Document légal
Politique de Confidentialité
Dernière mise à jour : 28 mai 2026
Article 1 — Responsable du traitement
Romain Pizzanelli, entrepreneur individuel
Nom commercial : ÉvalDiff — SIRET : 904 269 495 00019
Adresse : 50 rue de village, 13006 Marseille
Email : contact@evaldiff.fr — Tél. : 06 58 07 49 60
Responsable au sens de l'article 4, point 7, du RGPD.
Article 2 — Qualification RGPD
Dans le cadre du fonctionnement du Service :
- L'Éditeur agit en qualité de responsable du traitement pour les données de compte (email, nom, préférences), les données techniques (IP, logs) et les données de facturation.
- L'Éditeur agit en qualité de sous-traitant lorsqu'un établissement scolaire utilise le Service pour le compte de ses enseignants. Dans ce cas, un accord de traitement de données (DPA) peut être conclu sur demande.
Dans tous les cas, l'Éditeur ne collecte pas sciemment de données personnelles de mineurs (élèves). Le Service est conçu pour produire des contenus pédagogiques anonymes et génériques.
Article 3 — Données collectées
3.1 — Données fournies par l'Utilisateur
Adresse email (inscription) ; nom et prénom (facultatifs) ; matière(s) enseignée(s) ; contenus saisis (consignes, compétences, supports pédagogiques).
3.2 — Données générées par le Service
Évaluations générées ; historique des sauvegardes ; modifications apportées.
3.3 — Données techniques
Adresse IP ; données de connexion (date, heure) ; navigateur et OS ; pages visitées.
3.4 — Données de paiement
Traitées exclusivement par Stripe (PCI-DSS). L'Éditeur n'a accès à aucune donnée bancaire.
Article 4 — Finalités et bases légales
| Finalité | Base légale | Réf. RGPD |
|---|---|---|
| Fourniture du Service et génération IA | Exécution du contrat | Art. 6(1)(b) |
| Gestion des comptes et authentification | Exécution du contrat | Art. 6(1)(b) |
| Facturation et paiement | Obligation légale | Art. 6(1)(c) |
| Sécurité, prévention des fraudes et abus | Intérêt légitime | Art. 6(1)(f) |
| Amélioration du Service et analytics | Intérêt légitime | Art. 6(1)(f) |
Le Service ne procède à aucun profilage ni à aucune prise de décision automatisée au sens de l'article 22 du RGPD à l'égard de ses Utilisateurs ou de tiers.
Article 5 — Intelligence artificielle et données
Le Service utilise l'API Claude (Anthropic, PBC — États-Unis). Les données transmises : paramètres de génération et supports pédagogiques. Conformément aux politiques d'Anthropic applicables aux appels API à la date des présentes, ces données ne sont pas utilisées pour l'entraînement des modèles et sont conservées jusqu'à trente (30) jours aux fins de détection d'abus.
Les politiques des sous-traitants, notamment Anthropic, sont susceptibles d'évoluer. L'Éditeur s'engage à mettre à jour la présente politique et à informer les Utilisateurs en cas de changement substantiel dont il aurait connaissance.
Article 6 — Sous-traitants
| Sous-traitant | Fonction | Localisation | Garanties |
|---|---|---|---|
| Vercel Inc. | Hébergement application | États-Unis | SCC + DPA Vercel |
| Vercel Analytics | Statistiques de navigation anonymisées | États-Unis | Sans cookie, sans identifiant persistant |
| Supabase Inc. | BDD et authentification | UE (Irlande, eu-west-1) | Hébergement UE natif |
| Stripe Payments Europe Limited | Paiement (sous-traitant) + lutte anti-fraude (responsable de traitement) | Irlande (Dublin) | PCI-DSS · SOC 1 & 2 Type II · SCC |
| Anthropic, PBC | Génération IA (API) | États-Unis | SCC + pas d'entraînement |
Article 7 — Transferts hors UE
Certains sous-traitants sont établis aux États-Unis. Ces transferts sont encadrés par des clauses contractuelles types (SCC) conformément à l'article 46(2)(c) du RGPD et par des mesures supplémentaires (chiffrement en transit et au repos).
