Politique de confidentialité
Dernière mise à jour : 28 mars 2026
1. Responsable du traitement
Le responsable du traitement est [Prénom Nom], auto-entrepreneur, joignable à contact@klassai.fr.
2. Données collectées
Données du compte enseignant
- Email — stocké en clair (nécessaire à l'authentification)
- Prénom, nom, école, ville — chiffrés côté client (AES-256-GCM) avant envoi au serveur
- Mot de passe — haché côté serveur (bcrypt), jamais stocké en clair
Données des élèves
- Prénom, nom, date de naissance, notes, informations parents — chiffrés côté client avant tout transfert réseau
- Dispositifs d'accompagnement (PAI, PPRE, PAP, PPS, ULIS, AESH, MDPH) — chiffrés côté client
- Évaluations, présences, commentaires, motifs d'absence — les champs textuels sensibles sont chiffrés côté client
- Notes de rencontres parents — chiffrées côté client
Données de monitoring (RUM)
- Erreurs JavaScript et métriques de performance — collectées anonymement via Grafana Faro pour assurer la stabilité du service
- Identifiant de session pseudonyme — hash SHA-256 déterministe salté de votre email, non réversible, permettant uniquement la corrélation de sessions sans identifier la personne
- Adresse IP — masquée par le collecteur (Grafana Alloy) avant stockage ; aucune IP brute n'est conservée
- Aucun contenu de page, saisie de formulaire ni donnée pédagogique n'est transmis au système de monitoring
Architecture zero-knowledge
Toutes les données personnelles identifiantes sont chiffrées dans votre navigateur avec une clé dérivée de votre mot de passe (PBKDF2, 600 000 itérations). Le serveur ne stocke que des données chiffrées qu'il ne peut pas déchiffrer. Ni l'éditeur, ni l'hébergeur ne peuvent accéder aux données en clair.
3. Base légale
- Exécution du contrat (article 6.1.b RGPD) — pour la fourniture du service
- Consentement (article 6.1.a RGPD) — pour les fonctionnalités IA envoyant des données à des tiers
- Intérêt légitime (article 6.1.f RGPD) — pour la sécurité et le bon fonctionnement du service
4. Sous-traitants
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| OVHcloud SAS | Hébergement infrastructure | France |
| Mistral AI | Traitement IA (OCR, extraction, résumé) | France |
| Grafana Labs | Monitoring frontend (RUM — erreurs, performances) | Allemagne (Grafana Cloud EU) |
Aucune donnée ne transite en dehors de l'Union européenne. Les fonctionnalités IA utilisant Mistral AI sont optionnelles et soumises à votre consentement explicite avant chaque utilisation. Voir notre politique relative à l'IA.
5. Durée de conservation
- Comptes actifs : 3 ans maximum après la dernière connexion
- Comptes inactifs : supprimés après 1 année scolaire sans connexion
- Comptes non approuvés : supprimés après 1 année scolaire
- Suppression volontaire : toutes les données sont supprimées immédiatement et définitivement
6. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès (article 15) — consultez et exportez vos données depuis « Mon compte »
- Droit de rectification (article 16) — modifiez vos informations depuis « Mon compte »
- Droit à l'effacement (article 17) — supprimez votre compte et toutes vos données depuis « Mon compte »
- Droit à la portabilité (article 20) — exportez vos données au format CSV depuis « Mon compte »
Pour exercer ces droits ou pour toute question, contactez-nous à contact@klassai.fr.
Vous pouvez également introduire une réclamation auprès de la CNIL : www.cnil.fr.
7. Sécurité
- Chiffrement zero-knowledge AES-256-GCM côté client (articles 25 et 32 RGPD)
- Communications HTTPS exclusivement
- Mots de passe hachés avec bcrypt
- Clés de chiffrement dérivées avec PBKDF2 (600 000 itérations)
- Isolation des données par enseignant (règles d'accès par teacher_id)