Politique de confidentialité

La présente politique décrit comment Choisy Automation (éditeur de RevizoAI) collecte, utilise et protège vos données personnelles, conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) et à la loi française Informatique et Libertés modifiée.

1. Responsable du traitement

Le responsable de traitement au sens de l'article 4 du RGPD est :

• Esteban Choisy, exerçant sous le nom commercial Choisy Automation
• Entrepreneur individuel — SIREN 102 530 706
• 46 Avenue Léon Blum, APT. 152, 31500 Toulouse, France
• Email : estebanchoisy1@gmail.com
• Téléphone : +33 7 82 17 35 31

Contact RGPD : aucun Délégué à la Protection des Données (DPO) n'a été désigné à ce jour, sa désignation n'étant pas obligatoire pour notre structure. Toute demande relative à la protection de vos données peut être adressée à l'éditeur aux coordonnées ci-dessus.

2. Données collectées et finalités

Nous collectons uniquement les données strictement nécessaires au fonctionnement du service. Voici le détail par finalité :

a) Création et gestion de votre compte

• Données : nom, prénom, adresse email, mot de passe (stocké hashé), rôle (administrateur d'école, enseignant, élève), école de rattachement, classes, matières enseignées.
• Finalité : permettre l'accès et l'utilisation de la plateforme.
• Base légale : exécution du contrat (art. 6.1.b RGPD).
• Durée : pendant toute la durée de votre utilisation du service, puis 3 ans après la dernière connexion (conformément aux recommandations CNIL). Au-delà, les données sont anonymisées ou supprimées.

b) Dépôt et gestion des contenus pédagogiques

• Données : documents PDF (cours), exercices créés, questions et corrigés, réponses des élèves, notes obtenues, feedbacks.
• Finalité : fonction principale du service (diffusion de cours, exercices, correction).
• Base légale : exécution du contrat (art. 6.1.b RGPD) + mission d'intérêt public pour les établissements publics (art. 6.1.e).
• Durée : 1 an après la fin du contrat avec l'école cliente, puis suppression.

c) Correction automatisée par intelligence artificielle

• Données : texte des réponses aux questions ouvertes envoyé pour correction au modèle OpenAI.
• Finalité : fournir une notation automatique aux enseignants.
• Base légale : exécution du contrat (art. 6.1.b RGPD) avec information préalable.
• Décision automatisée (art. 22 RGPD) : la correction IA constitue une décision automatisée. L'élève dispose du droit d'obtenir une révision humaine par son enseignant. Cette demande peut être formulée directement à l'enseignant concerné, qui garde la main sur la note finale.
• Durée : idem point b).

d) Facturation et paiement

• Données : nom de l'école, adresse de facturation, email de contact facturation, moyens de paiement (gérés par Stripe), historique des factures.
• Finalité : gestion des abonnements payants, émission des factures.
• Base légale : exécution du contrat (art. 6.1.b) + obligation légale (art. 6.1.c — Code de commerce).
• Durée : 10 ans à compter de la clôture de l'exercice comptable (obligation fiscale, art. L.123-22 du Code de commerce).

e) Journaux de connexion et logs techniques

• Données : adresse IP, type de navigateur, horodatage, pages consultées, événements d'authentification.
• Finalité : sécurité de la plateforme, détection d'abus, obligation légale de conservation.
• Base légale : intérêt légitime (art. 6.1.f) + obligation légale (LCEN art. 6-II).
• Durée : 12 mois (recommandation CNIL).

f) Demandes de devis et contact commercial

• Données : nom, email, téléphone, nom de l'établissement, nombre d'utilisateurs envisagé, message.
• Finalité : traiter votre demande et vous recontacter.
• Base légale : consentement (art. 6.1.a) ou mesures précontractuelles (art. 6.1.b).
• Durée : 3 ans à compter du dernier contact.

g) Administration technique (impersonation)

Dans un cadre strictement limité au support technique, un administrateur de la plateforme (super-administrateur) peut être amené à se connecter à votre compte pour diagnostiquer un incident. Chaque connexion de ce type est tracée et horodatée dans un journal dédié. Un bandeau visible signale ce type de session.

• Base légale : intérêt légitime (art. 6.1.f) — fourniture du support.
• Durée : les journaux d'impersonation sont conservés 3 ans.

