Aller au contenu principal
← Retour accueil

Politique de confidentialité

Dernière mise à jour : avril 2026 · Version 2.0

La présente politique décrit comment Azera (ci-après « Azera », « nous ») collecte, utilise et protège vos données personnelles dans le cadre du service de tutorat pédagogique accessible sur www.azera-sensei.com et dans l'application mobile associée.

Azera applique une logique RGPD by design : minimisation des données, contrôle des accès, pseudonymisation des traitements sensibles, hébergement européen des données pédagogiques et durées de conservation limitées.

1. Responsable de traitement

  • Raison sociale : AZERA SASU
  • Siège social : 7 Route de Tutou, 40320 Mauries, France
  • Immatriculation : [À COMPLÉTER — SIRET / RCS dès réception du Kbis]
  • Représentant légal : Yoann Elmohsine, Président
  • Contact général : contact@azera-sensei.com
  • Contact vie privée : privacy@azera-sensei.com

Azera n'a pas désigné de Délégué à la Protection des Données (DPO) à ce jour ; toute demande peut être adressée au contact vie privée ci-dessus.

2. Données collectées

Nous collectons uniquement les données strictement nécessaires aux finalités décrites :

  • Données d'identification : email, prénom (facultatif), mot de passe (haché) ou identifiant du fournisseur d'authentification (Google, Apple).
  • Profil scolaire : niveau, filière, matières, objectifs pédagogiques.
  • Données d'usage pédagogique : conversations tutorielles, exercices, réponses, évaluations, durée de session, progression.
  • Données d'orientation (module Avenir) : réponses aux questionnaires, signaux d'intérêt, profil d'orientation généré.
  • Données techniques : adresse IP, identifiant de session, user-agent, logs d'erreur, métriques de performance.
  • Données de facturation (abonnés payants) : nom, email, pays, type d'abonnement, historique de paiement (collectés et traités par Stripe).
  • Documents téléversés : cours, exercices ou fiches que vous décidez d'analyser via l'outil d'analyse de document.

Nous ne collectons pas volontairement de données sensibles au sens de l'article 9 RGPD (santé, religion, orientation sexuelle, opinions politiques). Si de telles données apparaissaient dans une conversation, elles seraient traitées avec une vigilance renforcée et jamais utilisées à des fins de profilage.

3. Finalités et bases légales

  • Fourniture du service de tutorat (compte, sessions pédagogiques, exercices, synthèses) — base : exécution du contrat (art. 6-1-b RGPD).
  • Gestion de l'abonnement et facturation — base : exécution du contrat et obligation légale (art. 6-1-b et 6-1-c RGPD).
  • Amélioration du produit, mesure de qualité, prévention d'abus — base : intérêt légitime (art. 6-1-f RGPD). Les données utilisées sont agrégées ou pseudonymisées.
  • Personnalisation pédagogique (adaptation du ton, des exercices, du niveau de difficulté) — base : exécution du contrat.
  • Analyse statistique d'usage (PostHog) — base : consentement (art. 6-1-a RGPD), recueilli via la bannière cookies.
  • Communication commerciale (séquences email, nouveautés) — base : consentement pour les prospects, intérêt légitime pour les clients existants sur des produits analogues. Désinscription possible à tout moment.

4. Sous-traitants et destinataires

Azera s'appuie sur des prestataires techniques agissant en qualité de sous-traitants au sens de l'article 28 RGPD. Chaque sous-traitant est lié par un contrat (DPA) imposant des obligations de sécurité, de confidentialité et, le cas échéant, des garanties de transfert hors UE.

PrestataireRôleLocalisationCadre de transfert
Mistral AIModèles de langage (tutorat, analyse documents)France (UE)Hébergement UE
Google Firebase AuthenticationAuthentification des comptes uniquement (vérification de l'identité, émission de jetons). Aucune donnée pédagogique, conversation ou document n'est stocké chez Firebase. Seules l'adresse email et l'identifiant du fournisseur d'identité (Google, Apple) transitent pour valider la connexion.États-Unis (multi-régional)DPF (Data Privacy Framework) + CCT
Stripe Payments EuropePaiement des abonnementsIrlande / États-UnisDPF + CCT
VercelHébergement applicatif (fonctions serverless)Francfort (UE). CDN edge : mondial (assets statiques uniquement, aucune donnée personnelle).Hébergement UE + DPF/CCT pour la société mère US
Vercel BlobStockage des fichiers téléversés (documents analysés)Paris (UE)Hébergement UE
Upstash RedisCache, limitation de débitUnion européenneHébergement UE
SentrySupervision des erreurs applicativesAllemagne (UE) — ingest.de.sentry.ioHébergement UE
PostHogAnalyse d'usage produit (avec consentement)Irlande (UE) — eu.i.posthog.comHébergement UE
ResendEnvoi d'emails transactionnelsIrlande (UE) — eu-west-1Hébergement UE
ONISEPRéférentiel public métiers / formationsFrance (UE)Donnée publique, aucun transfert de PII

