RGPD

Politique de confidentialité

Dernière mise à jour : 2026

Cette politique décrit comment Coconoa collecte, utilise et protège vos données personnelles, conformément au Règlement Général sur la Protection des Données (RGPD, règlement UE 2016/679) et à la loi française « Informatique et Libertés ».

1. Responsable du traitement

Le responsable du traitement est Sabatier Timothé (8, boulevard Saint Louis — 34150 Gignac, France), joignable à tsabatier01@gmail.com.

2. Données collectées

À l'inscription

  • Nom, prénom
  • Adresse email
  • Mot de passe (stocké de façon hashée et non lisible)
  • Sexe (optionnel, pour personnaliser les contenus)
  • Rôle (élève, prof, visiteur)

Au cours de l'utilisation

  • Progression dans les cours, leçons, quiz et escape games
  • Recettes mises en favoris
  • Photo d'avatar (si vous en uploadez une)
  • Photos soumises dans le cadre des concours
  • Adresse IP (logs serveur, conservés à des fins de sécurité)

Lors d'un paiement

Les paiements sont traités par Stripe. Coconoa n'a accès qu'à : l'identifiant de transaction, le montant, la date, votre email. Aucune donnée bancaire (numéro de carte, CVV) n'est stockée par Coconoa.

3. Finalités et bases légales

  • Création et gestion de compte — base légale : exécution du contrat (CGU).
  • Suivi pédagogique (progression, quiz) — base légale : exécution du contrat.
  • Envoi d'emails transactionnels (vérification email, reset mot de passe, reçu Stripe) — base légale : exécution du contrat / obligation légale.
  • Sécurité du site (logs, anti-fraude) — base légale : intérêt légitime de l'éditeur.
  • Modération (concours, signalements) — base légale : intérêt légitime.

4. Mineurs

Conformément à l'article 8 du RGPD, les utilisateurs de moins de 15 ans doivent disposer du consentement préalable de leurs représentants légaux pour créer un compte. L'éditeur peut être amené à demander une preuve de ce consentement.

5. Destinataires

Vos données ne sont transmises à des tiers que dans le cadre strict du fonctionnement du service :

  • Vercel — hébergement de l'application.
  • MongoDB Atlas — base de données utilisateurs.
  • Sanity.io — gestion du contenu pédagogique.
  • Cloudinary — stockage des images (avatars, photos concours).
  • Resend — envoi des emails transactionnels.
  • Stripe — traitement des paiements.

Tous ces sous-traitants sont engagés contractuellement à respecter le RGPD. Aucune donnée n'est revendue à des tiers à des fins commerciales.

6. Transferts hors UE

Certains de nos sous-traitants (Vercel, MongoDB, Cloudinary, Stripe, Resend) sont établis hors de l'Union Européenne, notamment aux États-Unis. Ces transferts sont encadrés par les clauses contractuelles types de la Commission européenne ou par l'adhésion au cadre Data Privacy Framework.

7. Durée de conservation

  • Compte actif : tant que vous l'utilisez.
  • Compte inactif : 3 ans sans connexion, puis suppression automatique après notification.
  • Données de paiement : conservées par Stripe selon ses propres durées légales (10 ans pour la facturation).
  • Logs serveur : 12 mois.

8. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

  • Droit d'accès — connaître les données que nous détenons sur vous.
  • Droit de rectification — corriger une donnée inexacte (modifiable directement depuis votre compte).
  • Droit à l'effacement — supprimer votre compte et vos données (bouton « Supprimer mon compte » dans Mon compte).
  • Droit à la portabilité — récupérer vos données dans un format lisible (bouton « Télécharger mes données » dans Mon compte, format JSON).
  • Droit d'opposition et droit à la limitation du traitement.
  • Droit d'introduire une réclamation auprès de la CNIL.

Pour exercer vos droits, vous pouvez utiliser les outils intégrés à votre compte ou nous écrire à tsabatier01@gmail.com.

9. Cookies

Coconoa utilise uniquement des cookies strictement nécessaires au fonctionnement du site (authentification, session de classe pour les profs). Aucun cookie publicitaire ni de tracking n'est déposé. Conformément à la doctrine de la CNIL, ces cookies essentiels ne nécessitent pas votre consentement préalable.

Cookies utilisés :

  • next-auth.session-token — session d'authentification (durée : 30 jours).
  • sessionClasse — sélection de la classe active pour les professeurs (durée : session).

10. Sécurité

Vos mots de passe sont stockés de façon hashée (bcrypt). Les communications sont chiffrées en HTTPS (TLS). Les paiements sont traités directement par Stripe via une connexion sécurisée. Toutefois, aucun système n'est infaillible et nous vous invitons à choisir un mot de passe robuste et à ne pas le partager.

11. Modification de la politique

Cette politique peut être amenée à évoluer. Toute modification substantielle vous sera notifiée par email ou via le site.