EvalDiffEvalDiff

Document légal

Politique de Confidentialité

Dernière mise à jour : 28 mai 2026

Article 1 — Responsable du traitement

Romain Pizzanelli, entrepreneur individuel
Nom commercial : ÉvalDiff — SIRET : 904 269 495 00019
Adresse : 50 rue de village, 13006 Marseille
Email : contact@evaldiff.fr — Tél. : 06 58 07 49 60

Responsable au sens de l'article 4, point 7, du RGPD.

Article 2 — Qualification RGPD

Dans le cadre du fonctionnement du Service :

  • L'Éditeur agit en qualité de responsable du traitement pour les données de compte (email, nom, préférences), les données techniques (IP, logs) et les données de facturation.
  • L'Éditeur agit en qualité de sous-traitant lorsqu'un établissement scolaire utilise le Service pour le compte de ses enseignants. Dans ce cas, un accord de traitement de données (DPA) peut être conclu sur demande.

Dans tous les cas, l'Éditeur ne collecte pas sciemment de données personnelles de mineurs (élèves). Le Service est conçu pour produire des contenus pédagogiques anonymes et génériques.

Article 3 — Données collectées

3.1 — Données fournies par l'Utilisateur

Adresse email (inscription) ; nom et prénom (facultatifs) ; matière(s) enseignée(s) ; contenus saisis (consignes, compétences, supports pédagogiques).

3.2 — Données générées par le Service

Évaluations générées ; historique des sauvegardes ; modifications apportées.

3.3 — Données techniques

Adresse IP ; données de connexion (date, heure) ; navigateur et OS ; pages visitées.

3.4 — Données de paiement

Traitées exclusivement par Stripe (PCI-DSS). L'Éditeur n'a accès à aucune donnée bancaire.

Article 4 — Finalités et bases légales

FinalitéBase légaleRéf. RGPD
Fourniture du Service et génération IAExécution du contratArt. 6(1)(b)
Gestion des comptes et authentificationExécution du contratArt. 6(1)(b)
Facturation et paiementObligation légaleArt. 6(1)(c)
Sécurité, prévention des fraudes et abusIntérêt légitimeArt. 6(1)(f)
Amélioration du Service et analyticsIntérêt légitimeArt. 6(1)(f)

Le Service ne procède à aucun profilage ni à aucune prise de décision automatisée au sens de l'article 22 du RGPD à l'égard de ses Utilisateurs ou de tiers.

Article 5 — Intelligence artificielle et données

Le Service utilise l'API Claude (Anthropic, PBC — États-Unis). Les données transmises : paramètres de génération et supports pédagogiques. Conformément aux politiques d'Anthropic applicables aux appels API à la date des présentes, ces données ne sont pas utilisées pour l'entraînement des modèles et sont conservées jusqu'à trente (30) jours aux fins de détection d'abus.

Les politiques des sous-traitants, notamment Anthropic, sont susceptibles d'évoluer. L'Éditeur s'engage à mettre à jour la présente politique et à informer les Utilisateurs en cas de changement substantiel dont il aurait connaissance.

Article 6 — Sous-traitants

Sous-traitantFonctionLocalisationGaranties
Vercel Inc.Hébergement applicationÉtats-UnisSCC + DPA Vercel
Vercel AnalyticsStatistiques de navigation anonymiséesÉtats-UnisSans cookie, sans identifiant persistant
Supabase Inc.BDD et authentificationUE (Irlande, eu-west-1)Hébergement UE natif
Stripe Payments Europe LimitedPaiement (sous-traitant) + lutte anti-fraude (responsable de traitement)Irlande (Dublin)PCI-DSS · SOC 1 & 2 Type II · SCC
Anthropic, PBCGénération IA (API)États-UnisSCC + pas d'entraînement

Article 7 — Transferts hors UE

Certains sous-traitants sont établis aux États-Unis. Ces transferts sont encadrés par des clauses contractuelles types (SCC) conformément à l'article 46(2)(c) du RGPD et par des mesures supplémentaires (chiffrement en transit et au repos).

