La présente Politique de Confidentialité décrit la manière dont Florian Blanc, développeur de Parents Connect, collecte, utilise, conserve et protège les données personnelles des utilisateurs, conformément au RGPD (Règlement UE 2016/679) et à la loi Informatique et Libertés.
Article 1 – Identité du responsable de traitement
- Nom : Florian Blanc
- Qualité : Développeur et éditeur de l'Application
- Contact : contact@parentsconnect.fr
- Site : parentsconnect.fr
1.1 DPO
Compte tenu de la taille de l'Application, la nomination d'un DPO n'est pas obligatoire au sens de l'article 37 du RGPD. Florian Blanc assure directement cette fonction.
1.2 Registre des activités de traitement
Conformément à l'article 30 du RGPD, l'Éditeur tient un registre interne des activités de traitement. Il est disponible sur demande auprès de la CNIL.
Article 2 – Données collectées
2.1 Données de compte
- Adresse e-mail, mot de passe (stocké haché, jamais en clair), nom, rôle (enseignant ou parent)
- Pour les enseignants : titre de civilité
2.2 Données relatives aux classes
- Nom de la classe, année scolaire, code de classe unique
2.3 Données relatives aux enfants
- Prénom de l'enfant, lien de parenté, identifiant de la classe
- Aucune donnée d'identification officielle (INE, date de naissance, etc.) n'est collectée.
2.4 Données de communication
- Contenu des annonces et des messages privés
- Horodatage, statut de lecture
⚠️ Les conversations sont des champs de saisie libre. L'Éditeur recommande de ne pas y transmettre de données sensibles (santé, situation familiale, etc.). L'utilisateur qui communique de telles données en assume l'entière responsabilité.
2.5 Données techniques
- Jeton de notification push FCM (uniquement si notifications autorisées)
- Données de session d'authentification (gérées par Supabase Auth)
L'Application ne collecte pas : adresse IP, géolocalisation, identifiants publicitaires, historique de navigation, cookies de traçage, photos ou médias.
Article 3 – Finalités et bases légales du traitement
| Finalité | Données concernées | Base légale | Durée de conservation |
|---|
| Création et gestion du compte | Email, mot de passe, nom, rôle | Exécution du contrat (Art. 6.1.b) | Durée du compte + 30 jours après suppression |
| Vérification de l'adresse e-mail | Email | Exécution du contrat (Art. 6.1.b) | Jusqu'à vérification ou expiration |
| Gestion des classes et enfants | Nom de classe, code, prénom enfant, lien de parenté | Exécution du contrat (Art. 6.1.b) | Durée de la classe |
| Diffusion des annonces | Contenu des annonces, statut de lecture | Exécution du contrat (Art. 6.1.b) | Durée de vie de la classe |
| Messagerie privée | Contenu des messages, horodatage, statut de lecture | Exécution du contrat (Art. 6.1.b) | Durée de vie de la conversation |
| Notifications push | Token FCM, identifiant utilisateur | Consentement (Art. 6.1.a) | Jusqu'au retrait du consentement |
| E-mails transactionnels | Email | Exécution du contrat (Art. 6.1.b) | Non conservé au-delà de l'envoi |
| Support et contact | Email, nom, contenu du message | Intérêt légitime (Art. 6.1.f) | 3 ans à compter du dernier contact |
L'Éditeur ne procède à aucun traitement à des fins publicitaires, de profilage ou de prise de décision automatisée.
Article 4 – Protection des données des enfants
Parents Connect traite des données de mineurs. L'Éditeur applique des mesures de protection renforcées, conformément aux recommandations de la CNIL et à l'article 8 du RGPD :
- Seul le prénom de l'enfant est enregistré. Aucune donnée d'identification officielle n'est collectée.
- Les données relatives à l'enfant ne sont accessibles qu'à ses parents rattachés et à l'enseignant de sa classe.
- Ces données ne sont en aucun cas utilisées à des fins commerciales.
- La suppression d'un compte parent entraîne la suppression du lien avec l'enfant.
- La suppression d'une classe entraîne la suppression de tous les profils d'enfants associés.