Nous ne revendons, ne louons et n'échangeons aucune donnée personnelle avec des tiers à des fins commerciales.

5. Transferts hors Union européenne

Azera a fait le choix délibéré de stocker l'ensemble des données pédagogiques et personnelles en Union européenne. Seuls deux sous-traitants opèrent depuis les États-Unis, dans des périmètres strictement limités :

  • Google Firebase Authentication — utilisé exclusivement pour l'authentification. Aucune donnée pédagogique, conversation, document ou profil élève n'est stocké chez Firebase. Seules l'adresse email et l'identifiant du fournisseur (Google, Apple) transitent pour vérifier votre identité et émettre un jeton de session.
  • Stripe Payments — utilisé uniquement pour le traitement des paiements d'abonnement (carte bancaire, facturation).

Ces deux transferts sont encadrés par :

  • le Data Privacy Framework (DPF) lorsque le sous-traitant est certifié par le Département du Commerce américain ;
  • à défaut, les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne, complétées le cas échéant par des mesures supplémentaires (chiffrement, pseudonymisation).

L'intégralité des données personnelles et pédagogiques des utilisateurs est stockée en Union européenne. Les conversations, documents téléversés, analyses d'usage, supervision d'erreurs et emails transactionnels sont traités par des sous-traitants européens : Mistral AI (France), Upstash Redis (UE), Vercel Serverless (Francfort), Vercel Blob (Paris), PostHog (Irlande), Sentry (Allemagne) et Resend (Irlande). Les seuls transferts hors UE concernent l'authentification (Firebase — aucune donnée utilisateur stockée, uniquement vérification d'identité) et le paiement (Stripe), tous deux encadrés par le DPF et les CCT.

6. Durées de conservation

  • Compte et profil scolaire : pendant toute la durée d'utilisation du service, puis supprimés sur demande ou après 24 mois d'inactivité.
  • Conversations pédagogiques : 24 mois maximum après la dernière session, sauf suppression anticipée à la demande de l'utilisateur.
  • Documents téléversés : 90 jours après analyse, sauf choix explicite de conservation prolongée dans l'espace utilisateur.
  • Logs techniques et de sécurité : 6 mois (conformément à la doctrine CNIL sur la sécurité).
  • Données de facturation : 10 ans, obligation comptable française (art. L.123-22 Code de commerce).
  • Prospects non convertis : 3 ans à compter du dernier contact.
  • Cookies et traceurs analytiques : 13 mois maximum.

À l'expiration de ces durées, les données sont supprimées ou anonymisées de façon irréversible.

7. Sécurité

Conformément à l'article 32 RGPD, Azera met en œuvre des mesures techniques et organisationnelles adaptées aux risques :

  • Chiffrement en transit (TLS 1.2+) et au repos (AES-256) par les sous-traitants.
  • Authentification forte : mots de passe hachés (bcrypt/scrypt), fournisseurs d'identité OAuth avec vérification de jeton côté serveur.
  • Contrôle d'accès basé sur les rôles, principe du moindre privilège.
  • Isolement des environnements (production / préproduction), secrets gérés hors du code.
  • Journalisation et détection des anomalies via Sentry.
  • Revues de code, tests automatisés et dépendances surveillées.
  • Procédure documentée de notification de violation de données à la CNIL sous 72 h.

8. Cookies et traceurs

Azera utilise deux catégories de traceurs :

  • Traceurs strictement nécessaires (session, authentification, sécurité) : déposés sans consentement car indispensables au service (art. 82 Loi Informatique et Libertés).
  • Traceurs de mesure d'audience (PostHog) : déposés uniquement après consentement explicite via la bannière cookies. Vous pouvez retirer votre consentement à tout moment depuis les paramètres de l'application ou en effaçant les cookies de votre navigateur.

