Quelles données collecte ORBITECH AI ACADEMY ?

ORBITECH collecte uniquement les données nécessaires : email, prénom, classe, établissement (optionnel), et conversations avec l'IA. Aucune donnée sensible (origine ethnique, santé, religion) n'est collectée. Toutes les données sont chiffrées avec AES-256 et stockées sur des serveurs Supabase en Europe (conformité RGPD).

Est-ce que mes conversations avec l'IA sont utilisées pour entraîner d'autres IA ?

NON, jamais ! ORBITECH utilise Anthropic Claude qui garantit contractuellement que vos conversations ne sont JAMAIS utilisées pour entraîner leurs modèles. Vos échanges restent strictement confidentiels et ne servent qu'à vous fournir le service. Zero entraînement, zero revente.

ORBITECH est-il conforme au RGPD ?

ORBITECH est conçu conformément au RGPD européen : données utilisateurs stockées en Europe (Supabase), consentement explicite obligatoire, droit à l'oubli (suppression en 30 jours), portabilité des données, transparence, conformité CNIL. Vous pouvez exercer vos droits RGPD à tout moment.

Comment supprimer mes données ORBITECH ?

Deux options : (1) Suppression automatique depuis ton compte > Paramètres > Supprimer mon compte. Toutes tes données sont effacées sous 30 jours. (2) Demande par email à contact@orbitech-ai-academy.fr. On traite ta demande sous 30 jours max. C'est ton droit RGPD, pas de justification nécessaire.

Qui a accès à mes données sur ORBITECH ?

Accès ultra-limité : (1) Toi uniquement via ton compte. (2) L'équipe ORBITECH pour support technique uniquement si tu demandes de l'aide. (3) Supabase (hébergeur Europe) et Anthropic Claude (IA) pour fournir le service. Zéro revente, zéro partage marketing. Tes parents peuvent voir les stats si tu actives le contrôle parental.

Politique de Confidentialité ORBITECH 2026 🔒

1. Transparence Totale sur Nos Partenaires

ORBITECH AI ACADEMY s'engage à une transparence absolue sur la protection de tes données. Cette politique est basée sur les DPA 2026 signés avec nos partenaires techniques (Supabase, Anthropic, Stripe), pas sur des approximations.

Notre Engagement Béton Armé

On utilise uniquement des services qui garantissent la non-utilisation de tes données pour l'entraînement d'IA. Architecture sécurisée RLS qui restreint strictement l'accès aux conversations selon le rôle.

Responsable du Traitement

Dénomination : ORBITECH AI ACADEMY Forme juridique : Entrepreneur individuel Siège social : 1 RUE MARGUERIN, 75014 PARIS SIRET : 992 158 402 00014 Email : [email protected] Téléphone : +33 6 60 98 56 48

Partenaires Techniques Certifiés

Choix Techniques Sécurisés

Intelligence Artificielle : API Anthropic (Claude) - DPA + SCCs signés, zéro entraînement
Infrastructure données : Supabase hébergé en UE (AWS Paris)
Données utilisateurs : stockées exclusivement en Union Européenne
Traitement IA : Requêtes transitent via API Anthropic (serveurs USA possibles) sous SCCs Module 2/3

2. Intelligence Artificielle : Données Réelles 2026

2.1 Politique API Commerciale (Notre Usage)

Garanties API IA 2026 (DPA Anthropic signé)

AUCUN entraînement : Tes données ne sont JAMAIS utilisées pour entraîner l'IA (interdit contractuellement par DPA)
Suppression 30 jours : Données supprimées 30 jours après résiliation du contrat
SCCs Module 2 et 3 : Clauses contractuelles types UE pour transferts internationaux
DPA signé : Data Processing Addendum conforme RGPD en vigueur
Sous-traitants : Liste disponible sur anthropic.com/subprocessors

2.2 Différence Cruciale : API vs Interface Web

Important : On N'Utilise PAS l'Interface Web Grand Public

Les politiques IA grand public peuvent différer. ORBITECH utilise l'API commerciale avec un DPA signé qui garantit : aucun entraînement sur tes données, suppression post-résiliation, et conformité RGPD via SCCs.

