Politique de Confidentialité - Application Ganesh'up
Dernière mise à jour : 14 avril 2026 Version : 1.0 Effective Date : 25 novembre 2025
1. Introduction
Bienvenue sur Ganesh'up, une application mobile dédiée à la gestion de vos cours et à l'organisation de votre apprentissage.
La présente Politique de Confidentialité a pour objectif de vous informer de manière claire et transparente sur la façon dont nous collectons, utilisons, partageons et protégeons vos données personnelles, conformément au Règlement Général sur la Protection des Données (RGPD) - Règlement (UE) 2016/679.
En utilisant l'application Ganesh'up, vous acceptez les pratiques décrites dans cette politique. Si vous n'acceptez pas cette politique, veuillez ne pas utiliser nos services.
2. Responsable du Traitement
Identité du Responsable de Traitement :
- Nom : Lebourgmestre sarl
- Adresse : Rue Saint-Pierre 4, 1003 Lausanne
- Email de contact : Lemaire.thias@ik.me
- Téléphone : Sur demande
Délégué à la Protection des Données (DPO) :
- Email DPO : Lemaire.thias@ik.me
- Contact : Vous pouvez contacter notre DPO pour toute question relative à vos données personnelles
3. Données Personnelles Collectées
Nous collectons et traitons les catégories de données personnelles suivantes :
3.1 Données d'Identification
| Donnée | Obligatoire | Finalité |
|---|---|---|
| Oui | Authentification, communication | |
| Mot de passe | Oui pour les comptes locaux (chiffré bcrypt). Non applicable pour les comptes "Sign in with Apple" — l'authentification est déléguée à Apple. | Sécurité du compte |
| Identifiant Apple (sub) | Oui pour les comptes "Sign in with Apple" — identifiant pseudonyme stable fourni par Apple, utilisé pour vous reconnaître à chaque connexion. | Authentification déléguée |
| Prénom | Non | Personnalisation de l'expérience |
| Nom | Non | Personnalisation de l'expérience |
| Date de naissance | Non | Personnalisation des rappels |
| Photo de profil | Non | Personnalisation du profil |
Sign in with Apple : Si vous choisissez de vous connecter avec Apple, votre identifiant Apple est stocké de manière pseudonymisée (
subdu token Apple). Apple peut vous proposer de masquer votre adresse email réelle via Hide My Email : nous recevrons alors une adresse de relais (xxx@privaterelay.appleid.com) et n'aurons jamais accès à votre email personnel. Le prénom et le nom ne nous sont transmis qu'au tout premier login (Apple ne les renvoie pas aux connexions suivantes).
3.2 Données de Contenu
- Cours créés : Titres, contenus, matières
- Fichiers uploadés : Images, enregistrements audio
- Rappels et calendriers : Planifications de révisions
- Paramètres de l'application : Préférences utilisateur
3.3 Données Techniques
- Tokens de session : Pour l'authentification (JWT)
- Données de synchronisation : Horodatages de dernière synchronisation
- Logs d'accès : Adresses IP (anonymisées), dates/heures de connexion
- Métadonnées de fichiers : Tailles, types MIME, hashes (pour déduplication)
3.4 Données de Partage
- Cours partagés : Contenus partagés avec d'autres utilisateurs
- Tokens de téléchargement : Tokens temporaires pour accès aux cours partagés
4. Finalités et Bases Légales du Traitement
Conformément à l'Article 6 du RGPD, nous traitons vos données personnelles sur les bases légales suivantes :
| Finalité | Base Légale | Article RGPD |
|---|---|---|
| Création et gestion de compte | Exécution du contrat (CGU) | Art. 6(1)(b) |
| Authentification et sécurité | Intérêt légitime (sécurité) | Art. 6(1)(f) |
| Stockage et synchronisation des cours | Exécution du contrat (service) | Art. 6(1)(b) |
| Personnalisation de l'expérience | Consentement | Art. 6(1)(a) |
| Amélioration du service | Intérêt légitime (R&D) | Art. 6(1)(f) |
| Conformité légale (logs d'audit) | Obligation légale | Art. 6(1)(c) |
| Partage de cours entre utilisateurs | Exécution du contrat (fonctionnalité) | Art. 6(1)(b) |
Note importante : Pour les données sensibles (date de naissance), nous obtenons votre consentement explicite conformément à l'Article 9 du RGPD.