La base de données Supabase est hébergée en UE (Irlande, eu-west-1, AWS Dublin), évitant un transfert hors UE pour les données de compte et évaluations. Stripe opère via son entité irlandaise Stripe Payments Europe Limited (Dublin), également dans l'UE.

Article 8 — Durées de conservation

Type de donnéesDuréeFondement
Données de compteDurée d'inscription + 30 joursExécution contrat
Évaluations et supportsDurée d'inscription, supprimés avec le compteExécution contrat
Données de facturation10 ans après la transactionArt. L. 123-22 C. com.
Logs de connexion (IP)12 moisDécret n° 2021-1362
Données transmises à Anthropic30 jours max (politique API)Contrat sous-traitance
Sauvegardes techniques (backups)30 jours après suppressionIntérêt légitime (sécurité)

La suppression du compte entraîne l'effacement des données de la base de données active dans un délai de trente (30) jours. Les sauvegardes automatiques sont purgées dans un délai maximal de trente (30) jours supplémentaires. Les données de facturation sont conservées conformément aux obligations légales.

Article 9 — Droits des Utilisateurs

Conformément aux articles 15 à 22 du RGPD et aux articles 48 à 56 de la loi Informatique et Libertés :

  • Droit d'accès (art. 15) : obtenir confirmation et copie des données traitées ;
  • Droit de rectification (art. 16) : corriger des données inexactes ;
  • Droit à l'effacement (art. 17) : suppression sous réserve des obligations légales ;
  • Droit à la limitation (art. 18) : suspension du traitement ;
  • Droit à la portabilité (art. 20) : export en format JSON ;
  • Droit d'opposition (art. 21) : opposition pour motifs légitimes.

Contact : contact@evaldiff.fr, avec justificatif d'identité. Délai de réponse : un (1) mois, prolongeable de deux (2) mois (art. 12(3) RGPD).

Le Service propose l'export des données (JSON) et la suppression du compte directement depuis l'interface.

Article 10 — Cookies et traceurs

Ce site n'utilise pas de cookies de suivi, publicitaires ou de profilage. Les seuls traceurs présents sont :

  • Cookies de session Supabase Auth — strictement nécessaires à l'authentification. Aucun consentement requis (art. 82 loi Informatique et Libertés).
  • Vercel Analytics — statistiques de navigation anonymisées, sans cookie, sans identifiant persistant, sans collecte d'adresse IP. Aucun consentement requis.

Aucun bandeau de consentement aux cookies n'est affiché car aucun traceur non essentiel n'est déposé sur votre terminal.

Article 11 — Sécurité

Mesures conformément à l'article 32 du RGPD : chiffrement HTTPS/TLS, clé API côté serveur uniquement, rate limiting, Row Level Security (RLS), purification SVG (DOMPurify), en-têtes CSP, X-Frame-Options, X-Content-Type-Options.

Aucun système ne garantissant une sécurité absolue, l'Éditeur ne peut exclure tout risque.

Article 12 — Violation de données

En cas de violation de données à caractère personnel au sens de l'article 33 du RGPD, l'Éditeur s'engage à :

  • notifier la CNIL dans un délai maximal de soixante-douze (72) heures après en avoir pris connaissance, si la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes ;
  • informer les Utilisateurs concernés dans les meilleurs délais si la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés ;
  • documenter toute violation dans un registre interne, quelle que soit sa gravité.

Contact sécurité : contact@evaldiff.fr (objet : « Incident sécurité »).

Article 13 — Données relatives aux mineurs

Le Service est destiné aux enseignants adultes. L'Éditeur ne collecte pas sciemment de données de mineurs. L'Utilisateur s'interdit de saisir des données personnelles identifiant des élèves. Le Service ne procède à aucun profilage d'élèves ni à aucune décision automatisée les concernant.

Article 14 — Modification

Toute modification substantielle sera notifiée par email ou notification dans le Service. La date de mise à jour figure en tête du document.

Article 15 — Réclamation

Vous pouvez déposer une réclamation auprès de l'autorité de contrôle compétente :

CNIL — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
www.cnil.fr