Service utilisé : API d'intelligence artificielle (Claude) Modèles : modèle d'IA Claude (API commerciale) DPA signé : Oui, avec SCCs Module 2 (Controller to Processor) et Module 3 (Processor to Processor) Entraînement : Interdit contractuellement sur Covered Data Suppression : 30 jours après résiliation du contrat Localisation : Serveurs Anthropic (USA possible), transferts conformes RGPD via SCCs

2.3 Protections Techniques

Chiffrement en transit : TLS 1.3 pour tous les échanges client↔serveur
Authentification sécurisée : API key stockée côté serveur uniquement
Pas de persistance IA : Aucun stockage côté fournisseur après traitement
Filtrage automatique : Données sensibles filtrées avant envoi

2.4 Documents et Images (Scan IA, PDF Analyzer)

Traitement des fichiers uploadés

Lorsque tu utilises les outils Scan IA (photos de cours) ou PDF Analyzer (documents PDF), le contenu de tes fichiers est temporairement envoyé à l'API IA pour analyse.

Données envoyées : Contenu du fichier (image/PDF) encodé en base64 Finalité : Génération de résumés, flashcards, quiz à partir du contenu Durée de conservation API : 0 seconde (traitement temps réel, aucun stockage) Stockage ORBITECH : Fichiers NON conservés après traitement Résultats : Sauvegardés dans ton espace personnel si tu le demandes

Aucune conservation : Tes fichiers ne sont jamais stockés sur nos serveurs ni chez le fournisseur IA
Traitement éphémère : Le fichier est analysé puis immédiatement supprimé de la mémoire
Pas d'entraînement : Tes documents ne servent JAMAIS à entraîner l'IA
Chiffrement : Transit sécurisé TLS 1.3 pendant l'envoi

3. Infrastructure : Hébergement RGPD

3.1 Conformité RGPD Infrastructure 2026

Garanties Infrastructure Vérifiées (DPA Supabase signé 09/10/2025)

Serveurs européens : AWS Paris exclusif pour données utilisateurs
DPA signé : Data Processing Addendum version Août 2025 en vigueur
SOC 2 Type 2 : Certification sécurité valide + FIPS 140-2 HSMs
Chiffrement AES-256 : Au repos et TLS 1.3 en transit
SCCs + UK Addendum + Swiss Addendum : Transferts internationaux encadrés
CNIL supervisory authority : Autorité de contrôle française désignée

3.2 Configuration Sécurisée ORBITECH

Région Infrastructure : Europe (AWS Paris) Chiffrement : AES-256 au repos + TLS 1.3 transit Authentification : Sessions sécurisées JWT avec expiration Sauvegardes : Quotidiennes chiffrées, rétention 30 jours, PITR 7 jours RLS : Row Level Security activé sur toutes tables DPA Supabase : Signé le 09/10/2025, version Août 2025 Sous-traitants Supabase : AWS, Google, Cloudflare, Sentry, Stripe (liste Schedule 3) Monitoring : 24/7 avec alertes sécurité

3.3 Architecture de Données

Tables utilisateurs : Données personnelles minimales chiffrées
Conversations : Stockage chiffré AES-256 au repos (Supabase eu-west-3)
Logs système : Pseudonymisés et durée limitée
Métadonnées : Logs pseudonymisés, séparés des données identifiantes
Accès granulaire : Principe du moindre privilège strict

3.4 Transferts et Localisation

Données utilisateurs : Stockées exclusivement en Union Européenne (AWS Paris via Supabase). En revanche, le traitement par l'IA transite par l'API Anthropic, dont les serveurs peuvent être situés aux États-Unis (voir ci-dessous). DPA Supabase signé avec SCCs, UK Addendum et Swiss Addendum.

