Mandar1 Politique de confidentialité
Introduction
La présente politique de confidentialité décrit comment Mandar1 (ci-après « le Site ») collecte, utilise et protège les données personnelles de ses utilisateurs, tant sur le site web https://mandar1.fr que sur l'application Android associée. En utilisant le Site ou l'application, vous acceptez les pratiques décrites dans cette politique.
Responsable du traitement
Le responsable du traitement des données personnelles est : Cilia Solution — Entreprise individuelle 9 rue de la prairie, 78120 Rambouillet Email : contact@mandar1.fr SIRET : 999 327 109 00019 Directeur de la publication : Frédéric Cilia. Aucun Délégué à la Protection des Données (DPO) n'est désigné, la désignation n'étant pas obligatoire au regard de l'activité. Toute demande relative à vos données peut être adressée directement à contact@mandar1.fr.
Données collectées
Dans le cadre de l'utilisation du service, les données suivantes sont collectées : • Lors de l'inscription : adresse email, prénom, nom, mot de passe (stocké uniquement sous forme hachée avec Argon2), thème d'apprentissage (facultatif). • Lors de la connexion via Google : adresse email, prénom, nom et identifiant du compte Google. • Lors de l'utilisation du service : caractères appris, résultats des tests (connaissance, écoute, lecture), sessions quotidiennes, statistiques de progression, préférences d'apprentissage (nombre de caractères par jour, nombre de questions par test, thème préféré). • Lors de l'utilisation de la synthèse vocale (TTS) ou de la reconnaissance vocale (STT) : le texte à vocaliser ou l'audio enregistré est transmis à Google Cloud pour traitement. Aucun enregistrement n'est conservé par Mandar1 après traitement. • Lors du paiement via le site web : les données bancaires sont collectées et traitées directement par Stripe Payments Europe Ltd. Mandar1 ne reçoit et ne stocke aucune donnée bancaire ; seuls l'identifiant client Stripe et l'identifiant d'abonnement sont conservés. • Lors de l'abonnement via l'application Android : l'achat est traité par Google Play (Google Ireland Ltd.). Mandar1 conserve uniquement le jeton d'achat (purchase token) et l'identifiant de produit permettant de vérifier l'état de l'abonnement auprès de Google Play.
Finalités du traitement
Les données personnelles collectées sont utilisées exclusivement pour : • Créer et gérer votre compte utilisateur. • Personnaliser votre parcours d'apprentissage (nombre de caractères quotidiens, thème, nombre de questions par test). • Suivre votre progression et calculer vos statistiques (scores, jours consécutifs, progression par niveau HSK). • Fournir les fonctionnalités vocales (synthèse et reconnaissance de la parole). • Gérer votre abonnement et votre facturation, que ce soit via Stripe (web) ou Google Play (Android). • Vous permettre de réinitialiser votre mot de passe par email. • Assurer le bon fonctionnement, la sécurité et la disponibilité du service.
Base légale du traitement
Le traitement de vos données repose sur : • L'exécution du contrat (art. 6.1.b du RGPD) : la grande majorité des données est nécessaire à la fourniture du service d'apprentissage et à la gestion de votre abonnement. • Le consentement (art. 6.1.a du RGPD) : pour la connexion via un service tiers (Google) et pour l'envoi des données audio ou textuelles aux services de synthèse et de reconnaissance vocale. • L'obligation légale (art. 6.1.c du RGPD) : pour la conservation des pièces comptables et des factures pendant la durée légale.
Destinataires et sous-traitants
Vos données personnelles ne sont ni vendues, ni louées, ni transmises à des tiers à des fins commerciales. Les seuls destinataires ayant accès à certaines données, en qualité de sous-traitants au sens du RGPD, sont : • L'hébergeur du site, dans le cadre de ses services d'hébergement. • Google Cloud (Google Ireland Ltd.) : pour la base de données Firestore, ainsi que pour les API Cloud Text-to-Speech et Cloud Speech-to-Text. • Google (Google Ireland Ltd.) : pour l'authentification via compte Google, uniquement si vous choisissez cette option. • Google Play (Google Ireland Ltd.) : pour le traitement des abonnements souscrits depuis l'application Android. • Stripe Payments Europe Ltd. : pour le traitement des paiements souscrits depuis le site web (certification PCI DSS niveau 1). • Le prestataire SMTP utilisé pour l'envoi des emails transactionnels (réinitialisation de mot de passe).