5. Durées de Conservation
Conformément au principe de limitation de la conservation (Article 5(1)(e) RGPD), nous conservons vos données uniquement pendant la durée nécessaire aux finalités pour lesquelles elles ont été collectées :
| Type de Données | Durée de Conservation | Base Légale |
|---|---|---|
| Compte utilisateur actif | Tant que le compte est actif | Exécution du contrat |
| Compte inactif | 2 ans après dernière connexion, puis suppression à la discrétion de l'éditeur | Intérêt légitime |
| Données de cours | Durée de vie du compte + 30 jours après suppression | Exécution du contrat |
| Tokens JWT | 15 minutes (expiration automatique) | Sécurité |
| Tokens Refresh | 7 jours (expiration automatique) | Sécurité |
| Tokens de téléchargement (partage) | 7 jours après création | Sécurité |
| Logs d'audit | Minimum 3 ans (recommandation CNIL), à la discrétion de l'éditeur | Obligation légale |
| Logs d'accès (IP anonymisées) | 6 mois maximum | Intérêt légitime (sécurité) |
| Codes d'invitation expirés | 30 jours après expiration | Nettoyage automatique |
Suppression définitive : Après ces durées, vos données sont supprimées de manière irréversible conformément à l'Article 17 du RGPD (droit à l'effacement).
6. Destinataires des Données
Vos données personnelles peuvent être partagées avec les destinataires suivants :
6.1 Destinataires Internes
- Équipe technique Lebourgmestre sarl : Pour la maintenance et le support technique
- Équipe de sécurité : Pour la détection et prévention des abus
6.2 Sous-Traitants (Article 28 RGPD)
Nous faisons appel aux sous-traitants suivants, tous liés par des Data Processing Agreements (DPA) :
| Sous-Traitant | Service | Localisation | Garanties |
|---|---|---|---|
| Infomaniak Network SA (CHE-185-477.109) | Hébergement serveur backend + Base de données PostgreSQL | Suisse (hors EEE — pays adéquat au sens de l'Art. 45 RGPD, décision d'adéquation UE du 26/07/2000) | DPA signé (27/11/2025), Certifications ISO 27001, Tests de pénétration annuels, Notification violations < 72h |
| Sentry (Functional Software, Inc.) | Collecte de rapports d'erreurs, de crashs et de mesures de performance technique (temps de réponse, traces de navigation, profiling) pseudonymisés — seul un identifiant utilisateur numérique est transmis, sans email, nom ou adresse IP | Union Européenne | Données hébergées dans l'UE (région EU sélectionnée), DPA disponible sur sentry.io/legal |
Transferts hors UE/EEE : Les données sont hébergées en Suisse par Infomaniak Network SA. La Suisse n'est pas membre de l'Espace Économique Européen (EEE), mais bénéficie d'une décision d'adéquation de la Commission Européenne au sens de l'Article 45 du RGPD (décision du 26/07/2000). Ce transfert ne nécessite donc pas de Clauses Contractuelles Types (SCC). Un DPA est signé avec Infomaniak (27/11/2025). Infomaniak s'engage contractuellement à ne pas transférer les données vers des pays tiers sans garanties adéquates (DPA Article 13).
6.3 Autres Utilisateurs (avec votre consentement)
- Partage de cours : Si vous utilisez la fonctionnalité de partage de cours, le contenu partagé sera accessible aux personnes avec qui vous partagez le lien de téléchargement.
6.4 Autorités
En cas de demande légale ou judiciaire, nous pouvons être amenés à communiquer vos données aux autorités compétentes (police, justice, CNIL) conformément à l'Article 6(1)(c) du RGPD (obligation légale).
7. Vos Droits en Vertu du RGPD
Conformément aux Articles 15 à 22 du RGPD, vous disposez des droits suivants :
7.1 Droit d'Accès (Article 15)
Vous avez le droit d'obtenir une copie de toutes vos données personnelles que nous détenons.
Comment exercer ce droit :
- Via l'application : Menu Compte > Mes données > Exporter mes données
- Endpoint API :
GET /api/user/export-data - Format : Export JSON complet avec toutes vos données
7.2 Droit de Rectification (Article 16)
Vous avez le droit de corriger vos données personnelles si elles sont inexactes ou incomplètes.
Comment exercer ce droit :
- Via l'application : Menu Compte > Modifier mes informations
- Changement de mot de passe : Menu Compte > Mes données > Changer mon mot de passe
- Endpoint API :
PATCH /api/user/change-password
Données modifiables :
- Prénom, nom, date de naissance
- Photo de profil
- Mot de passe
- Email (immutable pour raisons de sécurité - contactez le support)
7.3 Droit à l'Effacement / "Droit à l'Oubli" (Article 17)
Vous avez le droit de demander la suppression définitive de toutes vos données personnelles.
