Politique de confidentialité

1. Identité du responsable du traitement

Le service correction-copies (« le Service ») est édité par l'association EBOP Education, association déclarée loi 1901.

• Dénomination : EBOP Education (« Exercices Based On Proofs »)
• Siège social : 7 Chemin du Sinaï, 25720 Beure, France
• SIREN : 913 880 480
• Numéro RNA : W251009933
• Date de création : 4 mai 2022
• Contact général : contact@mathmender.com
• Contact RGPD : contact@mathmender.com

L'association EBOP Education agit en qualité de responsable de traitement au sens du RGPD pour les données de ses utilisateurs enseignants. Pour les données concernant les élèves qui rendent leurs copies, elle agit en qualité de sous-traitant de l'enseignant utilisateur, ce dernier demeurant responsable de traitement vis-à-vis de ses élèves.

2. Données collectées et finalités

Comptes enseignants : email, nom d'affichage, mot de passe haché, solde et historique de facturation, journaux d'audit (IP, horodatages).

Données pédagogiques : classes, registres d'élèves (prénom, nom, email), copies, corrections, métadonnées.

Les copies des élèves sont réputées anonymisées en amont : la consigne transmise par l'enseignant interdit l'inscription de nom, prénom, numéro étudiant ou en-tête nominatif sur les feuilles. L'identification se fait par l'adresse email expéditrice, qui n'est pas transmise aux modèles d'IA.

3. Destinataires et sous-traitants

Les données sont transmises aux sous-traitants suivants, strictement pour les besoins du Service. Un Data Processing Agreement (DPA) est signé avec chacun.

• OpenAI, Inc. (États-Unis) — OCR et évaluation des copies
• Mistral AI SAS (France) — OCR et évaluation des copies
• Google LLC (Gemini API paid tier, États-Unis / UE selon région) — OCR des copies
• Stripe, Inc. (États-Unis) — paiement et facturation
• Google LLC (Gmail / SMTP, États-Unis) — envoi du livret corrigé aux élèves

Transferts hors UE : les transferts vers les États-Unis sont encadrés par les Clauses Contractuelles Types de la Commission européenne. Le paramétrage du Service garantit que les données ne sont pas utilisées pour l'entraînement des modèles (OpenAI : opt-out par défaut depuis 2023 ; Mistral : opt-out par défaut, rétention 30 jours ; Gemini : paid tier, projet Google Cloud avec billing actif).

4. Durée de conservation

• Compte enseignant : tant que le compte est actif
• Données financières : 10 ans (obligation comptable)
• Données pédagogiques : tant que le compte enseignant est actif, suppression possible à tout moment
• Journaux d'audit : 1 an glissant

5. Droits des personnes concernées

Conformément aux articles 15 à 22 du RGPD : droits d'accès, de rectification, d'effacement, de portabilité, d'opposition. Pour exercer ces droits : contact@mathmender.com. Une réponse est apportée dans un délai d'un mois.

Tout utilisateur peut introduire une réclamation auprès de la CNIL (www.cnil.fr).

6. Mesures de sécurité

• Authentification par mot de passe haché (algorithme à fort coût computationnel)
• Stockage chiffré au repos pour les mappings d'identification des élèves
• Pseudonymisation au niveau du système de fichiers
• Communication chiffrée HTTPS
• Hébergement : Hetzner Cloud, datacenter Union européenne (Helsinki ou Nuremberg/Falkenstein)