Politique de Confidentialité

En vigueur au 20 février 2026

Gcompris s'engage à protéger la vie privée de ses utilisateurs. La présente politique de confidentialité décrit comment nous collectons, utilisons, stockons et protégeons vos données personnelles, conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) et à la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

1. Responsable du traitement

Le responsable du traitement des données personnelles collectées sur le site gcompris.fr est :

Gcompris

Email : contact@gcompris.fr

Site : gcompris.fr

2. Données personnelles collectées

Nous collectons uniquement les données strictement nécessaires à la fourniture de nos services :

Données d'identification

Nom, prénom, adresse email, numéro de téléphone, niveau scolaire. Collectées lors de la création de votre compte.

Données de réservation

Cours réservés, dates, horaires, historique de présence. Collectées lors de vos réservations.

Données de paiement

Les données bancaires (numéro de carte, date d'expiration, CVV) sont traitées exclusivement par notre prestataire de paiement Stripe. Gcompris ne stocke aucune donnée bancaire. Nous conservons uniquement la référence de la transaction (identifiant Stripe) et le montant.

Données de connexion et d'authentification

Adresse email, mot de passe (stocké sous forme hachée avec l'algorithme bcrypt, jamais en clair), jeton de session (JWT).

Données d'utilisation (analytics)

Pages visitées, durée de visite, type d'appareil. Ces données sont collectées de manière totalement anonyme via Umami Analytics (cf. section Cookies). Aucune donnée personnelle identifiable n'est collectée par notre outil d'analytics.

Données de contact

Nom, email et message envoyés via le formulaire de contact. Ces données sont utilisées uniquement pour répondre à votre demande.

3. Bases légales du traitement

Conformément à l'article 6 du RGPD, chaque traitement de données repose sur une base légale :

FinalitéBase légale
Gestion des inscriptions et réservationsExécution du contrat (art. 6.1.b)
Traitement des paiementsExécution du contrat (art. 6.1.b)
Communication relative aux coursExécution du contrat (art. 6.1.b)
Réponse aux demandes de contactIntérêt légitime (art. 6.1.f)
Statistiques de visite anonymesIntérêt légitime (art. 6.1.f)
Conservation des factures et preuves de paiementObligation légale (art. 6.1.c)

4. Destinataires des données

Vos données personnelles ne sont jamais vendues, louées ou communiquées à des tiers à des fins commerciales ou publicitaires.

Vos données sont accessibles exclusivement :

  • Aux enseignants de Gcompris, pour les seules informations nécessaires au bon déroulement des cours (nom, prénom, niveau)
  • À l'équipe administrative de Gcompris, pour la gestion des inscriptions et de la relation Client

Nous faisons appel aux sous-traitants techniques suivants, qui traitent vos données dans le cadre strict de leurs prestations et conformément au RGPD :

Sous-traitantRôleLocalisation
StripeTraitement des paiements par carte bancaireUSA (Clauses Contractuelles Types)
VercelHébergement du site webUSA (Clauses Contractuelles Types)
SupabaseBase de données (stockage des comptes et réservations)UE (Francfort, Allemagne)
ResendEnvoi d'emails transactionnels (confirmations, contact)USA (Clauses Contractuelles Types)
UmamiAnalytics anonymes (aucune donnée personnelle collectée)UE (hébergé par Gcompris sur Vercel + Supabase UE)

5. Transferts de données hors Union européenne

Certains de nos sous-traitants (Stripe, Vercel, Resend) sont situés aux États-Unis. Ces transferts sont encadrés par des Clauses Contractuelles Types (CCT) approuvées par la Commission européenne (décision d'exécution 2021/914), qui garantissent un niveau de protection adéquat de vos données personnelles.

La base de données contenant vos informations de compte et de réservation est hébergée au sein de l'Union européenne (Supabase, datacenter de Francfort, Allemagne).

