Politique de confidentialité

1. Identité du responsable de traitement

La plateforme Scholr, accessible via le site web scholr.fr et l'application mobile Scholr (iOS et Android), est éditée par :

• Raison sociale : Scholr SAS
• Siège social : 2 chemin de la Croix Saint-Jérôme, 77123 Noisy-sur-École, France
• Email : contact@scholr.fr
• Délégué à la protection des données (DPO) : Alexandre Boittelle — dpo@scholr.fr

2. Données collectées

Dans le cadre de l'utilisation de la plateforme, nous collectons les catégories de données suivantes :

Données d'identification

• Nom, prénom
• Adresse email
• Photo de profil (optionnelle, via Google ou Microsoft OAuth)
• Rôle au sein de l'établissement (étudiant, enseignant, administrateur, délégué)

Données scolaires et pédagogiques

• Résultats de QCM, scores et progression pédagogique
• Notes, bulletins et bilans de compétences
• Données de présence et d'émargement
• Fichiers et documents téléversés (cours, fiches de révision)
• Messages échangés via la messagerie interne
• Données de stages (entreprise, tuteur, convention)

Données techniques

• Adresse IP (sécurité et limitation de débit)
• Type d'appareil et système d'exploitation
• Token de notification push (avec consentement explicite)
• Données de navigation anonymisées (Vercel Analytics)

Données de facturation

Les informations de paiement (carte bancaire) sont collectées et traitées exclusivement par Stripe. Scholr ne stocke aucune donnée bancaire. Nous conservons uniquement l'identifiant client Stripe et l'historique des factures.

Données non collectées

Scholr ne collecte aucune donnée de géolocalisation, donnée biométrique, donnée de santé ou donnée financière personnelle.

3. Finalités du traitement

• Gestion pédagogique : fourniture du service éducatif (cours, QCM, notes, planning, émargement, stages)
• Communication : messagerie interne, notifications push (avec consentement), emails transactionnels (Resend)
• Facturation : gestion des abonnements, envoi des factures, suivi comptable
• Amélioration du service : statistiques d'utilisation anonymisées, correction de bugs, monitoring (Sentry)
• Sécurité : prévention des abus, limitation de débit, détection de fraudes
• Conformité légale : obligations comptables et réglementaires (Qualiopi, archivage)

4. Base légale du traitement

Conformément à l'article 6 du RGPD, les traitements de données reposent sur :

• Exécution du contrat (art. 6.1.b) : fourniture du service pédagogique souscrit par l'établissement, gestion des comptes utilisateurs
• Intérêt légitime (art. 6.1.f) : sécurité du service, prévention des fraudes, amélioration de la plateforme, statistiques anonymisées
• Consentement (art. 6.1.a) : notifications push, cookies non essentiels, newsletter
• Obligation légale (art. 6.1.c) : conservation des données comptables et fiscales, réponse aux réquisitions judiciaires

5. Durée de conservation

• Données de compte : durée de la relation contractuelle, puis 3 ans après le dernier accès (archivage intermédiaire)
• Données pédagogiques : durée de la scolarité au sein de l'établissement, puis 1 an après la fin de la formation
• Données de facturation : 10 ans (obligation légale comptable)
• Logs de sécurité : 12 mois
• Données de contact : 3 ans après le dernier contact
• Tokens push : jusqu'à révocation ou suppression du compte

À l'issue de ces délais, les données sont supprimées ou anonymisées de manière irréversible. Vous pouvez demander la suppression anticipée de vos données à tout moment (voir section 9).