Traitement IA : Les requêtes vers l'assistant IA transitent via l'API Anthropic (Claude). Les serveurs de traitement peuvent être situés aux USA. Ces transferts sont conformes au RGPD grâce au DPA signé avec SCCs Module 2 et 3. Suppression 30 jours post-résiliation, zéro entraînement IA (interdit contractuellement).

Paiements : Stripe (SPEL) avec DPA signé. PCI-DSS Level 1, SOC 1 et SOC 2, chiffrement AES-256, TLS 1.2. Notification incident sous 48h (RGPD/UK GDPR). Logs de synchronisation paiement : supprimés automatiquement après 24 heures (aucune rétention).

Roadmap 2026 : Migration prévue vers AWS Bedrock EU pour un traitement IA 100% européen. Adéquation UE-UK renouvelée jusqu'à décembre 2031.

4. Données Collectées (Minimales)

4.1 Données d'Inscription (Strictement Nécessaires)

Prénom : Personnalisation interface (ex: "Bonjour Marie")
Nom : Identification compte et initiales
Email : Authentification et communications essentielles
Niveau scolaire : Adaptation pédagogique de l'IA
Mot de passe haché : Sécurité compte (bcrypt avec salt)

4.2 Données de Conversation (Chiffrées)

Protection Max des Conversations

Tes questions et réponses sont stockées chiffrées AES-256 au repos sur Supabase eu-west-3 (Paris). Envoyées à l'API IA via connexion TLS 1.3. Le fournisseur d'IA ne conserve pas tes données pour l'entraînement (interdit par DPA partenaires).

Messages utilisateur : Questions posées à l'IA éducative
Réponses IA : Guidance pédagogique fournie par notre système
Métadonnées : Horodatage, session ID chiffré
Contexte pédagogique : Matière détectée, niveau adapté

4.3 Données Techniques (Sécurité)

Adresse IP : Sécurité, détection fraude, géolocalisation pays
User-Agent : Compatibilité technique navigateur
Logs connexion : Horodatage, sécurité compte
Statistiques usage : Nombre questions, temps session (anonymisées)

4.4 Données NON Collectées

Ce qu'on ne collecte JAMAIS

Cookies publicitaires ou tracking
Données biométriques
Géolocalisation précise
Navigation sur autres sites
Données bancaires (Stripe sécurisé)
Données sensibles (origine, religion, santé)
Contenus des fichiers uploadés (si fonctionnalité ajoutée)

5. Finalités du Traitement

5.1 Finalités Principales

Service d'assistance IA éducative : Guidance pédagogique personnalisée via IA
Gestion comptes utilisateurs : Authentification, profils, statistiques personnelles
Amélioration du service : Optimisation interface (données anonymisées uniquement)
Support utilisateur : Assistance technique et pédagogique

5.2 Finalités Techniques

Sécurité système : Prévention fraude, détection intrusions
Obligations légales : Conformité RGPD, logs LCEN
Communications essentielles : Notifications sécurité, mises à jour critiques

Finalités INTERDITES

On n'utilise JAMAIS tes données pour : publicité ciblée, profilage commercial, vente à des tiers, surveillance non consentie, entraînement d'IA externe, ou toute finalité non mentionnée.

6. Bases Légales RGPD

6.1 Exécution du Contrat (Art. 6.1.b RGPD)

Base principale : Le traitement est nécessaire à l'exécution du contrat de service d'assistance IA éducative. Sans tes données (email, niveau, conversations), le service ne peut être fourni.

6.2 Consentement (Art. 6.1.a RGPD)

Pour les utilisateurs 15+ ans : consentement libre lors de l'inscription. Pour les moins de 15 ans : autorisation parentale obligatoire avec double validation.

