Politique de confidentialité

Cette politique explique comment Mathos Locos traite les données personnelles relatives à ses utilisateurs, y compris lorsqu’un élève utilise un accès pédagogique fourni dans un cadre scolaire, conformément au Règlement (UE) 2016/679 (RGPD) et au droit applicable.

État de la production au 24/03/2026 : les traitements et prestataires décrits ci-dessous reflètent l’environnement de production effectivement exploité à cette date.

1) Responsable du traitement

• P2PIA (SASU)
• Siège social : 8 rue Marguerin, 75014 Paris, France
• Contact : mathoslocos@gmail.com / 06 23 30 47 88

2) Données personnelles traitées

Nous traitons uniquement les données nécessaires au fonctionnement, à la sécurité et, selon le cas, à l’exécution du service ou d’une offre publique payante.

2.1 Données de compte et d’authentification

• identifiant de connexion, qui peut être une adresse email ou un identifiant pédagogique ;
• mot de passe stocké sous forme hachée, jamais en clair ;
• données de profil ou de contexte pédagogique lorsque le service en a besoin.

2.2 Données d’usage

• historique d’activité, progression, résultats, accès à des sujets, ressources et corrections ;
• données techniques nécessaires à l’affichage et au bon fonctionnement du service ;
• données contractuelles liées aux droits d’accès ou aux offres actives sur le compte.

2.3 Accès pédagogiques fournis par un enseignant

Pour certains accès pédagogiques, l’élève peut recevoir des identifiants pédagogiques créés par l’éditeur ou fournis dans le cadre pédagogique. Dans ce cadre, aucun email personnel de l’élève n’est requis.

Les données traitées sont limitées à ce qui est strictement nécessaire à l’authentification, à la sécurité, au fonctionnement du service et au suivi de l’accès pédagogique correspondant.

2.4 Données techniques et de sécurité

Même dans le cadre d’un accès pédagogique, certaines données techniques peuvent être traitées pour le fonctionnement et la sécurité du service, par exemple l’adresse IP, le user-agent, l’horodatage, les identifiants techniques de session et les journaux d’événements.

2.5 IA / traitement automatisé

Certaines fonctionnalités peuvent recourir à des traitements automatisés ou à des outils d’IA pour mettre au propre un exercice, proposer une aide pédagogique ou générer certaines réponses. Les données transmises à cette fin sont limitées à ce qui est nécessaire au fonctionnement de la fonctionnalité concernée.

2.6 Données liées aux paiements publics

Lorsqu’une offre publique payante est souscrite, des données liées au paiement et au contrat peuvent être traitées, notamment l’identifiant client Stripe, l’identifiant de session de paiement ou d’abonnement, l’offre choisie, son statut, son montant et les dates de transaction ou de renouvellement.

3) Finalités et bases légales

• Fournir le service et gérer les accès utilisateur — exécution du contrat ou mesures précontractuelles.
• Gérer un accès pédagogique fourni dans un cadre scolaire — intérêt légitime et/ou exécution du service demandé selon le contexte.
• Traiter un exercice, une copie ou une aide pédagogique automatisée — exécution du contrat.
• Assurer la sécurité du service — intérêt légitime.
• Traiter les paiements, abonnements, achats et preuves contractuelles lorsque des offres publiques sont actives — exécution du contrat et obligation légale.
• Répondre aux demandes de support et exercer ou défendre des droits — intérêt légitime et, le cas échéant, obligation légale.

3.1 Ce que nous ne faisons pas à la date de mise à jour

• Nous ne vendons pas vos données personnelles.
• Nous ne déployons pas de publicité ciblée basée sur un suivi publicitaire.

4) Caractère obligatoire des données

• Obligatoires : les données strictement nécessaires à l’authentification, à la sécurité, à la fourniture de l’accès et, en cas d’offre publique payante, à l’exécution du paiement et du contrat.
• Facultatives : certaines informations de profil ou de contexte pédagogique selon les écrans et fonctionnalités.

Lorsque cela est possible, les accès pédagogiques sont organisés de manière pseudonymisée, avec des identifiants dédiés plutôt qu’un email personnel.

