Politique de confidentialité
Dernière mise à jour : 29 avril 2026
1. Préambule
Kutsum est conçu pour fonctionner avec un minimum de données personnelles. En particulier, les élèves peuvent utiliser le service sans créer de compte, en saisissant un prénom (potentiellement fictif) et en choisissant un avatar.
2. Responsable de traitement
Données enseignants (email, contenu créé) : Alexis Flesch est responsable de traitement.
Données collectées dans le cadre scolaire : lorsqu'un enseignant utilise Kutsum dans le cadre de sa mission de service public, l'établissement scolaire employeur est responsable de traitement, et Kutsum agit en qualité de sous-traitant au sens de l'article 28 du RGPD.
Pour les futurs déploiements en instance dédiée pour établissement, un accord de sous-traitance (DPA) spécifique est conclu.
3. Données collectées
3.1 Enseignants inscrits
- Adresse email (à l'inscription, pour authentification et envoi d'emails transactionnels)
- Mot de passe (stocké sous forme hachée)
- Questions, activités et statistiques d'usage liées au compte
Base légale : exécution du contrat (CGU acceptées à l'inscription).
3.2 Élèves jouant sans compte
- Prénom libre (saisi par l'élève, peut être fictif, non vérifié)
- Avatar choisi
- Réponses aux questions pendant la session
- Identifiant technique de session (cookie de session)
Base légale : intérêt légitime de l'enseignant à organiser une activité pédagogique, ou exécution d'une mission de service public d'enseignement.
Position sur les mineurs : Kutsum est conçu pour ne collecter aucune donnée nominative permettant d'identifier un élève dans la vie réelle. Le prénom saisi peut être fictif et n'est associé à aucun identifiant externe.
3.3 Élèves ayant créé un compte (optionnel)
- Adresse email
- Mot de passe haché
- Historique des réponses
Base légale : exécution du contrat.
4. Finalités du traitement
- Authentification et fonctionnement du service
- Affichage des quiz, calcul des scores, génération de classements
- Génération de feedback pédagogique personnalisé
- Envoi d'emails transactionnels (validation de compte, réinitialisation de mot de passe)
- Production de statistiques d'usage agrégées et anonymisées
5. Cookies et stockage local
Kutsum utilise uniquement :
- Un cookie de session strictement nécessaire à l'authentification
- Le stockage local du navigateur (localStorage) pour les préférences d'interface (thème, disposition)
Aucun cookie de suivi publicitaire ou analytique n'est utilisé. Aucune donnée n'est transmise à un service tiers de mesure d'audience.
6. Sous-traitants
| Sous-traitant | Finalité | Localisation | Données concernées |
|---|---|---|---|
| OVH SAS | Hébergement des serveurs et de la base de données | France | Toutes |
| Brevo (ex-Sendinblue) | Envoi d'emails transactionnels | France / UE | Adresse email enseignants |
| Sentry (région UE) | Monitoring technique des erreurs applicatives | UE (Frankfurt) | Identifiants techniques, potentiellement adresse email dans les rapports |
Aucun transfert de données hors Union européenne n'est effectué.
7. Durée de conservation
| Donnée | Durée |
|---|---|
| Compte enseignant et contenu associé | Tant que le compte est actif (suppression possible depuis le profil) |
| Compte élève (si créé) | Idem |
| Données de session élève sans compte | 7 jours après la fin de la session |
| Sessions de jeu en cours (cache Redis) | Durée de la session (TTL court) |
| Logs d'accès serveur | 1 mois (selon configuration nginx/OVH) |
| Sauvegardes de la base de données | 30 jours |
8. Vos droits
Conformément au RGPD, vous disposez des droits d'accès, rectification, effacement, limitation, opposition et portabilité. Pour exercer ces droits : alexis.flesch@gmail.com
Une réponse vous sera apportée dans un délai maximal d'un mois. Vous pouvez également introduire une réclamation auprès de la CNIL : https://www.cnil.fr
9. Sécurité
Les données sont hébergées en France sur un serveur dédié OVH. Les mots de passe sont stockés sous forme hachée et les communications sont chiffrées en HTTPS. Une sauvegarde quotidienne de la base de données est effectuée.
10. Notification de violation de données
En cas de violation de données susceptible d'entraîner un risque pour vos droits et libertés, vous serez informé dans les conditions prévues par l'article 34 du RGPD. La CNIL sera notifiée dans les 72 heures conformément à l'article 33.
11. Statistiques publiées
Des statistiques d'usage agrégées et anonymisées (nombre d'inscrits, nombre de questions répondues, etc.) peuvent être publiées sans données personnelles identifiables.
12. Modifications
La présente politique peut être modifiée. Les modifications substantielles seront notifiées aux utilisateurs inscrits par email.