La base de données Supabase est hébergée en UE (Irlande, eu-west-1, AWS Dublin), évitant un transfert hors UE pour les données de compte et évaluations. Stripe opère via son entité irlandaise Stripe Payments Europe Limited (Dublin), également dans l'UE.
Article 8 — Durées de conservation
| Type de données | Durée | Fondement |
|---|---|---|
| Données de compte | Durée d'inscription + 30 jours | Exécution contrat |
| Évaluations et supports | Durée d'inscription, supprimés avec le compte | Exécution contrat |
| Données de facturation | 10 ans après la transaction | Art. L. 123-22 C. com. |
| Logs de connexion (IP) | 12 mois | Décret n° 2021-1362 |
| Données transmises à Anthropic | 30 jours max (politique API) | Contrat sous-traitance |
| Sauvegardes techniques (backups) | 30 jours après suppression | Intérêt légitime (sécurité) |
La suppression du compte entraîne l'effacement des données de la base de données active dans un délai de trente (30) jours. Les sauvegardes automatiques sont purgées dans un délai maximal de trente (30) jours supplémentaires. Les données de facturation sont conservées conformément aux obligations légales.
Article 9 — Droits des Utilisateurs
Conformément aux articles 15 à 22 du RGPD et aux articles 48 à 56 de la loi Informatique et Libertés :
- Droit d'accès (art. 15) : obtenir confirmation et copie des données traitées ;
- Droit de rectification (art. 16) : corriger des données inexactes ;
- Droit à l'effacement (art. 17) : suppression sous réserve des obligations légales ;
- Droit à la limitation (art. 18) : suspension du traitement ;
- Droit à la portabilité (art. 20) : export en format JSON ;
- Droit d'opposition (art. 21) : opposition pour motifs légitimes.
Contact : contact@evaldiff.fr, avec justificatif d'identité. Délai de réponse : un (1) mois, prolongeable de deux (2) mois (art. 12(3) RGPD).
Le Service propose l'export des données (JSON) et la suppression du compte directement depuis l'interface.
Article 10 — Cookies et traceurs
Ce site n'utilise pas de cookies de suivi, publicitaires ou de profilage. Les seuls traceurs présents sont :
- Cookies de session Supabase Auth — strictement nécessaires à l'authentification. Aucun consentement requis (art. 82 loi Informatique et Libertés).
- Vercel Analytics — statistiques de navigation anonymisées, sans cookie, sans identifiant persistant, sans collecte d'adresse IP. Aucun consentement requis.
Aucun bandeau de consentement aux cookies n'est affiché car aucun traceur non essentiel n'est déposé sur votre terminal.
Article 11 — Sécurité
Mesures conformément à l'article 32 du RGPD : chiffrement HTTPS/TLS, clé API côté serveur uniquement, rate limiting, Row Level Security (RLS), purification SVG (DOMPurify), en-têtes CSP, X-Frame-Options, X-Content-Type-Options.
Aucun système ne garantissant une sécurité absolue, l'Éditeur ne peut exclure tout risque.
Article 12 — Violation de données
En cas de violation de données à caractère personnel au sens de l'article 33 du RGPD, l'Éditeur s'engage à :
- notifier la CNIL dans un délai maximal de soixante-douze (72) heures après en avoir pris connaissance, si la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes ;
- informer les Utilisateurs concernés dans les meilleurs délais si la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés ;
- documenter toute violation dans un registre interne, quelle que soit sa gravité.
Contact sécurité : contact@evaldiff.fr (objet : « Incident sécurité »).
Article 13 — Données relatives aux mineurs
Le Service est destiné aux enseignants adultes. L'Éditeur ne collecte pas sciemment de données de mineurs. L'Utilisateur s'interdit de saisir des données personnelles identifiant des élèves. Le Service ne procède à aucun profilage d'élèves ni à aucune décision automatisée les concernant.
Article 14 — Modification
Toute modification substantielle sera notifiée par email ou notification dans le Service. La date de mise à jour figure en tête du document.
Article 15 — Réclamation
Vous pouvez déposer une réclamation auprès de l'autorité de contrôle compétente :
CNIL — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
www.cnil.fr