POLITIQUE DE CONFIDENTIALITÉ ET DE PROTECTION DES DONNÉES

Application Ernest-app — Coach BTS

Dernière mise à jour : 28 janvier 2026

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

PRÉAMBULE

Kylian Duprat, entrepreneur individuel (ci-après « Ernest-app », « nous » ou « notre »), respecte l'ensemble des dispositions applicables en matière de protection de la vie privée et des données à caractère personnel, notamment :

• La loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (Loi Informatique et Libertés) • Le Règlement UE 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD)

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

La présente politique de confidentialité (ci-après la « Politique ») a vocation à définir nos engagements en matière de protection des données personnelles envers toute personne utilisant l'application Ernest-app.

Elle précise notamment : • Les conditions de collecte, d'utilisation et de conservation des données personnelles • Les droits dont vous disposez concernant vos données • Les mesures de sécurité mises en œuvre

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

Identité : Kylian Duprat, Entrepreneur individuel

Contact : • Email : contact@ernest-app.fr • Adresse : 6 impasse Saint Michel, 64200 Biarritz, France

Site web : https://www.ernest-app.fr

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

3.1 Données d'identification et de compte

• Adresse email Finalité : Création de compte, authentification, communications de service Base légale : Art. 6.1.b RGPD – Exécution du contrat Durée : Durée du compte + 3 ans

• Mot de passe (hashé) Finalité : Sécurisation de l'accès au compte Base légale : Art. 6.1.b RGPD – Exécution du contrat Durée : Durée du compte

• Prénom (optionnel) Finalité : Personnalisation de l'expérience utilisateur Base légale : Art. 6.1.a RGPD – Consentement Durée : Durée du compte

• Diplôme préparé (BTS MCO, NDRC, GPME, etc.) Finalité : Adaptation du contenu pédagogique Base légale : Art. 6.1.b RGPD – Exécution du contrat Durée : Durée du compte

• Matières sélectionnées Finalité : Personnalisation des bases de connaissances IA Base légale : Art. 6.1.b RGPD – Exécution du contrat Durée : Durée du compte

3.2 Données générées par l'utilisation du service

• Messages envoyés au Coach IA Finalité : Fourniture du service de coaching personnalisé Base légale : Art. 6.1.b RGPD – Exécution du contrat Durée : Durée du compte

• Documents uploadés (photos de cours) Finalité : Analyse IA pour génération de fiches et quiz Base légale : Art. 6.1.b RGPD – Exécution du contrat Durée : Durée du compte

• Fiches de révision, quiz et flashcards générés Finalité : Stockage du contenu pédagogique créé Base légale : Art. 6.1.b RGPD – Exécution du contrat Durée : Durée du compte

• Statistiques de progression (XP, streak) Finalité : Gamification et suivi d'apprentissage Base légale : Art. 6.1.b RGPD – Exécution du contrat Durée : Durée du compte

3.3 Données techniques collectées automatiquement

• Identifiant unique de session Finalité : Fonctionnement technique Base légale : Art. 6.1.f RGPD – Intérêt légitime Durée : Durée de la session

• Type d'appareil et système d'exploitation Finalité : Optimisation et compatibilité Base légale : Art. 6.1.f RGPD – Intérêt légitime Durée : 12 mois

• Logs d'erreurs Finalité : Maintenance et débogage Base légale : Art. 6.1.f RGPD – Intérêt légitime Durée : 12 mois

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

4.1 Fonctionnement du Coach IA Ernest

Ernest-app intègre un assistant pédagogique basé sur l'intelligence artificielle (« Coach IA ») spécialisé dans l'accompagnement des étudiants en BTS. Le Coach IA utilise des bases de connaissances construites à partir des référentiels officiels de l'Éducation Nationale.

4.2 Traitement des données par l'IA

Lorsque vous interagissez avec le Coach IA :

Données transmises au service IA : • Vos questions et messages textuels • Les documents que vous uploadez (photos de cours, exercices) • Le contexte de votre diplôme et matières sélectionnées

Pseudonymisation des contenus pédagogiques : Les identifiants directs (email, identifiant de compte) ne sont pas transmis au moteur d'IA. Seul un identifiant de session anonyme est utilisé pour maintenir le contexte de la conversation.