5) Destinataires et sous-traitants

Les données sont accessibles, dans la limite du besoin d’en connaître, aux personnes habilitées chez P2PIA ainsi qu’aux sous-traitants techniques effectivement actifs en production à la date de mise à jour.

• Hébergement applicatif, base de données et cache : Heroku (Salesforce) et services managés associés, y compris la base PostgreSQL et Redis rattachés à l’environnement.
• Stockage de fichiers : Amazon Web Services (AWS), notamment S3.
• OCR : Mathpix, lorsqu’un traitement d’exercice nécessite une extraction de texte ou une conversion technique.
• Traitements IA : OpenAI et xAI, selon les fonctionnalités d’aide ou de correction activées.
• Paiement : Stripe, pour les offres publiques payantes effectivement actives en production.
• Messagerie : Google via Gmail/SMTP, pour certains emails de service, d’assistance ou de support.

À la date de mise à jour, nous ne déclarons aucun traceur publicitaire, aucun outil d’analytics non exempté et aucun outil tiers non déclaré sur le site public.

6) Transferts hors Union Européenne

Certains prestataires techniques utilisés par le service peuvent être situés hors de l’Union européenne ou impliquer des transferts hors EEE, notamment selon les services utilisés chez Salesforce / Heroku, Google, Mathpix, OpenAI, xAI ou Stripe.

Lorsque c’est le cas, nous mettons en œuvre des garanties appropriées et nous privilégions, lorsque cela est possible, des configurations limitant l’exposition des données et des options d’hébergement ou de traitement en Europe.

7) Durées de conservation

Nous conservons les données pour une durée proportionnée aux finalités et au fonctionnement du service.

• Compte et droits d’accès : pendant la durée d’activité du compte, puis suppression ou anonymisation/purge selon le contexte d’usage et les obligations applicables.
• Données d’usage pédagogique : pendant la durée nécessaire au suivi de l’accès, à la continuité du service et à la consultation de l’historique associé, puis suppression ou purge.
• Données contractuelles et de paiement : pendant la durée nécessaire au traitement du contrat et au respect des obligations comptables et probatoires applicables.
• Logs techniques et de sécurité : pendant une durée limitée et proportionnée aux besoins de sécurité, d’investigation et de continuité de service.
• Sauvegardes : selon la rotation technique normale des sauvegardes.

8) Sécurité

• chiffrement en transit (TLS) ;
• mécanismes de protection applicative (sessions, protection anti-CSRF, contrôles d’accès) ;
• accès restreint aux environnements et aux journaux ;
• principe du moindre privilège et journalisation des actions sensibles.

Pour des raisons de sécurité, nous ne détaillons pas publiquement l’ensemble des mesures et configurations internes.

9) Vos droits

Vous disposez des droits prévus par la réglementation applicable, notamment l’accès, la rectification, la suppression, l’opposition, la limitation et, lorsque la loi le permet, la portabilité.

Pour exercer vos droits :

• Email : mathoslocos@gmail.com
• Téléphone : 06 23 30 47 88

Délai de réponse : 1 mois, sauf cas complexes.

Vous pouvez aussi déposer une réclamation auprès de la CNIL.

10) Accès pédagogique – information aux familles

Lorsque le service est utilisé dans un cadre pédagogique avec traitement de données d’élèves, les élèves et leurs responsables peuvent être informés de cet usage selon le contexte d’utilisation.

Dans ce cadre, nous privilégions une logique de minimisation, de pseudonymisation et de nécessité, notamment en évitant l’usage d’un email personnel lorsque des identifiants pédagogiques peuvent être utilisés.

11) Cookies

Mathos Locos utilise des cookies et stockages strictement nécessaires au fonctionnement, à la sécurité et à certaines fonctions techniques expressément demandées. Pour en savoir plus, consultez la page Politique cookies.

12) Modifications

Nous pouvons mettre à jour cette politique afin de refléter les évolutions du service, de la réglementation ou de nos pratiques. La date de mise à jour figure en haut de page.