppression immédiate à tout moment.
10.4. Signalement
Si un enfant signale une situation de détresse via l'application, nous l'orientons vers un adulte de confiance et, le cas échéant, vers le 3018 (numéro national contre les violences faites aux enfants, anonyme et gratuit).
11. Modifications
Cette politique peut être mise à jour. Les modifications substantielles seront notifiées par email aux utilisateurs actifs.
12. Contact
Toutes vos demandes courantes (accès, rectification, effacement, portabilité) s'exercent directement depuis votre profil. Voir la page Contact pour le détail.