Politique de confidentialité
Dernière mise à jour : 20 avril 2026
La présente politique décrit les traitements de données personnelles mis en œuvre par MCH Dev(ci-après « nous ») dans le cadre du Service Cap Grande École, conformément au Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et à la loi luxembourgeoise du 1er août 2018 portant organisation de la Commission nationale pour la protection des données (CNPD).
1. Responsable de traitement
- MCH Dev, entreprise individuelle
- 46 rue Pierre Krier, L-1880 Luxembourg
- RCS Luxembourg : A46781
- Contact : contact@capgrandeecole.fr
Nous n’avons pas désigné de délégué à la protection des données (DPO) dans la mesure où les critères prévus à l’article 37 du RGPD ne sont pas réunis. Toute question relative à vos données peut être adressée à l’adresse ci-dessus.
2. Données collectées, finalités et bases légales
| Finalité | Données | Base légale |
|---|---|---|
| Création et gestion du compte | Email, mot de passe (haché), prénom, identifiant utilisateur | Exécution du contrat (art. 6.1.b RGPD) |
| Fourniture du service pédagogique | Réponses aux questions, scores, temps de réponse, historique d’examens, préférences, parcours d’apprentissage | Exécution du contrat (art. 6.1.b) |
| Gestion des abonnements et paiements | Identifiant Stripe client, historique de transactions, statut d’abonnement, factures. Les données de carte bancaire sont collectées et stockées directement par Stripe, nous n’y avons pas accès. | Exécution du contrat (art. 6.1.b) / Obligation légale comptable (art. 6.1.c) |
| Support utilisateur | Email, contenu des échanges | Intérêt légitime (art. 6.1.f) : répondre aux demandes |
| Mesure d’audience et amélioration du service | Données d’usage anonymisées, identifiants d’installation, rapports de stabilité (Crashlytics) | Consentement (art. 6.1.a) pour les traceurs non essentiels |
| Communications relatives au service | Email, statut du compte | Exécution du contrat (art. 6.1.b) |
| Sécurité, prévention de la fraude et respect des obligations légales | Adresse IP, journaux techniques | Intérêt légitime (art. 6.1.f) / Obligation légale (art. 6.1.c) |
3. Destinataires et sous-traitants
Vos données sont traitées par les sous-traitants suivants, engagés par contrat conforme à l’article 28 du RGPD :
- Google Ireland Limited(Dublin, Irlande) — hébergement, base de données, authentification, fonctions serveur (Firebase Hosting, Firestore, Authentication, Cloud Functions, Storage, Analytics, Crashlytics). Région de traitement principale : europe-west1 (Belgique).
- Stripe Payments Europe, Limited(Dublin, Irlande) — traitement des paiements par carte bancaire et gestion des abonnements. Stripe agit en qualité de responsable de traitement conjoint pour la détection de fraude.
- Apple Distribution International Ltd. et Google Ireland Limitedpour la distribution des applications mobiles et les éventuels achats in-app.
Nous ne vendons ni ne louons vos données personnelles à des tiers.
4. Transferts hors Union européenne
Les données sont hébergées au sein de l’Union européenne. Certains sous-traitants (Google, Stripe, Apple) ayant leur maison mère aux États-Unis, des transferts hors UE peuvent intervenir de manière accessoire (support technique, sauvegardes).
Ces transferts sont encadrés par :
- la certification des sous-traitants au Data Privacy Framework UE-États-Unis ;
- les clauses contractuelles types adoptées par la Commission européenne (décision 2021/914) ;
- des mesures techniques complémentaires (chiffrement en transit et au repos).
5. Durées de conservation
- Données du compte : pendant toute la durée de votre utilisation du Service, puis supprimées dans un délai de 30 jours après clôture du compte.
- Données pédagogiques (scores, historiques) : même durée que le compte.
- Données de facturation : 10 ans à compter de l’émission de la facture, conformément à l’article 11 du Code de commerce luxembourgeois.
- Journaux techniques et IP : 12 mois maximum.
- Données de mesure d’audience : 14 mois maximum.
- Courriers de support : 3 ans après le dernier contact.
6. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- droit d’accès à vos données ;
- droit de rectification ;
- droit à l’effacement (« droit à l’oubli ») ;
- droit à la limitation du traitement ;
- droit à la portabilité ;
- droit d’opposition, y compris au profilage ;
- droit de retirer à tout moment votre consentement lorsque celui-ci constitue la base légale ;
- droit de définir des directives relatives au sort de vos données après votre décès.
Ces droits s’exercent en nous écrivant à contact@capgrandeecole.fr. Nous répondons dans un délai maximal d’un mois, prolongeable de deux mois en cas de complexité. Une pièce d’identité pourra être demandée en cas de doute raisonnable sur l’identité du demandeur.
Vous pouvez également supprimer votre compte directement depuis l’application, ce qui entraîne la suppression automatique de vos données dans les conditions prévues au point 5.
7. Réclamation auprès d’une autorité de contrôle
Vous avez le droit d’introduire une réclamation auprès de l’autorité de contrôle compétente :
- Au Luxembourg : Commission nationale pour la protection des données (CNPD), 15 Boulevard du Jazz, L-4370 Belvaux.
- En France : Commission nationale de l’informatique et des libertés (CNIL), 3 place de Fontenoy, 75007 Paris.
- Dans tout autre État membre, auprès de l’autorité nationale compétente.
8. Mesures de sécurité
- Chiffrement des données en transit (TLS 1.2+) et au repos ;
- Authentification sécurisée, hachage des mots de passe ;
- Contrôles d’accès stricts aux bases de données (Firestore Security Rules, Storage Rules) ;
- Journalisation des accès administrateurs ;
- Revues de sécurité et mises à jour régulières.
9. Décisions automatisées
Le Service utilise des algorithmes de recommandation (sélection de questions, plan de révision). Ces traitements n’ont pas d’effet juridique ni d’incidence significative au sens de l’article 22 du RGPD. Vous pouvez néanmoins demander une intervention humaine ou contester ces recommandations en nous contactant.
10. Mineurs
Le Service est accessible à partir de 16 ans. Entre 16 et 18 ans, l’utilisation suppose l’accord du représentant légal. Aucune donnée n’est volontairement collectée auprès d’enfants de moins de 16 ans. Si vous pensez qu’un mineur de moins de 16 ans a créé un compte, contactez-nous pour en obtenir la suppression.
11. Cookies et traceurs
L’utilisation de cookies et traceurs est détaillée dans notre Politique cookies.
12. Modifications
La présente politique peut être modifiée pour refléter l’évolution du Service ou du cadre légal. Toute modification substantielle vous sera notifiée par email ou via l’application au moins 15 jours avant son entrée en vigueur.