6.3 Intérêt Légitime (Art. 6.1.f RGPD)

Sécurité du service : Prévention fraude, protection utilisateurs
Amélioration produit : Optimisation interface (données anonymisées)
Support technique : Résolution problèmes, maintenance

Test de Proportionnalité CNIL 2026

Nos intérêts légitimes respectent les critères CNIL (plan stratégique 2025-2028) : nécessité justifiée, proportionnalité stricte, impact minimal sur tes droits. Conformité EDPB 2026 sur la transparence (Art. 12-14 RGPD).

6.4 Obligation Légale (Art. 6.1.c RGPD)

Logs connexion : Conservation 1 an (LCEN)
Coopération judiciaire : Si réquisition légale
Comptabilité : Facturation premium (Code général impôts)

7. Mesures de Sécurité Techniques

7.1 Chiffrement Multi-Couches

• Stockage Supabase : AES-256-GCM au repos (région eu-west-3, Paris) • Transit API Claude : TLS 1.3 avec Perfect Forward Secrecy • Base de données : Chiffrement natif PostgreSQL • Mots de passe utilisateurs : bcrypt + salt individuel (irréversible) • Mots de passe historiques élèves d'établissement : chiffrement applicatif pgcrypto (AES) avec clé Supabase Vault, accessible uniquement par les administrateurs d'établissement pour réinitialisation (RGPD art. 32) • Sessions : JWT sécurisés avec rotation • API Keys : Variables environnement chiffrées

7.2 Architecture Sécurisée

Infrastructure sécurisée : Isolation complète API IA
Row Level Security : Accès données strictement limité
Authentification renforcée : MFA disponible pour administrateurs
Principe moindre privilège : Accès minimal nécessaire
Monitoring 24/7 : Détection anomalies en temps réel

7.3 Certifications Partenaires

Certifications Vérifiées 2026

Supabase SOC 2 Type 2 - Sécurité opérationnelle + FIPS 140-2 HSMs
Stripe PCI-DSS Level 1 - Plus haut niveau de conformité paiement + SOC 1 et SOC 2
Anthropic DPA - SCCs Module 2 et 3, zéro entraînement sur données
DPA signés - Supabase (09/10/2025), Anthropic, Stripe

7.4 Gestion des Incidents

En cas de violation de données : notification CNIL sous 72h et information utilisateurs concernés sous 48h maximum si risque élevé pour leurs droits.

Procédure urgence : [email protected] Équipe réponse incident : 24/7 Plan de continuité : RTO < 4h, RPO < 1h Contact CNIL : Prêt pour notification immédiate

8. Conservation des Données

8.1 Durées de Conservation Précises

Conversations NON sauvegardées : Suppression automatique après 30 jours - Aucune exploitation, nettoyage quotidien automatique
Conversations sauvegardées manuellement : Conservation 30 jours à partir de la date de sauvegarde. Un compteur indique le temps restant dans ton espace personnel. Jamais exploitées ni analysées - stockées uniquement pour ton historique personnel. Tu peux re-sauvegarder pour réinitialiser le compteur.
Données compte actif : Pendant utilisation + 1 an après inactivité
Données chez Anthropic (IA) : Suppression 30 jours après résiliation du contrat (DPA 2026)
Logs techniques de synchronisation paiement : Suppression automatique après 24 heures - Aucune rétention des données de synchronisation Stripe, purge automatique quotidienne
Logs sécurité infrastructure : 1 an (obligation LCEN)
Données facturation (Stripe) : 10 ans (obligation comptable)

8.2 Suppression Automatique

Purge Auto Sécurisée

Compte inactif > 3 ans : Suppression auto complète avec notification préalable 90 jours. Effacement technique vérifié (NIST 800-88).

8.3 Droit à l'Effacement Facilité

Suppression sous 48h : Bouton "Supprimer définitivement" dans paramètres. Processus irrévocable avec certificat de destruction émis automatiquement.

