LégalMis à jour le

Politique de confidentialité

Quelles données on traite, pourquoi, et comment tu peux les contrôler.

1. Responsable du traitement

Le responsable du traitement des données personnelles est YOM AKAKPO EI, 60 Rue François 1er, 75008 Paris. Contact : contact@leandre.io.

Compte tenu de la taille de la structure, aucun Délégué à la Protection des Données (DPO) n'a été formellement désigné, les demandes sont traitées directement par le responsable du traitement.

2. Données collectées et finalités

Cocorico collecte les catégories de données suivantes, pour les finalités indiquées :

  • Identifiants de compte (email, mot de passe haché, nom si fourni) — finalité : permettre l'accès et l'identification. Base légale : exécution du contrat (art. 6.1.b RGPD).
  • Progression pédagogique (leçons complétées, réponses, temps, séries, XP) — finalité : fournir le service, recommandations, insights. Base légale : exécution du contrat.
  • Préférences utilisateur (langue d'interface, sous-titres, date d'examen cible) — finalité : personnalisation. Base légale : exécution du contrat.
  • Données de paiement (traitées exclusivement par Stripe, aucune donnée carte ne transite par nos serveurs) — finalité : facturation. Base légale : exécution du contrat + obligation légale (comptabilité).
  • Journaux techniques (logs serveur, adresse IP, user-agent) — finalité : sécurité, débogage. Base légale : intérêt légitime (art. 6.1.f RGPD).
  • Données d'usage agrégées (statistiques anonymisées) — finalité : amélioration du service. Base légale : intérêt légitime.

3. Durée de conservation

  • Données de compte et progression : tant que le compte existe, puis 30 jours après suppression.
  • Factures et données comptables : 10 ans (obligation légale française).
  • Journaux techniques : 12 mois maximum.
  • Données anonymisées et agrégées : durée indéterminée (ne permettent plus l'identification).

4. Destinataires et sous-traitants

Nous recourons aux sous-traitants suivants, qui traitent vos données personnelles pour notre compte dans le respect du RGPD :

  • OVH SAS (Roubaix, France) — hébergement de l'application et de la base de données PostgreSQL.
  • Stripe Payments Europe Ltd. (Dublin, Irlande) — traitement des paiements et facturation. Voir l'accord de traitement des données Stripe.
  • Zoho Corporation B.V. (Amsterdam, Pays-Bas) — service de messagerie Zoho Mail EU (smtp.zoho.eu) pour l'envoi des emails transactionnels : vérification d'adresse, réinitialisation de mot de passe, factures. Données hébergées dans l'Union européenne. Voir l'accord de traitement des données Zoho.

Aucune donnée personnelle n'est vendue ou cédée à des tiers à des fins commerciales.

Note sur les outils internes. Cocorico utilise par ailleurs des services de synthèse vocale (Microsoft Azure Speech, ElevenLabs) pour pré-générer la bande-son des questions, et un registre d'images applicatives (GitHub Container Registry) pour le déploiement. Ces services ne reçoivent aucune donnée utilisateur — ils traitent uniquement le contenu civique et le code applicatif que nous leur fournissons. Ils ne sont donc pas des sous-traitants au sens du RGPD.

5. Transferts hors UE

L'ensemble de l'hébergement applicatif, de la base de données et des emails transactionnels reste au sein de l'Union européenne (OVH France pour l'application et la base, Zoho Mail EU aux Pays-Bas pour les emails).

Seul Stripe Payments Europe Ltd. (Irlande), bien qu'établi dans l'UE, peut transférer certaines données vers ses sociétés affiliées aux États-Unis pour les besoins du traitement des paiements. Ces transferts sont encadrés par le Data Privacy Framework UE-USA (Stripe Inc. y est certifié) et par les Clauses Contractuelles Types adoptées par la Commission européenne.

6. Vos droits (RGPD)

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

  • Droit d'accès — obtenir une copie des données que nous détenons sur vous.
  • Droit de rectification — corriger des données inexactes.
  • Droit à l'effacement — supprimer vos données (« droit à l'oubli »).
  • Droit à la limitation — geler le traitement dans certains cas.
  • Droit à la portabilité — recevoir vos données dans un format structuré (JSON).
  • Droit d'opposition — vous opposer au traitement pour motifs légitimes.
  • Droit de définir des directives post-mortem — art. 85 loi Informatique et Libertés.

Pour exercer ces droits, écrivez à contact@leandre.io en précisant votre demande et en joignant une pièce d'identité si l'identification n'est pas certaine. Nous répondons dans un délai maximum d'un mois.

7. Recours

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : cnil.fr/fr/plaintes.

8. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées : chiffrement TLS des communications, hachage des mots de passe via bcrypt, séparation des environnements de développement et de production, sauvegardes chiffrées, principe du moindre privilège sur les accès administrateur.

9. Cookies

L'utilisation des cookies est détaillée dans notre Politique cookies.

10. Modification de la présente politique

Cette politique peut être mise à jour pour refléter les évolutions légales ou techniques. La date de dernière mise à jour figure en tête de document. Les modifications substantielles font l'objet d'une notification par email aux Utilisateurs actifs.

Retour aux informations légales