Politique de confidentialité
Dernière mise à jour : 3 juin 2026
1. Éditeur et responsable de traitement
Le responsable de traitement est AYT WEB, dont le siège social et les coordonnées figurent dans les Mentions légales.
Contact pour la protection des données : Anthony Thomas — support@docendo.fr.
La présente politique décrit les traitements de données à caractère personnel mis en œuvre dans le cadre du service Docendo, tuteur pédagogique assisté par IA pour collégiens (6ᵉ–3ᵉ).
2. Finalités des traitements
Les données sont traitées pour les finalités suivantes :
- Gestion du compte famille (création, authentification, administration des comptes enfants) ;
- Suivi pédagogique adaptatif (estimation du niveau via le modèle de Rasch / IRT, sessions d'apprentissage, progression dans les chapitres) ;
- Tuteur conversationnel Milo (assistance par IA, gestion des quotas) ;
- Brief parental (synthèse périodique des progrès) ;
- Alertes signal (détection de difficultés et de comportements à risque, anti-fraude multi-comptes) ;
- Paiement et facturation (abonnement via Stripe).
3. Bases légales
| Finalité | Base légale |
|---|---|
| Gestion du compte parent et exécution du Service | Exécution du contrat — art. 6.1.b RGPD |
| Traitement des données de l'enfant de moins de 15 ans | Consentement du titulaire de l'autorité parentale — art. 8 RGPD (et art. L.1111-5-1 CSP pour ce qui touche aux mineurs) |
| Anti-fraude multi-comptes | Intérêt légitime — art. 6.1.f RGPD |
| Facturation et obligations comptables | Obligation légale — art. 6.1.c RGPD |
4. Catégories de données traitées
Parent : civilité, adresse e-mail, mot de passe (haché avec Argon2id, jamais stocké en clair), adresse IP des événements de connexion, données d'abonnement (références Stripe uniquement, aucune donnée de carte bancaire).
Enfant : pseudonyme, avatar, date de naissance (facultative), réponses aux évaluations IRT, sessions d'apprentissage, conversations avec Milo, progression dans les chapitres.
Aucune donnée n'est utilisée à des fins publicitaires. Aucune donnée n'est revendue.
5. Sous-traitants et destinataires
Les données sont accessibles aux seuls personnels habilités de AYT WEB et aux sous-traitants suivants, encadrés par contrat conforme à l'art. 28 RGPD :
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Hetzner Online GmbH (serveur VPS) | Hébergement applicatif et base de données | Allemagne (UE) |
| Stripe | Paiement et facturation | UE + États-Unis |
| Anthropic | API du tuteur conversationnel Milo | États-Unis |
| Brevo (Sendinblue SAS) | Envoi des e-mails transactionnels | Union européenne |
| Mailpit | Capture des e-mails — environnement de développement uniquement | Local |
Transferts hors Union européenne : certains sous-traitants (Stripe, Anthropic) traitent des données aux États-Unis. Ces transferts sont encadrés par les clauses contractuelles types de la Commission européenne (art. 46 RGPD) et, le cas échéant, par le Data Privacy Framework.
6. Durées de conservation
| Donnée | Durée |
|---|---|
| Compte et données pédagogiques | Durée d'activité du compte + 3 ans après la dernière connexion |
| Logs de sécurité (événements de connexion) | 12 mois (art. L.34-1 CPCE) — purge via la commande app:parent-login-events:purge |
| Logs d'audit applicatif | 5 ans |
| Données de facturation | 10 ans (art. L.123-22 du Code de commerce) |
7. Profilage et décision automatisée
Le suivi pédagogique repose sur un algorithme d'analyse adaptative (modèle de Rasch / IRT) estimant le niveau de maîtrise de l'enfant. Ce traitement est un outil d'accompagnement pédagogique : il ne produit aucune décision automatisée à effet juridique ou significatif au sens de l'article 22 du RGPD.
8. Vos droits
Conformément au RGPD, vous disposez des droits d'accès, de rectification, d'effacement, de portabilité, d'opposition et de retrait du consentement à tout moment.
- En ligne : depuis l'espace parent, rubrique Mes données (export et suppression).
- Par e-mail : à l'adresse support@docendo.fr.
Le retrait du consentement parental n'a pas d'effet rétroactif sur les traitements déjà réalisés.
9. Recours
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL : https://www.cnil.fr/fr/plaintes.
10. Mesures de sécurité
AYT WEB met en œuvre des mesures techniques et organisationnelles appropriées (art. 32 RGPD), notamment :
- hachage des mots de passe avec Argon2id ;
- chiffrement des échanges en HTTPS ;
- isolation stricte des familles par contrôle d'accès applicatif (FamilyVoter) ;
- journal d'audit des opérations sensibles.