Légal

Politique de confidentialité

Conformément au RGPD (Règlement UE 2016/679) et à la loi Informatique et Libertés.
English version

Sommaire
  1. Responsable de traitement
  2. Données collectées
  3. Finalités et bases légales
  4. Sous-traitants
  5. Durées de conservation
  6. Transferts hors UE
  7. Vos droits
  8. Sécurité
  9. Cookies
  10. Mises à jour

1. Responsable de traitement

Nom : Ramisa Besnard

Forme juridique : Entrepreneur individuel

SIREN : 106 375 124

Contact pour vos données : contact@frequence.academy

Aucun délégué à la protection des données (DPO) n'est requis à cette échelle. Les demandes sont traitées directement par le responsable de traitement.

2. Données collectées

Données de compte

DonnéeMode de collecteObligatoire ?
Adresse emailFormulaire d'inscription ou Google OAuthOui
Nom d'affichageFormulaire d'inscription ou profil GoogleOui
Mot de passe (hash bcrypt)Formulaire d'inscription (email uniquement)Oui*
Identifiant de compte GoogleConnexion Google OAuth (le cas échéant)Non

* Uniquement pour les inscriptions par email. Aucun mot de passe n'est stocké pour les comptes Google OAuth.

Données d'apprentissage

DonnéeFinalité
Progression SRS par mot (facteur de facilité, intervalle, répétitions, prochaine révision)Algorithme de répétition espacée
Statut de complétion par leçonSuivi de progression du cours
Activité d'étude quotidienne (date, nombre de révisions)Série (streak) et tableau de bord
Scores de quizProgression de niveau
Vocabulaire enregistré (carnet)Liste d'étude personnelle
Messages de chat (tuteur IA)Historique de conversation de la session

Données de paiement

Nous ne stockons pas vos données de carte bancaire. Le paiement est traité directement par Stripe. Nous conservons uniquement : identifiant client Stripe, nom de l'offre, statut de l'abonnement et date d'expiration, nécessaires à l'activation de votre accès.

Données techniques

Les journaux d'accès serveur (adresse IP, horodatage, méthode HTTP, URL, user-agent) sont conservés à des fins de sécurité et de prévention des abus. Ils sont générés automatiquement par l'infrastructure d'hébergement.

Données de mesure d'audience (avec votre consentement)

Si vous acceptez les cookies via le bandeau de consentement, Google Analytics (chargé via Google Tag Manager) collecte : pages visitées, localisation approximative (ville), type d'appareil et de navigateur, et un identifiant pseudonyme stocké dans des cookies. Il ne se charge pas avant votre acceptation. Nous utilisons aussi un compteur de visites interne, sans cookie, fondé sur un hash qui change chaque jour et ne permet aucun suivi d'un jour à l'autre.

Données du test de niveau

Le test de niveau gratuit peut être passé sans compte. Si vous choisissez de laisser votre email pour recevoir votre résultat, nous conservons : votre email, votre niveau estimé et votre score.

3. Finalités et bases légales

FinalitéDonnées utiliséesBase légale (RGPD art. 6)
Fournir et exploiter le serviceDonnées de compte, d'apprentissage, de paiementExécution du contrat, art. 6.1(b)
Authentification (connexion / session)Email, hash du mot de passe, cookie JWTExécution du contrat, art. 6.1(b)
Emails transactionnels (vérification, réinitialisation)Adresse emailExécution du contrat, art. 6.1(b)
Paiements et gestion des abonnementsEmail, identifiant client StripeExécution du contrat, art. 6.1(b)
Sécurité et prévention de la fraudeAdresse IP, journaux serveurIntérêt légitime, art. 6.1(f)
Obligation légale (conservation des factures)Enregistrements de paiementObligation légale, art. 6.1(c)
Mesure d'audience (Google Analytics)Pages visitées, données d'appareil, identifiant pseudonymeConsentement, art. 6.1(a), via le bandeau cookies
Envoi de votre résultat de test de niveau par emailEmail, niveau estimé, scoreConsentement, art. 6.1(a), email fourni à cette fin

Nous n'utilisons pas vos données à des fins publicitaires et ne les vendons pas à des tiers. Google Analytics ne fonctionne qu'avec votre consentement, que vous pouvez refuser ou retirer à tout moment sans conséquence sur le service.