6. Destinataires des données

Vos données ne sont jamais vendues. Elles sont accessibles uniquement par :

• Équipe Scholr : personnel habilité pour le support technique et l'administration de la plateforme
• Votre établissement : les enseignants et administrateurs de votre école accèdent à vos données pédagogiques dans le cadre de leur mission éducative
• Sous-traitants techniques : uniquement dans la mesure nécessaire à la fourniture du service (voir section 7)

7. Sous-traitants techniques

Nous faisons appel aux sous-traitants suivants, tous liés par des engagements contractuels de protection des données :

8. Transferts de données hors Union Européenne

Certains de nos sous-traitants sont situés aux États-Unis (Vercel, Stripe, Resend, Sentry, Mux, Pusher, Mapbox). Ces transferts sont encadrés par :

• Le EU-U.S. Data Privacy Framework (DPF) pour les prestataires certifiés
• Des clauses contractuelles types (CCT) adoptées par la Commission européenne
• Des mesures techniques supplémentaires (chiffrement en transit et au repos)

Les données de la base de données principale (Supabase PostgreSQL) sont hébergées dans l'Union Européenne.

9. Vos droits

Conformément au RGPD (articles 15 à 22) et à la loi Informatique et Libertés, vous disposez des droits suivants :

• Droit d'accès (art. 15) : obtenir une copie de l'ensemble de vos données personnelles
• Droit de rectification (art. 16) : corriger des données inexactes ou incomplètes
• Droit à l'effacement (art. 17) : demander la suppression de vos données, sous réserve des obligations légales de conservation
• Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine
• Droit d'opposition (art. 21) : vous opposer au traitement de vos données fondé sur l'intérêt légitime
• Droit à la limitation (art. 18) : demander la suspension temporaire du traitement de vos données
• Droit de retirer votre consentement : à tout moment, sans affecter la licéité du traitement antérieur

Pour exercer vos droits, contactez notre DPO à dpo@scholr.fr. Nous répondrons dans un délai maximum de 30 jours.

Vous disposez également du droit d'introduire une réclamation auprès de la CNIL : www.cnil.fr

10. Cookies et traceurs

Le site web Scholr utilise uniquement des cookies strictement nécessaires au fonctionnement du service :

• Cookie de session : authentification et maintien de la connexion (NextAuth)
• Préférences : langue d'interface (cookie scholr-locale)
• Vercel Analytics : mesure d'audience anonymisée, sans cookie tiers, conforme RGPD

Aucun cookie publicitaire, de tracking tiers ou de retargeting n'est utilisé. Aucune donnée n'est transmise à des régies publicitaires.

11. Sécurité des données

Scholr met en œuvre des mesures techniques et organisationnelles adaptées pour protéger vos données :

• Chiffrement de toutes les communications (HTTPS/TLS)
• Chiffrement des clés API sensibles au repos (AES-256-GCM)
• Mots de passe hashés (bcrypt)
• Authentification sécurisée (OAuth 2.0, JWT signé, stockage SecureStore sur mobile)
• Isolation stricte des données par établissement (architecture multi-tenant)
• Limitation de débit (rate limiting) sur toutes les API
• Monitoring continu et alertes en temps réel (Sentry)
• Sauvegardes automatiques de la base de données

12. Application mobile

L'application mobile Scholr (iOS et Android) collecte les mêmes catégories de données que le site web, avec les spécificités suivantes :

• Caméra : utilisée uniquement pour scanner les QR codes d'émargement. Aucune photo n'est stockée.
• Notifications push : envoyées uniquement avec votre consentement explicite. Vous pouvez les désactiver à tout moment dans les réglages de votre appareil.
• Stockage sécurisé : le token d'authentification est stocké dans le Keychain iOS / Keystore Android (pas en clair).

L'application mobile ne collecte aucune donnée de géolocalisation, n'accède pas à vos contacts, et ne contient aucun tracker publicitaire.

13. Modification de la politique

Nous nous réservons le droit de modifier la présente politique de confidentialité à tout moment. En cas de modification substantielle, nous vous en informerons par email ou via une notification dans l'application. La date de dernière mise à jour est indiquée en haut de cette page.

14. Contact

Pour toute question relative à la protection de vos données personnelles :

• DPO : Alexandre Boittelle — dpo@scholr.fr
• Adresse : Scholr SAS, 2 chemin de la Croix Saint-Jérôme, 77123 Noisy-sur-École, France
• Contact général : contact@scholr.fr