Légal
Politique de confidentialité
Dernière mise à jour : [DATE] — Conforme RGPD (UE) 2016/679
1. Responsable du traitement
- Entité : [NOM LEGAL]
- Adresse : [ADRESSE]
- Email DPO / contact RGPD : dpo@metmat.fr
2. Données collectées et bases légales
| Traitement | Données | Base légale |
|---|---|---|
| Création de compte | Email, mot de passe (hashé), prénom optionnel | Exécution du contrat |
| Authentification | JWT, session cookie | Intérêt légitime |
| Génération d'exercices IA | Requêtes envoyées à OpenAI (anonymisées) | Exécution du contrat |
| Suivi de progression | Scores, historique exercices | Exécution du contrat |
| Paiement Premium | Données Stripe (non stockées en clair) | Exécution du contrat |
| Logs de sécurité | IP, User-Agent, horodatage | Intérêt légitime |
| Analytics (optionnel) | Pages visitées, durée session | Consentement |
3. Sous-traitants (DPA signés)
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Supabase Inc. | Base de données & authentification | AWS eu-west-3 (Paris) |
| Vercel Inc. | Hébergement & CDN | UE / USA — SCCs signés |
| OpenAI Inc. | Génération IA exercices | USA — données pseudonymisées |
| Stripe Inc. | Paiement | UE / USA — SCCs signés |
| Upstash Inc. | Rate limiting Redis | UE |
| Sentry Inc. | Monitoring erreurs | USA — données pseudonymisées |
4. Durées de conservation
- Compte actif : durée de vie du compte + 30 jours après demande de suppression
- Historique exercices (gratuit) : 30 jours glissants
- Historique exercices (Premium) : illimité pendant l'abonnement, 90 jours après résiliation
- Logs de sécurité : 12 mois
- Données de paiement (Stripe) : 5 ans (obligation légale comptable)
5. Droits des personnes concernées
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès — obtenir une copie de vos données
- Droit de rectification — corriger des données inexactes
- Droit à l'effacement — supprimer votre compte et vos données
- Droit à la portabilité — exporter vos données au format JSON
- Droit d'opposition — vous opposer à certains traitements
- Droit à la limitation — limiter le traitement de vos données
Pour exercer ces droits, contactez : dpo@metmat.fr. Nous répondrons dans un délai maximum de 30 jours.
Vous pouvez également introduire une réclamation auprès de la CNIL (cnil.fr).
6. Cookies
MetMat utilise uniquement des cookies strictement nécessaires au fonctionnement du service :
sb-*— Session Supabase (authentification)cookie_consent— Mémorisation de votre consentement
Aucun cookie publicitaire ou de tracking tiers n'est déposé. Aucun opt-in n'est requis pour les cookies techniques.
7. Transferts hors UE
Certains sous-traitants (OpenAI, Vercel, Stripe, Sentry) sont établis aux États-Unis. Ces transferts sont encadrés par des Clauses Contractuelles Types (SCCs) approuvées par la Commission européenne, conformément à l'article 46 du RGPD.
Les données transmises à OpenAI pour la génération d'exercices sont préalablement pseudonymisées : aucun identifiant direct n'est inclus dans les requêtes.
8. Sécurité
MetMat met en œuvre des mesures techniques et organisationnelles adaptées : chiffrement TLS en transit, hachage des mots de passe (bcrypt), RLS (Row Level Security) sur la base de données, rate limiting, journalisation des accès.
9. Modifications de la politique
Toute modification substantielle de cette politique sera notifiée par email et sera visible sur cette page avec la date de mise à jour.
10. Contact
DPO / responsable RGPD : dpo@metmat.fr
Vous pouvez aussi nous contacter via : contact@metmat.fr