Garanties du service IA : • Le traitement est effectué via l'infrastructure Dify, hébergée dans l'Union Européenne • Vos données ne sont pas utilisées pour entraîner ou améliorer les modèles d'IA • Les données de conversation sont supprimées des serveurs IA après traitement • Seules les réponses générées sont conservées dans votre compte Ernest-app

4.3 Propriété du contenu généré

Le contenu généré par l'IA (fiches de révision, quiz, flashcards, réponses du coach) est stocké dans votre compte personnel. Ce contenu vous appartient et n'est accessible que par vous.

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

5.1 Principe : pas de vente de données

Nous ne vendons, ne louons et n'échangeons jamais vos données personnelles à des fins commerciales ou publicitaires.

5.2 Sous-traitants techniques

Nous faisons appel aux prestataires suivants pour le fonctionnement de l'Application :

• Supabase Inc. Rôle : Hébergement, base de données, authentification Localisation : UE (AWS eu-central-1, Francfort) Garanties : CCT, SOC 2 Type II, chiffrement AES-256

• Dify Rôle : Infrastructure IA pour le Coach Ernest Localisation : UE Garanties : Contrat de sous-traitance Art. 28 RGPD

• RevenueCat Inc. Rôle : Gestion des abonnements in-app Localisation : États-Unis Garanties : CCT (Clauses Contractuelles Types)

• Apple Inc. Rôle : Distribution App Store, paiements iOS Localisation : États-Unis Garanties : CCT, Data Privacy Framework

• Google LLC Rôle : Distribution Play Store, paiements Android Localisation : États-Unis Garanties : CCT, Data Privacy Framework

• Expo (Infinite Red) Rôle : Infrastructure technique mobile Localisation : États-Unis Garanties : CCT

5.3 Données de paiement

Les paiements sont gérés exclusivement par Apple (App Store) et Google (Play Store) via leurs systèmes d'achat in-app. Ernest-app ne collecte ni ne stocke aucune donnée bancaire ou de carte de crédit.

Données transmises aux plateformes de paiement : • Identifiant Apple ID ou Google Play • Montant de la transaction • Références de l'abonnement

Durée de conservation par les plateformes : 10 ans (obligations comptables et fiscales).

5.4 Obligations légales

Nous pouvons être amenés à communiquer vos données si la loi française ou européenne l'exige, ou en réponse à une demande valide d'une autorité judiciaire ou administrative compétente.

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

Certains de nos sous-traitants sont situés aux États-Unis. Ces transferts sont encadrés par :

• Les Clauses Contractuelles Types (CCT/SCCs) approuvées par la Commission Européenne (Décision d'exécution 2021/914) • Le Data Privacy Framework UE-États-Unis pour les entreprises certifiées • Des mesures techniques supplémentaires : chiffrement de bout en bout, pseudonymisation

Conformément aux recommandations du Comité Européen de la Protection des Données (CEPD), nous évaluons régulièrement le niveau de protection offert par nos sous-traitants.

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées conformément à l'article 32 du RGPD :

7.1 Chiffrement • Données en transit : protocole TLS 1.2 ou version ultérieure pour toutes les communications • Données au repos : chiffrement AES-256 sur l'infrastructure Supabase • Mots de passe : hachage bcrypt avec salage unique

7.2 Contrôle des accès • Authentification sécurisée par tokens JWT avec expiration • Politique de moindre privilège pour l'accès aux données • Journalisation des accès administratifs

7.3 Sauvegardes et disponibilité • Sauvegardes automatiques quotidiennes • Réplication des données dans l'Union Européenne • Plan de continuité d'activité

7.4 Notification des violations En cas de violation de données présentant un risque pour vos droits et libertés, nous nous engageons à : • Notifier la CNIL dans les 72 heures • Vous informer dans les meilleurs délais si le risque est élevé • Prendre toutes les mesures correctives nécessaires

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

8.1 Droit d'accès (Art. 15) Vous pouvez obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie.

8.2 Droit de rectification (Art. 16) Vous pouvez corriger vos données personnelles directement dans l'application (section Profil) ou nous contacter.

8.3 Droit à l'effacement (Art. 17) Vous pouvez supprimer votre compte et l'intégralité de vos données à tout moment : • Dans l'application : Profil → Supprimer mon compte • Par email : contact@ernest-app.fr

La suppression est définitive et irréversible. Sont supprimées : • Vos informations de compte • Toutes vos conversations avec le Coach IA • Vos fiches, quiz et flashcards • Vos statistiques et historique de progression • Vos documents uploadés

8.4 Droit à la portabilité (Art. 20) Vous pouvez demander à recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON ou CSV).