Transferts hors Union européenne
Certains sous-traitants (notamment Google et Stripe) peuvent être amenés à traiter vos données en dehors de l'Union européenne, notamment aux États-Unis. Ces transferts sont encadrés par les clauses contractuelles types adoptées par la Commission européenne et/ou par des mécanismes équivalents (Data Privacy Framework), garantissant un niveau de protection adéquat conformément aux articles 44 et suivants du RGPD.
Conservation des données
Les durées de conservation appliquées sont les suivantes : • Données de compte et d'apprentissage : conservées tant que le compte est actif. La suppression du compte entraîne l'effacement immédiat et définitif de toutes les données associées (profil, caractères appris, résultats de tests, statistiques, sessions). • Jetons de réinitialisation de mot de passe : 24 heures maximum, puis suppression automatique. • Identifiants de paiement (Stripe customer/subscription ID, jeton d'achat Google Play) : conservés tant que l'abonnement est actif. • Données de facturation et pièces comptables : 10 ans à compter de la clôture de l'exercice, conformément à l'article L.123-22 du Code de commerce.
Sécurité des données
Des mesures de sécurité techniques et organisationnelles sont mises en œuvre pour protéger vos données : • Les mots de passe sont hachés avec Argon2 et ne sont jamais stockés en clair. • Toutes les communications avec le Site sont chiffrées via HTTPS (TLS). • Les jetons d'authentification (JWT) ont une durée de vie limitée à 24 heures. • Aucune donnée bancaire n'est stockée sur les serveurs de Mandar1 : les paiements sont gérés par des prestataires spécialisés (Stripe, Google Play). • L'accès aux systèmes est restreint et tracé. • Aucun cookie de suivi n'est utilisé ; seul le localStorage du navigateur est employé pour les données strictement nécessaires au fonctionnement.
Stockage local sur l'appareil
Le Site utilise le localStorage de votre navigateur (ou le stockage équivalent de l'application Android) pour conserver : • Votre jeton d'authentification (JWT), indispensable au maintien de votre session. • Vos préférences d'affichage (thème clair / sombre). • Un indicateur de contexte applicatif Android, permettant de distinguer l'utilisation via l'application. Ces données sont stockées uniquement sur votre appareil et ne sont transmises à aucun tiers.
Cookies
Le Site n'utilise aucun cookie de suivi, de mesure d'audience ou de publicité. Aucun consentement cookies n'est donc requis au titre de l'article 82 de la loi Informatique et Libertés, le localStorage utilisé étant strictement nécessaire au fonctionnement du service demandé par l'utilisateur.
Vos droits
Conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés modifiée, vous disposez des droits suivants : • Droit d'accès : obtenir confirmation et copie des données que nous détenons à votre sujet. • Droit de rectification : modifier vos données personnelles depuis votre profil (prénom, nom, préférences d'apprentissage). • Droit à l'effacement : supprimer votre compte et l'ensemble de vos données directement depuis votre profil. • Droit à la limitation du traitement. • Droit d'opposition au traitement. • Droit à la portabilité : obtenir une copie de vos données dans un format structuré et couramment utilisé. • Droit de retirer votre consentement à tout moment, lorsque le traitement est fondé sur celui-ci. • Droit de définir des directives relatives au sort de vos données après votre décès. Ces droits peuvent être exercés : • Directement depuis votre profil pour la rectification et la suppression. • Par email à contact@mandar1.fr pour toute autre demande. Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez adresser une réclamation à la Commission Nationale de l'Informatique et des Libertés (CNIL), 3 place de Fontenoy - TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr.
Données des mineurs
Le service n'est pas spécifiquement destiné aux mineurs de moins de 15 ans. Les mineurs de moins de 15 ans souhaitant utiliser le service doivent obtenir le consentement préalable du titulaire de l'autorité parentale, conformément à l'article 7-1 de la loi Informatique et Libertés.
Modifications de la politique
Nous nous réservons le droit de modifier cette politique de confidentialité à tout moment afin de refléter les évolutions du service, de la réglementation ou de nos pratiques. Les modifications prennent effet dès leur publication sur le Site. Nous vous invitons à consulter régulièrement cette page. En cas de modification substantielle, vous en serez informé par un moyen approprié.
Contact
Pour toute question relative à cette politique de confidentialité ou à l'exercice de vos droits sur vos données personnelles, vous pouvez nous contacter : Cilia Solution — Frédéric Cilia 9 rue de la prairie, 78120 Rambouillet Email : contact@mandar1.fr