Méthode suppression : Écrasement sécurisé NIST 800-88 Vérification : Audit cryptographique post-suppression Certificat : Envoyé auto par email Délai : Maximum 48h pour suppression complète Exceptions : Données légalement requises (facturation 10 ans)

9. Tes Droits RGPD Facilités

9.1 Exercice Simplifié de Tes Droits

Droits RGPD en Un Clic

Accès : Export JSON auto de toutes tes données
Rectification : Modification temps réel dans paramètres
Portabilité : Téléchargement JSON/CSV des conversations
Effacement : Suppression définitive en 48h avec certificat
Opposition : Formulaires dédiés par finalité

9.2 Droit d'Accès (Art. 15 RGPD)

Export auto instantané : Toutes tes données personnelles disponibles en format JSON structuré via ton espace perso. Aucune attente, aucun justificatif.

9.3 Droit de Rectification (Art. 16 RGPD)

Modification en temps réel : Prénom, nom, niveau scolaire modifiables instantanément. Prise d'effet immédiate sur tous systèmes.

9.4 Droit à l'Effacement (Art. 17 RGPD)

Suppression Définitive Garantie

Bouton "Supprimer définitivement mon compte" dans paramètres. Suppression irrévocable sous 48h avec certificat technique. Aucune récupération possible ensuite.

9.5 Droit à la Portabilité (Art. 20 RGPD)

Export multi-format : Conversations et données en JSON, CSV, TXT. Compatible avec autres services IA éducative. Téléchargement instantané.

9.6 Droit d'Opposition (Art. 21 RGPD)

Intérêt légitime : Opposition via paramètres avec prise d'effet immédiate
Communications : Désinscription en un clic permanent
Profilage : Non applicable (on ne profile pas)

Recours et Voies de Droit

Réclamation CNIL : www.cnil.fr/plaintes | Délai de réponse DPO : 72h maximum | Recours juridictionnel : Droit garanti en cas de manquement

10. Transferts Internationaux

10.1 Localisation Géographique

Stockage données utilisateurs : AWS Paris (UE) via Supabase - DPA signé 09/10/2025 Traitement IA : API Anthropic (Claude) - serveurs USA possibles, SCCs Module 2 et 3 Paiements : Stripe Payments Europe Limited (SPEL) - PCI-DSS Level 1 Infrastructure : DPA signés avec tous sous-traitants Autorité de contrôle : CNIL (France) Adéquation UE-UK : Renouvelée jusqu'au 31/12/2031

10.2 Garanties Contractuelles

Protection Anti-Transfert Abusif (DPA 2026)

DPA Supabase : SCCs + UK Addendum + Swiss Addendum, CNIL autorité de contrôle
DPA Anthropic : SCCs Module 2 (Controller to Processor) et Module 3 (Processor to Processor)
DPA Stripe : PCI-DSS Level 1, notification incident 48h (RGPD/UK GDPR)
Zéro entraînement IA : Interdit contractuellement (Anthropic DPA)

10.3 Fournisseurs et Transferts

Sociétés US mais conformité EU : Nos fournisseurs techniques sont américains mais proposent des DPA RGPD-conformes pour services commerciaux. Tes données transitent chiffrées et sont supprimées selon politiques strictes.

10.4 Transparence sur les Transferts

Ce que tu dois savoir

Données utilisateurs : stockées exclusivement en UE (Supabase/AWS Paris). Traitement IA : les requêtes transitent via l'API Anthropic (Claude), dont les serveurs peuvent être situés aux États-Unis, sous garanties RGPD (DPA partenaires, SCCs Module 2/3, rétention 30 jours post-résiliation). C'est le même mécanisme que celui utilisé par de nombreuses entreprises européennes avec AWS, Google Cloud ou Microsoft Azure.

Politique de Confidentialité 🔒

Protection Béton de Tes Données

API IA : ZÉRO Training

Infrastructure Europe : SOC 2

Archi à accès restreint

Conformité RGPD Total

Rétention Minimale

Aucune Exploitation

📋 Table des Matières