M
MAGISTR

Sécurité et RGPD

Vos enfants utilisent MAGISTR. Vous avez le droit de savoir exactement où leurs données sont stockées, qui peut y accéder et comment les supprimer. Cette page répond point par point.

1. Hébergement en Union européenne

L'intégralité des données personnelles (profils parents, profils enfants, conversations, fiches de révision, progression) est stockée dans l'Union européenne :

  • Base de données : Supabase, région Francfort (Allemagne).
  • Hébergement applicatif : Vercel, région Paris / Francfort (Europe).
  • Modèle d'IA : Mistral AI, société française basée à Paris, avec inférence opérée en Europe.

Aucun transfert de données personnelles n'est effectué vers un pays tiers hors UE.

2. Traitements et bases légales

Les données sont traitées pour trois finalités strictement séparées :

  • Fourniture du service de tutorat — base légale : exécution du contrat d'abonnement (article 6.1.b du RGPD).
  • Amélioration pédagogique (recommandations personnalisées, détection de lacunes) — base légale : intérêt légitime (article 6.1.f), avec possibilité d'opposition à tout moment.
  • Obligations légales (facturation, archivage comptable) — base légale : obligation légale (article 6.1.c).

Nous n'utilisons jamais les conversations des élèves pour entraîner un modèle d'IA tiers. Les données envoyées à Mistral le sont dans le cadre d'un contrat de sous-traitance conforme à l'article 28 du RGPD.

3. Droits parents — exerçables en ligne

Tous les droits prévus par le RGPD sont exerçables via la page /privacy/choices, sans délai d'instruction :

  • Accès aux données (article 15)
  • Rectification (article 16)
  • Effacement (article 17) — traité sous 30 jours
  • Limitation du traitement (article 18)
  • Portabilité au format JSON (article 20)
  • Opposition (article 21)

Aucun justificatif n'est demandé au-delà de l'authentification sur le compte parent. Réponse sous 30 jours maximum (article 12.3). En cas de désaccord, recours possible auprès de la CNIL (cnil.fr).

4. Sécurité technique

  • Chiffrement TLS 1.3 sur tous les échanges client ↔ serveur et serveur ↔ base de données.
  • Mots de passe stockés hachés avec bcrypt (12 rounds).
  • Sessions JWT limitées à 7 jours. Rotation automatique des refresh tokens mobiles.
  • Rate limiting sur les endpoints d'authentification (10 tentatives / 15 min sur login, 5 / heure sur registration).
  • Headers de sécurité : HSTS, X-Frame-Options DENY, Permissions-Policy, Referrer-Policy strict-origin.
  • Paiements iOS : vérification cryptographique des JWS Apple StoreKit 2, épinglage de la chaîne X.509 sur Apple Root CA G3.
  • Webhooks Stripe : signature HMAC-SHA256 vérifiée, rejet des événements plus vieux que 5 minutes.

5. Protection spécifique des données de mineurs

MAGISTR traite des données de mineurs au sens de l'article 8 du RGPD. En conséquence :

  • Le compte enfant est créé par le parent titulaire de l'autorité parentale, qui consent pour le compte du mineur.
  • Les conversations enfants sont filtrées par un module de modération IA avant renvoi au tuteur (lib/moderation.ts), qui bloque les contenus inappropriés et signale les situations à risque.
  • Aucune publicité, aucun pixel de retargeting, aucun cookie tiers à visée commerciale.
  • Le dashboard parent affiche les indicateurs de progression mais pas le contenu textuel brut des échanges entre l'enfant et le tuteur, pour préserver l'intimité pédagogique.

6. Sous-traitants

Liste des sous-traitants RGPD autorisés :

  • Supabase (Allemagne) — base de données PostgreSQL.
  • Vercel (Europe) — hébergement applicatif.
  • Mistral AI (France) — inférence LLM.
  • Stripe (Irlande) — traitement des paiements récurrents (web uniquement).
  • Apple (Irlande) — traitement des paiements iOS (StoreKit).

La liste complète et les contrats de sous-traitance sont disponibles sur demande à dpo@magistr.college.

7. Durée de conservation

  • Profil et progression : durée de l'abonnement + 1 an après résiliation, puis suppression automatique.
  • Historique des conversations : 12 mois glissants, puis anonymisation (statistiques seulement).
  • Factures et justificatifs comptables : 10 ans (article L.123-22 du Code de commerce).
  • Logs techniques : 12 mois maximum.

8. Contact DPO

Conformément à l'article 37 du RGPD, Sedens Ago SAS a désigné un Délégué à la Protection des Données (DPO). Pour toute question relative au traitement des données personnelles, contactez-nous à : dpo@magistr.college

En cas de difficulté dans la gestion de vos données, vous pouvez introduire une réclamation auprès de la CNIL.