RGPD & Protection des données
Règlement Général sur la Protection des Données
🛡️ Nos engagements RGPD
IA Souveraine
Mistral AI — traitement 100% en France
Chiffrement total
AES-256 au repos, TLS 1.3 en transit
Privacy by design
RLS, minimisation des données, pseudonymisation
1. Cadre juridique
SKOOL IA est conforme au Règlement (UE) 2016/679 (RGPD) et à la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. En tant que plateforme traitant des données de mineurs potentiels (16-18 ans), nous appliquons des mesures de protection renforcées conformément à l'article 8 du RGPD.
2. Délégué à la Protection des Données (DPO)
DPO — Association KESK'IA
Email : dpo@skool-ai.fr
Le DPO est votre point de contact pour toute question relative à vos données personnelles. Délai de réponse : 30 jours maximum (conformément à l'article 12 du RGPD).
3. Registre des traitements
| Traitement | Base légale | Durée |
|---|---|---|
| Création de compte | Exécution du contrat | Durée du compte + 12 mois |
| Suggestions IA personnalisées | Consentement | Durée du consentement |
| Géolocalisation | Consentement | Session uniquement |
| Partage SKOOL+ (structures) | Consentement | Jusqu'à révocation |
| Messages mentorat | Exécution du contrat | 24 mois puis anonymisation |
| Suivi parental | Consentement (double) | Jusqu'à révocation |
| Logs techniques | Intérêt légitime | 90 jours |
4. Sous-traitants
Supabase Inc.
Base de données, Auth, Storage — Région EU (Frankfurt)
Vercel Inc.
Hébergement application, Edge — Edge EU
Mistral AI
IA générative (suggestions) — 🇫🇷 France
Google (OAuth)
Authentification — EU Data Center
5. Transferts hors UE
Certains de nos sous-traitants (Supabase, Vercel) sont des sociétés américaines. Les transferts de données sont encadrés par le EU-U.S. Data Privacy Framework et des clauses contractuelles types (CCT) approuvées par la Commission européenne. Les données de l'IA (Mistral AI) sont traitées exclusivement en France.
6. Mesures techniques et organisationnelles
Row Level Security
Chaque utilisateur ne peut voir que ses propres données dans la base
Chiffrement AES-256
Toutes les données sont chiffrées au repos dans Supabase
TLS 1.3
Communications chiffrées entre le navigateur et nos serveurs
OAuth 2.0
Pas de stockage de mot de passe — authentification déléguée à Google
Audit Logs
Journalisation des accès aux données sensibles par les structures
Minimisation
Seules les données nécessaires sont collectées à chaque étape
7. Protection des mineurs
⚠️ Pour les utilisateurs de moins de 16 ans, le consentement parental est requis conformément à l'article 8 du RGPD. Pour les 16-18 ans, le consentement de l'utilisateur est suffisant pour les traitements de base. Le partage avec des tiers (structures, mentors) requiert un consentement explicite supplémentaire.
8. Exercer vos droits
Vous pouvez exercer vos droits directement depuis la Plateforme (Paramètres → Vie privée) ou en contactant notre DPO :
En cas de réponse insatisfaisante, vous pouvez saisir la CNIL
9. Notification des violations
Conformément aux articles 33 et 34 du RGPD, en cas de violation de données personnelles susceptible d'engendrer un risque élevé, KESK'IA s'engage à notifier la CNIL dans les 72 heures et à informer les personnes concernées dans les meilleurs délais.
Dernière mise à jour : 1er mars 2026