Données personnelles · RGPD

Politique de confidentialité

Profnotes est un outil conçu par un professeur, pour les professeurs. La protection de vos données et de celles de vos élèves est un engagement concret, pas un texte de façade. Cette politique s'applique à tous les utilisateurs de la plateforme profnotes.fr.

✓ Aucune revente de données · ✓ IA anonymisée · ✓ Suppression totale sur demande · ✓ Hébergement sécurisé

01Responsable du traitement

Au sens du Règlement (UE) 2016/679 (RGPD), le responsable du traitement est :

Nom : Lucas Petit

Statut : Auto-entrepreneur

SIRET : 98890450400012

Email : contact@profnotes.fr

Site : profnotes.fr

Pour toute question relative à la protection de vos données, vous pouvez nous contacter à l'adresse ci-dessus. Nous nous engageons à répondre dans un délai maximum de 30 jours.

02Données collectées et bases légales

Nous appliquons le principe de minimisation des données : nous ne collectons que ce qui est strictement nécessaire au fonctionnement du service.

DonnéesFinalitéBase légaleDurée
Email du professeurAuthentification et gestion du compteExécution du contratDurée du compte + 30 jours
Statistiques d'usage (bilans générés)Gestion des quotas du planExécution du contratDurée du compte
Taux de charges, revenus calculésTableau de bord financier personnelExécution du contratDurée du compte
Prénom de l'élève, matière, niveauSuivi pédagogique par le professeurIntérêt légitime du professeurJusqu'à suppression de la fiche
Notes de séance, bilans, objectifsSuivi pédagogique et génération de bilansIntérêt légitime du professeurJusqu'à suppression de la fiche
Token d'accès parent (UUID aléatoire)Accès sécurisé au portail parentExécution du contratJusqu'à suppression de la fiche
Branding Pro (nom, couleur, slogan)Personnalisation du portail parentConsentement (saisie volontaire)Durée du compte

Nous ne collectons aucune donnée sensible au sens de l'article 9 du RGPD (santé, religion, origine ethnique, etc.). Les prénoms d'élèves sont des pseudonymes fonctionnels — nous ne pouvons pas identifier les élèves sans le contexte du professeur.

03Traitement par intelligence artificielle

Profnotes utilise l'API Groq (modèle llama-3.1-8b-instant) pour générer les bilans parents. Avant tout envoi vers l'IA :

  • Le prénom de l'élève est remplacé automatiquement par le token neutre [ÉLÈVE] dans les notes envoyées.
  • Groq s'engage contractuellement à ne pas utiliser les données de ses clients pour entraîner ses modèles (politique Zero Data Retention disponible sur groq.com).
  • Le prénom est réinjecté côté serveur dans la réponse — il ne transite jamais en clair vers l'IA.
Transfert hors UE : Groq, Inc. est une société américaine. Le traitement est couvert par les Clauses Contractuelles Types (CCT) de la Commission européenne. Les données envoyées sont systématiquement anonymisées au préalable.

04Sous-traitants et hébergeurs

Sous-traitantRôleLocalisationGarantie
SupabaseBase de données et authentificationEU (AWS eu-west-1)DPA conforme RGPD
VercelHébergement de l'application Next.jsEU (disponible)DPA conforme RGPD
Groq, Inc.Génération IA (bilans)USACCT + données anonymisées
StripePaiement des abonnements ProUSA/EUCCT + PCI-DSS

Ces sous-traitants traitent les données uniquement selon nos instructions et ne peuvent pas les utiliser à leurs propres fins. Des Accords de Traitement de Données (DPA/ATD) sont en place avec chacun d'eux.

05Accès aux données — qui voit quoi ?

  • Le professeur : accès total à ses données et aux données de ses élèves, via son compte sécurisé.
  • Les parents : accès limité, sans compte, via un lien token unique aléatoire (UUID v4). Ils voient uniquement le prénom, les séances, les bilans et les objectifs de leur enfant. Ils peuvent poser des questions via le portail.
  • L'équipe Profnotes : accès technique minimal, uniquement pour la maintenance (via la clé service Supabase, journalisée). Nous ne lisons pas vos notes pédagogiques.
  • Tiers : aucun accès. Aucune donnée n'est vendue, louée ou partagée à des fins commerciales.