Article 5 – Sous-traitants et destinataires
5.1 Supabase
- Rôle : hébergement de la base de données, authentification, messagerie temps réel
- Serveurs : Région Europe – Paris, France
- Garanties : conformité RGPD, chiffrement TLS
5.2 Firebase / Google
- Rôle : notifications push via Firebase Cloud Messaging
- Données : token FCM, identifiant utilisateur
- Garanties : Clauses Contractuelles Types (CCT)
5.3 Resend
- Rôle : e-mails transactionnels (vérification, réinitialisation)
- Données : adresse e-mail du destinataire
- Garanties : Clauses Contractuelles Types (CCT)
Aucune donnée n'est vendue, louée ou cédée à des tiers à des fins commerciales ou publicitaires.
Article 6 – Durée de conservation
- Données de compte : durée d'utilisation + 30 jours après demande de suppression.
- Messages et annonces : durée de vie de la classe ou conversation associée.
- Données de support : 3 ans à compter du dernier échange.
- Tokens de notification : supprimés dès désactivation ou suppression du compte.
Tout compte inactif depuis 2 ans consécutifs pourra faire l'objet d'une procédure de suppression, avec notification préalable par e-mail (délai de 30 jours pour se manifester).
Article 7 – Sécurité des données
7.1 Mesures techniques
- Chiffrement des communications via TLS (HTTPS)
- Chiffrement des données au repos dans Supabase
- Mots de passe stockés sous forme hachée (bcrypt) — jamais en clair
- Contrôle d'accès via Row Level Security (RLS) : chaque utilisateur n'accède qu'à ses propres données
- Vérification obligatoire de l'adresse e-mail à l'inscription
- Isolation des environnements de développement et de production
7.2 Mesures organisationnelles
- L'Éditeur est le seul à avoir accès à la console d'administration
- Les secrets d'API sont stockés dans des variables d'environnement sécurisées
- Le code source ne contient aucune donnée personnelle en dur
En cas de violation de données susceptible d'engendrer un risque, l'Éditeur s'engage à notifier la CNIL dans les 72 heures et à informer les utilisateurs concernés.
Article 8 – Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès (art. 15) : obtenir une copie de vos données.
- Droit de rectification (art. 16) : faire corriger des données inexactes.
- Droit à l'effacement (art. 17) : demander la suppression de vos données.
- Droit à la limitation (art. 18) : demander la suspension temporaire du traitement.
- Droit à la portabilité (art. 20) : recevoir vos données dans un format lisible.
- Droit d'opposition (art. 21) : vous opposer au traitement fondé sur l'intérêt légitime.
- Retrait du consentement : applicable notamment aux notifications push.
8.1 Comment exercer vos droits
L'Éditeur s'engage à répondre dans un délai d'un mois (prolongeable de deux mois pour les demandes complexes).
8.2 Réclamation auprès de la CNIL
Si vous estimez que vos droits ne sont pas respectés, vous pouvez saisir la CNIL — www.cnil.fr — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.
Article 9 – Cookies et traceurs
Parents Connect est une application mobile native. Elle n'utilise pas de cookies. Les seuls identifiants techniques utilisés sont :
- Les jetons de session d'authentification (gérés par Supabase Auth) — nécessaires au maintien de la connexion.
- Le token FCM (si notifications autorisées) — utilisé exclusivement pour l'acheminement des notifications.
Ces identifiants ne sont pas utilisés à des fins de traçage ou de publicité.
Article 10 – Transferts de données hors Union Européenne
La majorité des données est hébergée au sein de l'UE (Supabase, région Paris). Deux sous-traitants impliquent un transfert hors UE :
- Firebase (Google) pour les notifications push : transfert vers les États-Unis, encadré par les Clauses Contractuelles Types (CCT).
- Resend pour les e-mails transactionnels : transfert vers les États-Unis, également encadré par les CCT.
Article 11 – Modification de la politique
L'Éditeur se réserve le droit de modifier la présente Politique à tout moment. En cas de modification significative, les utilisateurs seront informés par notification dans l'Application ou par e-mail, au moins 15 jours avant l'entrée en vigueur.