Comment exercer ce droit :
- Via l'application : Menu Compte > Modifier mes informations > Supprimer mon compte
- Endpoint API :
DELETE /api/user/account - Confirmation : Mot de passe requis pour sécurité
Données supprimées définitivement :
- Votre compte et identifiants
- Tous vos cours et fichiers
- Tous vos rappels et calendriers
- Toutes vos préférences et paramètres
- Tous vos tokens de session
- Toutes vos données de synchronisation
ATTENTION : Cette action est IRRÉVERSIBLE. Aucune récupération possible après suppression.
7.4 Droit à la Limitation du Traitement (Article 18)
Vous avez le droit de demander la limitation du traitement de vos données dans certains cas (contestation de l'exactitude, traitement illicite, etc.).
Comment exercer ce droit :
- Contactez notre DPO : Lemaire.thias@ik.me
7.5 Droit à la Portabilité des Données (Article 20)
Vous avez le droit de recevoir vos données dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable de traitement.
Comment exercer ce droit :
- Via l'application : Menu Compte > Mes données > Exporter mes données
- Format : JSON portable avec :
- Toutes vos informations personnelles
- Tous vos cours et contenus
- Tous vos fichiers (images/audio en base64)
- Toutes vos préférences
- Métadonnées GDPR-compliant
7.6 Droit d'Opposition (Article 21)
Vous avez le droit de vous opposer au traitement de vos données pour des raisons tenant à votre situation particulière (notamment pour les traitements basés sur l'intérêt légitime).
Comment exercer ce droit :
- Contactez notre DPO : Lemaire.thias@ik.me
7.7 Droit de Retrait du Consentement (Article 7(3))
Si le traitement est basé sur votre consentement, vous avez le droit de retirer ce consentement à tout moment, sans que cela affecte la licéité du traitement antérieur.
Comment exercer ce droit :
- Via l'application : Menu Paramètres > Confidentialité > Gérer mes consentements
7.8 Droit de Réclamation auprès de la CNIL
Si vous estimez que vos droits ne sont pas respectés, vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente :
Commission Nationale de l'Informatique et des Libertés (CNIL)
- Adresse : 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07
- Téléphone : +33 (0)1 53 73 22 22
- Site web : https://www.cnil.fr
- Formulaire de réclamation : https://www.cnil.fr/fr/plaintes
8. Sécurité des Données (Article 32 RGPD)
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles contre tout accès non autorisé, perte, destruction ou altération :
8.1 Mesures Techniques
| Mesure de Sécurité | Implémentation |
|---|---|
| Chiffrement en transit | HTTPS/TLS 1.2 et TLS 1.3 |
| Chiffrement au repos | AES-256-GCM pour données sensibles |
| Hachage des mots de passe | bcrypt (salt rounds: 12) |
| Tokens JWT | Signature HMAC SHA-256, expiration 15 minutes |
| Rate limiting | Protection contre brute force (5 req/min pour l'auth, 100 req/min pour l'API générale) |
| CORS strict | Origines autorisées uniquement |
| Helmet.js | Headers de sécurité HTTP |
| HSTS | Strict-Transport-Security activé |
| Content Security Policy | CSP configurée |
8.2 Mesures Organisationnelles
- Accès restreint : Seuls les employés autorisés ont accès aux données
- Authentification administrateur : Token d'authentification dédié et renforcé pour les comptes administrateurs
- Journalisation des accès : Logs d'audit des accès aux données sensibles
- Formation RGPD : Sensibilisation de l'équipe aux bonnes pratiques
- Tests de sécurité : Tests de pénétration de la couche applicative effectués avant chaque release majeure
- Sauvegardes : Sauvegardes quotidiennes avec accès restreint
8.3 Notifications de Violations (Articles 33-34 RGPD)
En cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à :
- Notifier la CNIL dans les 72 heures suivant la découverte de la violation (Article 33)
- Vous notifier sans délai si la violation présente un risque élevé pour vos droits (Article 34)
- Documenter toute violation dans un registre des incidents
9. Cookies et Technologies de Suivi
9.1 Application Mobile (Pas de Cookies Web)
L'application Ganesh'up est une application mobile native. Nous n'utilisons pas de cookies web au sens traditionnel. Cependant, nous stockons certaines données localement sur votre appareil :
| Technologie | Finalité | Base Légale | Durée |
|---|---|---|---|
| SharedPreferences (iOS/Android) | Stockage de préférences utilisateur | Fonctionnalité essentielle | Durée de vie de l'app |
| SQLite local | Cache hors-ligne des cours | Fonctionnalité essentielle | Durée de vie de l'app |
| flutter_secure_storage (iOS/Android) | Stockage sécurisé du token d'authentification | Sécurité du compte | Durée de session |
Ces données sont stockées uniquement sur votre appareil et ne sont pas transmises à des tiers.