8.5 Droit d'opposition (Art. 21) Vous pouvez vous opposer au traitement de vos données pour des motifs légitimes, sauf lorsque le traitement est nécessaire à l'exécution du contrat.

8.6 Droit à la limitation (Art. 18) Vous pouvez demander la limitation du traitement dans les cas prévus par le RGPD.

8.7 Exercice de vos droits

Pour exercer vos droits : • Email : contact@ernest-app.fr • Objet : « Exercice de droits RGPD »

Nous répondons dans un délai de 30 jours maximum. Une vérification d'identité pourra être demandée.

8.8 Réclamation auprès de la CNIL

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés :

CNIL 3 Place de Fontenoy TSA 80715 75334 Paris Cedex 07 https://www.cnil.fr/fr/plaintes

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

9.1 Public cible Ernest-app est destiné aux étudiants en BTS, généralement âgés de 18 ans et plus.

9.2 Utilisateurs mineurs (16-17 ans) Si vous êtes mineur de 16 à 17 ans : • Vous pouvez créer un compte et utiliser l'application • Nous recommandons d'informer vos parents ou tuteurs légaux • Les parents peuvent exercer les droits RGPD au titre de l'autorité parentale

9.3 Utilisateurs de moins de 16 ans Conformément à l'article 8 du RGPD et à l'article 45 de la Loi Informatique et Libertés, les mineurs de moins de 16 ans ne peuvent pas créer de compte sans le consentement de leurs parents ou tuteurs légaux.

Si nous apprenons qu'un utilisateur de moins de 16 ans a créé un compte sans autorisation parentale, nous prendrons les mesures nécessaires pour supprimer ce compte et les données associées.

9.4 Retrait du consentement parental Le parent ou tuteur peut retirer son autorisation à tout moment en nous contactant à contact@ernest-app.fr.

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

10.1 Application mobile L'application mobile Ernest-app n'utilise pas de cookies. Nous utilisons le stockage local sécurisé de l'appareil (AsyncStorage / SecureStore) pour : • Maintenir votre session de connexion • Stocker vos préférences (thème, notifications) • Améliorer les performances (mise en cache)

Ces données restent sur votre appareil et ne sont pas transmises à des tiers.

10.2 Site web Le site web ernest-app.fr peut utiliser des cookies strictement nécessaires au fonctionnement. Aucun cookie publicitaire ou de tracking n'est utilisé.

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

Nous pouvons mettre à jour cette Politique pour refléter des évolutions de nos pratiques, des exigences légales ou réglementaires.

En cas de modification substantielle : • Nous vous informerons par notification dans l'application • Nous mettrons à jour la date de « Dernière mise à jour » • Les modifications prendront effet 30 jours après notification

Votre utilisation continue de l'application après ce délai vaut acceptation des modifications.

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

12.1 Apple App Store — App Privacy

Données utilisées pour vous suivre : Aucune

Données liées à votre identité : • Coordonnées : Adresse email • Contenu utilisateur : Photos de cours, messages au Coach IA • Identifiants : Identifiant utilisateur

Données non liées à votre identité : • Données d'utilisation : Interactions avec l'app • Diagnostic : Données de performance et logs d'erreurs

Finalités : • Fonctionnalité de l'app • Analyse de produit (anonymisée)

12.2 Google Play Store — Déclaration Data Safety

Collecte de données : • L'application collecte des données • Les données sont chiffrées en transit • Vous pouvez demander la suppression de vos données

Types de données collectées : • Informations personnelles : Email, nom (optionnel) • Messages et fichiers : Conversations IA, documents uploadés • Activité dans l'app : Historique d'utilisation

Partage de données : • Les données ne sont pas partagées avec des tiers à des fins publicitaires • Les données ne sont pas vendues

Suppression des données : • Les utilisateurs peuvent supprimer leur compte directement dans l'application • URL de suppression : https://www.ernest-app.fr/confidentialite

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

Pour toute question concernant cette Politique de Confidentialité ou le traitement de vos données personnelles :

Email : contact@ernest-app.fr Objet suggéré : Question Privacy Policy

Adresse postale : Kylian Duprat Ernest-app 6 impasse Saint Michel 64200 Biarritz France

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

Cette Politique de Confidentialité est rédigée en langue française et soumise au droit français. En cas de litige relatif à l'interprétation ou l'exécution de la présente Politique, les tribunaux français seront seuls compétents.

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

Ernest-app — L'IA qui t'accompagne vers la réussite en BTS.