Politique de confidentialité
Dernière mise à jour : 19 avril 2026
1. Responsable du traitement
Objectif Brevet — service de préparation au Diplôme National du Brevet (DNB).
Contact : contact@lorich.fr
2. Données collectées
- Prénom et adresse e-mail (inscription)
- Mot de passe hashé (bcrypt, jamais stocké en clair)
- Rôle du compte : élève ou parent
- Progression pédagogique : réponses aux exercices, scores, temps de révision
- Données de liaison parent-enfant : code d'invitation (8 caractères, valide 48h), identifiant de la relation
- Logs d'activité anonymisés (connexion, déconnexion)
3. Finalités et bases légales
Fourniture du service — exécution du contrat (Art. 6(1)(b) RGPD) : création et gestion du compte, accès aux exercices et cours, suivi de progression.
Suivi parental — consentement (Art. 6(1)(a) + Art. 8 RGPD) : permettre à un parent de suivre la progression de son enfant, uniquement après liaison explicite via code d'invitation.
Amélioration du service — intérêt légitime (Art. 6(1)(f) RGPD) : statistiques agrégées et anonymisées sur l'utilisation de la plateforme.
4. Mineurs
Le service est destiné aux élèves de 3ème (14-15 ans). Conformément à l'article 8 du RGPD et à la loi Informatique et Libertés, le traitement des données des mineurs de moins de 15 ans requiert le consentement du titulaire de la responsabilité parentale. Ce consentement est recueilli via la création d'un compte parent et la validation du lien avec le compte élève par code d'invitation. Aucun compte élève de moins de 15 ans ne peut être utilisé sans que ce mécanisme soit disponible.
5. Durée de conservation
Les données sont conservées pendant la durée d'utilisation active du compte, puis 3 ans après la dernière connexion. Les comptes peuvent être supprimés sur demande sous 30 jours (voir section 7).
6. Sous-traitants et hébergement
Les données sont hébergées exclusivement dans l'Union européenne :
- IONOS SE (Allemagne) — hébergement du serveur VPS et de la base de données PostgreSQL
Aucun transfert de données hors de l'Union européenne n'est effectué. Aucun service tiers de publicité ou d'analyse comportementale n'est utilisé.
7. Droits des utilisateurs
Conformément au RGPD, vous disposez des droits suivants :
- Accès (Art. 15) — obtenir une copie de vos données
- Rectification (Art. 16) — corriger des données inexactes
- Effacement (Art. 17) — supprimer votre compte et vos données
- Limitation du traitement (Art. 18) — restreindre temporairement l'utilisation de vos données
- Portabilité (Art. 20) — recevoir vos données dans un format structuré
- Opposition (Art. 21) — vous opposer au traitement fondé sur l'intérêt légitime
- Retrait du consentement (Art. 7(3)) — à tout moment, sans effet rétroactif
Pour exercer ces droits : contact@lorich.fr. Réponse sous 30 jours.
8. Sécurité
- Mots de passe hashés avec bcrypt (coût 12)
- Sessions authentifiées par JWT signé (NextAuth v5)
- HTTPS obligatoire (TLS) sur toutes les communications
- Accès parent strictement limité aux enfants liés via code d'invitation
- Base de données non exposée publiquement (réseau Docker interne)
9. Cookies
Un unique cookie de session (attributs : HttpOnly, Secure, SameSite=Lax) est utilisé pour l'authentification. Aucun cookie publicitaire, aucun tracker tiers, aucun pixel de suivi.
10. Réclamation
Si vous estimez que vos droits ne sont pas respectés, vous pouvez adresser une réclamation à la Commission Nationale de l'Informatique et des Libertés (CNIL).