9.2 Gestion du Stockage Local
Vous pouvez supprimer toutes les données locales en :
- Désinstallant l'application
- Vidant le cache de l'application dans les paramètres Android/iOS
- Utilisant la fonction "Déconnexion" qui efface le token d'authentification
10. Données des Mineurs
Conformément à l'Article 8 du RGPD, nous n'autorisons pas l'inscription de mineurs de moins de 15 ans sans le consentement d'un titulaire de l'autorité parentale.
Pour les mineurs de 15 à 18 ans :
- Un code d'invitation est requis pour s'inscrire
- Nous recommandons que les parents supervisent l'utilisation de l'application
- Les parents peuvent exercer les droits RGPD au nom de leur enfant
Si vous avez connaissance qu'un mineur de moins de 15 ans s'est inscrit sans autorisation parentale, veuillez nous contacter immédiatement à : Lemaire.thias@ik.me
11. Modifications de la Politique de Confidentialité
Nous nous réservons le droit de modifier cette Politique de Confidentialité à tout moment pour refléter :
- Les évolutions de nos services
- Les changements législatifs ou réglementaires
- Les meilleures pratiques en matière de protection des données
En cas de modification substantielle :
- Nous vous notifierons par email (à l'adresse associée à votre compte)
- Nous vous notifierons via une notification in-app
- Nous mettrons à jour la date de "Dernière mise à jour" en haut de ce document
- Nous archiverons les versions précédentes pour consultation
Votre utilisation continue de l'application après notification vaut acceptation des modifications.
12. Contact et Questions
Pour toute question concernant cette Politique de Confidentialité ou l'exercice de vos droits, vous pouvez nous contacter :
Service de Protection des Données :
- Email : Lemaire.thias@ik.me
- Adresse postale : Rue Saint-Pierre 4, 1003 Lausanne
- Formulaire de contact : Disponible via email
Délai de réponse : Conformément à l'Article 12(3) du RGPD, nous nous engageons à répondre à toute demande dans un délai maximum de 1 mois suivant la réception de votre demande. Ce délai peut être prolongé de 2 mois en cas de complexité de la demande (vous en serez informé).
13. Registre des Traitements (Article 30 RGPD)
Conformément à l'Article 30 du RGPD, nous tenons un registre interne des activités de traitement. Ce registre est disponible sur demande auprès de notre DPO.
Principaux traitements enregistrés :
- Gestion des comptes utilisateurs
- Stockage et synchronisation des cours
- Partage de cours entre utilisateurs
- Authentification et gestion des sessions
- Gestion des rappels et notifications
- Logs d'audit et journalisation sécurisée
14. Acceptation de la Politique
En créant un compte sur l'application Ganesh'up, vous reconnaissez avoir lu, compris et accepté les termes de cette Politique de Confidentialité.
Date de première acceptation : [Enregistrée lors de votre inscription] Dernière version acceptée : Version 1.0 (25 novembre 2025)
Annexe A - Glossaire RGPD
Données personnelles : Toute information se rapportant à une personne physique identifiée ou identifiable (Article 4(1) RGPD)
Responsable de traitement : La personne physique ou morale qui détermine les finalités et les moyens du traitement (Article 4(7) RGPD)
Sous-traitant : La personne physique ou morale qui traite des données personnelles pour le compte du responsable de traitement (Article 4(8) RGPD)
Consentement : Toute manifestation de volonté, libre, spécifique, éclairée et univoque (Article 4(11) RGPD)
Violation de données : Une violation de la sécurité entraînant la destruction, la perte, l'altération ou la divulgation non autorisée de données (Article 4(12) RGPD)
Annexe B - Références Légales
Textes applicables :
- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD)
- Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (Loi Informatique et Libertés)
- Directive 2002/58/CE concernant le traitement des données personnelles et la protection de la vie privée dans le secteur des communications électroniques
Autorité de contrôle :
- Commission Nationale de l'Informatique et des Libertés (CNIL) - France
FIN DU DOCUMENT
Document public - Accessible à tous © 2026 Lebourgmestre sarl. Tous droits réservés.
Ce document est mis à disposition du public conformément aux Articles 13 et 14 du RGPD.