3. Destinataires et sous-traitants

Vos données sont accessibles uniquement aux personnes et entités suivantes, toutes liées par un accord de confidentialité et un contrat de sous-traitance conforme à l'article 28 du RGPD :

• Supabase Inc. (USA) — base de données, authentification, stockage de fichiers. Infrastructure hébergée en région France (Union européenne). DPA signé.
• OpenAI, LLC (USA) — correction automatisée et génération d'exercices. Transfert hors UE encadré par les Clauses Contractuelles Types de la Commission européenne (décision 2021/914). Les données envoyées ne sont pas utilisées pour l'entraînement des modèles (politique OpenAI API). DPA signé.
• Stripe Payments Europe, Ltd (Irlande) — traitement des paiements. Données de carte gérées directement par Stripe (RevizoAI n'y a jamais accès). DPA signé.
• Hostinger International Ltd. (Chypre / infrastructure en Lituanie, UE) — hébergement. DPA signé.
• GitHub, Inc. (USA) — dépôt du code source et pipeline de déploiement. Aucune donnée utilisateur n'y est stockée. Transfert encadré par les Clauses Contractuelles Types.

Aucune autre entité ne reçoit vos données. Nous ne vendons, louons ou cédons jamais vos données à des tiers à des fins commerciales.

4. Transferts hors Union européenne

Certains sous-traitants (OpenAI, GitHub) sont établis aux États-Unis. Ces transferts sont encadrés par les Clauses Contractuelles Types (CCT) de la Commission européenne, conformément à l'article 46.2.c du RGPD. Les données pédagogiques ne sont jamais stockées durablement par OpenAI : elles sont traitées pour la correction puis non conservées au-delà de 30 jours (politique de l'API OpenAI).

5. Vos droits

Conformément au RGPD (articles 15 à 22), vous disposez des droits suivants sur vos données personnelles :

• Droit d'accès (art. 15) : obtenir une copie de vos données.
• Droit de rectification (art. 16) : corriger des données inexactes.
• Droit à l'effacement / à l'oubli (art. 17) : demander la suppression de votre compte et de vos données.
• Droit à la limitation (art. 18) : limiter le traitement dans certains cas.
• Droit à la portabilité (art. 20) : récupérer vos données dans un format structuré (JSON).
• Droit d'opposition (art. 21) : vous opposer à un traitement fondé sur l'intérêt légitime.
• Droit de ne pas faire l'objet d'une décision automatisée (art. 22) : demander une révision humaine de la correction IA.
• Droit de retirer votre consentement à tout moment (lorsque le traitement repose sur le consentement).

Pour exercer ces droits, utilisez notre formulaire dédié ou contactez-nous à estebanchoisy1@gmail.com. Nous répondrons dans un délai d'un mois maximum (art. 12.3 RGPD).

Fonctionnalités intégrées : les utilisateurs connectés peuvent accéder à leur page « Paramètres » pour télécharger leurs données (portabilité) et supprimer leur compte (droit à l'effacement) directement depuis l'application.

6. Droit de réclamation auprès de la CNIL

Si vous estimez que le traitement de vos données n'est pas conforme à la règlementation, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

• CNIL — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
• Téléphone : 01 53 73 22 22
• Site : www.cnil.fr

7. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles conformes à l'art. 32 du RGPD :

• Chiffrement des communications (TLS 1.2+) et au repos (AES-256 via Supabase).
• Mots de passe hashés (bcrypt).
• Contrôle d'accès strict par rôle et par école (Row-Level Security PostgreSQL).
• Sauvegardes quotidiennes automatiques.
• Journalisation des accès sensibles (impersonation, opérations critiques).
• Hébergement en Union européenne (France pour la base de données).

8. Données concernant les élèves mineurs

RevizoAI est fourni dans un cadre strictement pédagogique à des établissements d'enseignement. Les écoles clientes agissent en qualité de responsables de traitement vis-à-vis de leurs élèves, RevizoAI agissant comme sous-traitant au sens de l'article 28 RGPD. L'information des parents et, le cas échéant, le recueil du consentement parental (pour les moins de 15 ans, art. 8 RGPD) relèvent de la responsabilité de l'établissement. Une notice type est mise à disposition des écoles pour cette information.

9. Cookies

Le site utilise uniquement des cookies strictement nécessaires au fonctionnement du service (session d'authentification, préférences d'interface). Aucun cookie de traçage ou publicitaire n'est déposé. Pour plus de détails, consultez notre politique de gestion des cookies.

10. Modifications

Nous pouvons être amenés à modifier cette politique pour refléter l'évolution de la règlementation ou de nos pratiques. Toute modification substantielle sera signalée aux utilisateurs par email et/ou via un bandeau sur l'application. La date de la dernière mise à jour figure ci-dessous.

Dernière mise à jour : 24 avril 2026