06Durée de conservation

Conformément au principe de limitation de la conservation (art. 5 RGPD) :

  • Les données sont conservées pendant toute la durée d'utilisation active du compte.
  • En cas de suppression de compte (depuis /profil ou sur demande), l'intégralité des données est effacée de façon permanente sous 72 heures : compte d'authentification, élèves, séances, objectifs, bilans, cours planifiés.
  • En cas de suppression d'un élève, toutes les données associées (séances, objectifs, bilans) sont effacées en cascade immédiatement.
  • Les logs d'accès techniques (hébergeur) sont conservés 30 jours maximum.

07Vos droits

En tant que personne concernée (professeur, parent), vous bénéficiez des droits suivants au titre du RGPD. Pour les exercer, contactez-nous à contact@profnotes.fr.

Droit d'accès (art. 15)

Obtenir une copie de vos données.

Droit de rectification (art. 16)

Corriger des données inexactes directement dans l'app.

Droit à l'effacement (art. 17)

Supprimer votre compte depuis Profil → Zone dangereuse.

Droit à la portabilité (art. 20)

Exporter vos données en JSON sur demande.

Droit d'opposition (art. 21)

S'opposer à un traitement basé sur l'intérêt légitime.

Droit à la limitation (art. 18)

Suspendre un traitement en cas de contestation.

Droit de réclamation : Si vous estimez que vos droits ne sont pas respectés, vous pouvez déposer une plainte auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) — cnil.fr — ou de l'autorité de contrôle de votre pays de résidence.

08Sécurité des données

Nous mettons en œuvre les mesures techniques et organisationnelles suivantes :

  • Chiffrement en transit : toutes les communications sont en HTTPS/TLS.
  • Chiffrement au repos : base de données Supabase chiffrée (AES-256).
  • Authentification sécurisée : gestion des sessions via JWT, réinitialisation de mot de passe par lien à usage unique.
  • Accès parent : token UUID v4 aléatoire, non devinable, non indexé par les moteurs de recherche.
  • Row Level Security (RLS) : chaque professeur ne peut accéder qu'à ses propres données (isolation au niveau base de données).
  • Clé service restreinte : la clé d'administration Supabase n'est utilisée que côté serveur, jamais exposée au client.

09Cookies et traceurs

Profnotes utilise un nombre minimal de cookies, strictement nécessaires au fonctionnement du service :

CookieFinalitéDuréeType
sb-auth-token (Supabase)Maintien de la session authentifiéeSession + 7 joursNécessaire
sb-refresh-tokenRenouvellement automatique de session60 joursNécessaire

Aucun cookie publicitaire, analytique ou tiers de suivi n'est déposé. Aucun consentement supplémentaire n'est requis pour ces cookies strictement nécessaires (directive ePrivacy, art. 5.3).

10Protection des données des mineurs

Profnotes s'adresse exclusivement aux professeurs particuliers adultes. Les données relatives aux élèves (qui peuvent être mineurs) sont saisies et gérées par le professeur, dans le cadre de sa relation pédagogique avec les familles.

  • Aucun compte n'est créé au nom d'un mineur sur Profnotes.
  • Les parents peuvent accéder au portail de suivi de leur enfant via le lien fourni par le professeur.
  • Un parent peut demander la suppression de toutes les données de son enfant en contactant le professeur ou directement contact@profnotes.fr.

11Modifications de cette politique

En cas de modification substantielle, vous serez informé par email avec un délai de prévenance de 15 jours avant l'entrée en vigueur. La date de dernière mise à jour figure en bas de cette page. La poursuite de l'utilisation du service après cette date vaut acceptation des modifications.

Dernière mise à jour : 25 avril 2026Version 2.0 — Conforme RGPD (UE) 2016/679
Conditions générales de vente →← Retour à l'accueil