Politique de protection des données

1. Responsable de traitement et rôles

La société Oaventure (EURL), éditrice du site (cf. mentions légales), intervient à deux titres selon les données :

• En tant que responsable de traitement, pour les données qu’il détermine lui-même : navigation sur le site, demandes de démonstration, gestion des comptes et de la relation commerciale.
• En tant que sous-traitant (au sens de l’article 28 du RGPD), pour les contenus pédagogiques et les copies traités pour le compte de l’établissement client. Dans ce cas, l’établissement est le responsable de traitement et détermine les finalités ; CORRAICT agit sur ses instructions, dans le cadre d’un accord de sous-traitance (DPA).

Pour toute question relative à vos données, vous pouvez contacter notre délégué à la protection des données (DPO) à l’adresse dpo@corraict.com.

2. Données traitées

Visiteurs du site

• Données de connexion techniques strictement nécessaires au fonctionnement du site.

Demandes de démonstration

• Identité et coordonnées professionnelles : nom, prénom, fonction, établissement, e-mail.
• Le contenu du message et les besoins exprimés.

Utilisateurs de l’application (professeurs, administrateurs)

• Identité et identifiants : nom, prénom, e-mail, rôle, établissement de rattachement.
• Photo de profil (facultative).
• Données d’usage de l’application (cours, exercices, évaluations créés).

Élèves (traités pour le compte de l’établissement)

• Identité : nom, prénom et, le cas échéant, e-mail.
• Copies remises et corrections associées (notes, appréciations), pouvant contenir des données personnelles selon le contenu rédigé par l’élève.

3. Finalités et bases légales

• Fournir le service (création d’exercices, correction de copies, note pédagogique) : exécution du contrat conclu avec l’établissement.
• Gérer les comptes et l’authentification : exécution du contrat.
• Répondre aux demandes de démonstration et de contact : mesures précontractuelles prises à votre demande et intérêt légitime à développer notre activité.
• Assurer la sécurité et le bon fonctionnement du service : intérêt légitime et obligations légales.

4. Sous-traitants et destinataires

Les données ne sont jamais vendues. Elles sont accessibles aux personnels habilités de l’éditeur et aux prestataires techniques (sous-traitants) strictement nécessaires au service :

• Supabase, Inc. — base de données, authentification et stockage des fichiers (région : Union européenne).
• Render, Inc. — exécution du traitement de correction (région : Francfort, UE).
• Anthropic, PBC — modèle d’intelligence artificielle « Claude » utilisé pour assister la création d’exercices et la correction des copies (États-Unis). Les contenus transmis ne sont pas utilisés pour entraîner les modèles.
• Netlify, Inc. — hébergement du site et de l’application (États-Unis).
• Resend — envoi des e-mails transactionnels (invitations, notifications) (États-Unis).
• Inngest, Inc. — orchestration des tâches asynchrones de traitement (États-Unis).

5. Transferts de données hors de l’Union européenne

Les données sont hébergées et stockées dans l’Union européenne (base de données Supabase en UE ; traitement de correction exécuté à Francfort). Certains prestataires techniques sont toutefois des sociétés établies aux États-Unis (Anthropic pour l’intelligence artificielle, Netlify pour l’hébergement du site, Resend pour l’envoi des e-mails, Inngest pour l’orchestration des tâches).

Les transferts qui en résultent sont encadrés par les garanties appropriées prévues par le RGPD, notamment les clauses contractuelles types de la Commission européenne et, le cas échéant, l’adhésion au Data Privacy Framework, complétées par des mesures techniques et organisationnelles.

6. Durées de conservation

• Données de compte et contenus pédagogiques : pendant toute la durée de la relation contractuelle avec l’établissement, puis suppression ou anonymisation dans un délai de 12 mois après la fin du contrat.
• Copies et corrections d’élèves : conservées 12 mois, puis supprimées ou anonymisées, sous réserve des instructions de l’établissement responsable de traitement.
• Demandes de démonstration / prospects : 3 ans à compter du dernier contact.
• Journaux techniques : 12 mois maximum.

7. Sécurité

L’éditeur met en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données : chiffrement des échanges (HTTPS), cloisonnement des données par établissement, contrôle des accès et authentification, hébergement chez des prestataires reconnus.

8. Données concernant des mineurs

Lorsque des élèves mineurs sont concernés, les données sont traitées pour le compte de l’établissement, dans un cadre strictement scolaire et sous sa responsabilité. L’éditeur ne collecte aucune donnée d’élève directement auprès des mineurs en dehors de ce cadre. L’information des élèves et, le cas échéant, de leurs représentants légaux incombe à l’établissement.

9. Cookies

Le site et l’application n’utilisent aucun cookie de mesure d’audience, de traçage ou de publicité. Seuls des cookies strictement nécessaires au fonctionnement (maintien de la session d’authentification) sont utilisés ; conformément à la réglementation, ils ne nécessitent pas de consentement préalable.

10. Vos droits

Conformément au RGPD, vous disposez d’un droit d’accès, de rectification, d’effacement, de limitation, d’opposition et de portabilité de vos données, ainsi que du droit de définir des directives relatives à leur sort après votre décès.

Pour exercer ces droits, écrivez à dpo@corraict.com. Lorsque les données sont traitées pour le compte d’un établissement (données d’élèves), votre demande sera transmise à l’établissement responsable de traitement, vers lequel il convient de se tourner en priorité.

Vous pouvez également introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés (CNIL) : www.cnil.fr.

11. Modifications

La présente politique peut être mise à jour pour refléter les évolutions du service ou de la réglementation. La date de dernière mise à jour figure en haut de cette page.