Aucun traceur publicitaire ni aucun cookie de partage avec des réseaux sociaux n'est déposé.

9. Protection des mineurs

Azera s'adresse principalement à un public lycéen. Conformément à l'article 8 du RGPD et à l'article 45 de la Loi Informatique et Libertés :

  • Pour les mineurs de moins de 15 ans, le traitement est subordonné au consentement d'un titulaire de l'autorité parentale. Lors de l'inscription, une case à cocher spécifique déclare que le parent a donné son accord, et un email de confirmation est envoyé à l'adresse parentale renseignée.
  • Pour les mineurs de 15 ans et plus, le consentement propre du mineur est suffisant.
  • Le titulaire de l'autorité parentale peut à tout moment demander l'accès, la modification ou la suppression des données de son enfant mineur en écrivant à privacy@azera-sensei.com.
  • Aucune donnée de profilage commercial n'est exploitée concernant les mineurs.

10. Décisions automatisées et profilage

Azera met en œuvre des traitements partiellement automatisés pour adapter la pédagogie et proposer des pistes d'orientation (module Avenir). Ces traitements ne produisent pas d'effet juridique ni significatif au sens de l'article 22 RGPD : les recommandations sont indicatives et ne remplacent ni un conseiller d'orientation ni un enseignant.

Vous disposez du droit d'obtenir une intervention humaine, d'exprimer votre point de vue et de contester toute recommandation automatisée en écrivant à privacy@azera-sensei.com.

11. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

  • Droit d'accès à vos données (art. 15).
  • Droit de rectification (art. 16).
  • Droit à l'effacement, dit « droit à l'oubli » (art. 17).
  • Droit à la limitation du traitement (art. 18).
  • Droit à la portabilité (art. 20).
  • Droit d'opposition (art. 21).
  • Droit de retirer votre consentement à tout moment, sans remise en cause de la licéité des traitements antérieurs.
  • Droit de définir des directives relatives au sort de vos données après votre décès (art. 85 Loi Informatique et Libertés).

Pour exercer ces droits, écrivez à privacy@azera-sensei.com. Nous répondons dans un délai d'un mois, pouvant être prolongé de deux mois en cas de complexité particulière.

Droit de réclamation : si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL (3 place de Fontenoy, 75007 Paris).

12. Résidents des États-Unis

Californie (CCPA / CPRA)

Si vous résidez en Californie, vous disposez des droits prévus par le California Consumer Privacy Act : droit de savoir, droit de suppression, droit de correction, droit de refuser la vente ou le partage de vos données (« Do Not Sell or Share My Personal Information »). Azera ne vend pas et ne partage pas vos données au sens du CCPA. Pour exercer ces droits, écrivez à privacy@azera-sensei.com.

Enfants de moins de 13 ans (COPPA)

Azera n'est pas destiné aux enfants de moins de 13 ans. Conformément au Children's Online Privacy Protection Act, nous ne collectons pas sciemment de données personnelles concernant un enfant de moins de 13 ans sans consentement parental vérifiable. Si vous êtes parent et que vous pensez que votre enfant nous a transmis des données, écrivez à privacy@azera-sensei.com pour obtenir leur suppression immédiate.

13. Connexion Google et services Google

Lorsque vous vous connectez avec votre compte Google, Azera accède uniquement à votre adresse email et à votre nom public (scopes email et profile). Ces informations sont utilisées exclusivement pour créer ou identifier votre compte Azera. Aucune donnée Google n'est partagée avec un tiers à des fins publicitaires ou commerciales, et Azera n'utilise pas ces données pour entraîner des modèles d'intelligence artificielle.

14. Modifications de la politique

La présente politique peut être mise à jour pour refléter une évolution du service, de la réglementation ou de nos sous-traitants. La date de dernière mise à jour figure en haut du document. En cas de modification substantielle, nous vous en informerons par email ou via une notification dans l'application au moins 15 jours avant l'entrée en vigueur.

15. Contact

Pour toute question relative à cette politique ou à vos données :
Email : privacy@azera-sensei.com
Courrier : AZERA SASU, 7 Route de Tutou, 40320 Mauries, France

Azera utilise des cookies strictement nécessaires au fonctionnement du site. Avec ton accord, nous utilisons aussi des cookies d’analyse pour améliorer ton expérience (Sentry pour les erreurs, PostHog pour l’usage). Aucune donnée personnelle n’est vendue ou partagée. Tu peux changer d’avis à tout moment dans les paramètres.