4. Sous-traitants

Sous-traitantRôleLocalisationPolitique
Stripe, Inc.Traitement des paiements, gestion des abonnementsUSA (clauses contractuelles types UE)stripe.com/privacy
Brevo (Sendinblue)Emails transactionnels (vérification, réinitialisation)France (UE)brevo.com/legal/privacypolicy
Railway CorpHébergement cloud (serveurs, base de données, fichiers)USA (clauses contractuelles types UE)railway.app/legal/privacy
Google LLCConnexion Google facultative (OAuth)USA (clauses contractuelles types UE)policies.google.com/privacy
Google LLCMesure d'audience (Google Analytics via Google Tag Manager), uniquement après consentementUSA (clauses contractuelles types UE)policies.google.com/privacy
Functional Software, Inc. (Sentry)Surveillance des erreurs techniques (peut inclure l'adresse IP), lorsqu'activée en productionUSA (clauses contractuelles types UE)sentry.io/privacy

Chaque sous-traitant est contractuellement tenu de ne traiter vos données que sur nos instructions documentées, conformément au RGPD.

5. Durées de conservation

Catégorie de donnéesDurée de conservation
Données de compte et d'apprentissageDurée du compte + 3 ans après la dernière activité, ou jusqu'à demande de suppression
Enregistrements de paiement (factures)10 ans (art. L123-22 Code de commerce)
Journal des renonciations au droit de rétractation5 ans (droit de la consommation)
Journaux d'accès serveur12 mois (recommandation CNIL)
Prospects du test de niveau (email, niveau, score)3 ans après la collecte, ou jusqu'à demande de suppression
Données Google Analytics14 mois (paramètre de conservation GA4)
Choix de consentement cookies6 mois, puis le bandeau redemande
Jetons de vérification d'email24 heures (expiration automatique)
Jetons de réinitialisation de mot de passe1 heure (expiration automatique)

6. Transferts hors UE

Certains de nos sous-traitants (Stripe, Railway, Google, Sentry) sont établis aux États-Unis. Les transferts sont encadrés par les clauses contractuelles types (CCT) approuvées par la Commission européenne, garantissant un niveau de protection équivalent à celui de l'UE.

7. Vos droits

En vertu des articles 15 à 22 du RGPD, vous disposez des droits suivants :

  • Droit d'accès (art. 15) : obtenir une copie de toutes les données vous concernant.
  • Droit de rectification (art. 16) : corriger des données inexactes ou incomplètes.
  • Droit à l'effacement (art. 17) : demander la suppression de votre compte et des données associées (sous réserve des obligations légales de conservation des paiements).
  • Droit à la portabilité (art. 20) : recevoir vos données d'apprentissage dans un format structuré et lisible par machine.
  • Droit à la limitation (art. 18) : demander la limitation du traitement dans certains cas.
  • Droit d'opposition (art. 21) : vous opposer aux traitements fondés sur l'intérêt légitime.
Pour exercer vos droits : envoyez un email à contact@frequence.academy avec l'objet « Demande RGPD, [type de demande] ». Nous répondons sous 30 jours. Une vérification d'identité peut être demandée.

Vous pouvez également introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) si vous estimez que vos droits ne sont pas respectés.

8. Sécurité

  • Mots de passe stockés en hash bcrypt (jamais en clair)
  • Authentification par cookie JWT signé, httpOnly (inaccessible à JavaScript)
  • Chiffrement TLS/HTTPS de toutes les données en transit
  • Accès à la base de données restreint au serveur applicatif
  • Paiements traités par Stripe : nous ne recevons jamais les numéros de carte

9. Cookies

Cookie / stockageFinalitéDuréeConsentement requis ?
tokenSession d'authentification (JWT, httpOnly)30 joursNon, strictement nécessaire
_ga, _ga_* (Google Analytics)Mesure d'audience : visites, pages, appareil13 mois maximumOui, déposé uniquement après acceptation du bandeau
fq-cookie-consent (localStorage)Mémorise votre choix de consentement6 moisNon, stocke le choix lui-même

Google Analytics est chargé via Google Tag Manager et ne s'exécute pas avant votre acceptation. Vous pouvez refuser, et changer d'avis à tout moment via le lien « Cookie settings » en pied de page. Le refus n'a aucune conséquence sur le service.

Nous utilisons aussi un compteur de visites interne sans cookie, fondé sur un hash quotidien qui ne permet aucun suivi d'un jour à l'autre et ne requiert pas de consentement. Aucun cookie publicitaire n'est utilisé.

10. Mises à jour de cette politique

Cette politique peut évoluer avec nos pratiques ou la réglementation. Tout changement substantiel sera annoncé par email aux utilisateurs inscrits au moins 14 jours avant son entrée en vigueur.

Dernière mise à jour : juillet 2026, version 1.0 (FR)