6. Durée de conservation des données

Vos données sont conservées uniquement pendant la durée nécessaire aux finalités pour lesquelles elles ont été collectées :

  • Données de compte : conservées tant que votre compte est actif, puis supprimées dans un délai de 3 ans après votre dernière activité (ou immédiatement sur demande de suppression)
  • Données de réservation et de présence : conservées pendant 3 ans à compter de la dernière prestation
  • Données de paiement (références de transaction) : conservées pendant 5 ans conformément aux obligations comptables et fiscales (article L123-22 du Code de commerce)
  • Données du formulaire de contact : conservées pendant 1 an à compter de la demande
  • Données analytics : anonymes, pas de durée de conservation applicable

7. Cookies et traceurs

Notre site utilise un nombre minimal de cookies :

Cookie de session (essentiel)

Nécessaire au fonctionnement de l'authentification. Ce cookie permet de maintenir votre connexion active. Il est supprimé à la fermeture de votre navigateur ou à l'expiration de la session. Ce cookie est strictement nécessaire et ne requiert pas votre consentement (article 82 de la loi Informatique et Libertés).

Analytics (Umami)

Notre outil d'analytics (Umami) est conçu pour respecter la vie privée. Il :

  • Ne dépose aucun cookie de tracking
  • Ne collecte aucune donnée personnelle identifiable
  • Ne suit pas les utilisateurs entre les sites
  • Fournit uniquement des statistiques agrégées et anonymes

Conformément aux lignes directrices de la CNIL, cet outil étant exempt de cookies et ne collectant aucune donnée personnelle, il ne nécessite pas le consentement préalable de l'utilisateur.

Nous n'utilisons aucun cookie publicitaire, de remarketing ou de tracking tiers. Vous pouvez à tout moment gérer les cookies via les paramètres de votre navigateur.

8. Sécurité des données

Nous mettons en oeuvre des mesures de sécurité techniques et organisationnelles appropriées pour protéger vos données contre tout accès non autorisé, modification, divulgation ou destruction :

  • Chiffrement SSL/TLS pour toutes les communications (HTTPS)
  • Mots de passe hachés avec l'algorithme bcrypt (12 rounds de salage)
  • Authentification par jetons JWT signés
  • En-têtes de sécurité HTTP (HSTS, CSP, X-Frame-Options, X-Content-Type-Options)
  • Protection CSRF (Cross-Site Request Forgery) sur toutes les routes API
  • Limitation du débit des requêtes (rate limiting) sur les routes d'authentification
  • Accès aux données restreint aux seules personnes habilitées
  • Paiements traités par Stripe, certifié PCI-DSS niveau 1

9. Vos droits au titre du RGPD

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

  • Droit d'accès (art. 15) : obtenir la confirmation que vos données sont traitées et en recevoir une copie
  • Droit de rectification (art. 16) : faire corriger vos données inexactes ou incomplètes
  • Droit à l'effacement (art. 17) : demander la suppression de vos données, sous réserve des obligations légales de conservation
  • Droit à la limitation du traitement (art. 18) : obtenir la limitation du traitement dans certains cas (contestation de l'exactitude, traitement illicite, etc.)
  • Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine
  • Droit d'opposition (art. 21) : vous opposer au traitement de vos données fondé sur l'intérêt légitime

Pour exercer ces droits :

Adressez votre demande par email à contact@gcompris.fr en précisant votre nom, prénom et l'objet de votre demande. Nous nous engageons à répondre dans un délai maximum d'un mois à compter de la réception de votre demande. Ce délai peut être prolongé de deux mois en cas de demande complexe, sous réserve de vous en informer.

En cas de difficulté dans l'exercice de vos droits, ou si vous estimez que vos droits ne sont pas respectés, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr/fr/plaintes — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.

10. Notification en cas de violation de données

Conformément à l'article 33 du RGPD, en cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, Gcompris notifiera la CNIL dans un délai de 72 heures. Si la violation est susceptible d'engendrer un risque élevé, les personnes concernées en seront informées dans les meilleurs délais conformément à l'article 34 du RGPD.

11. Modifications de cette politique

Gcompris se réserve le droit de modifier la présente politique de confidentialité à tout moment. Toute modification sera publiée sur cette page avec une date de mise à jour. En cas de modification substantielle affectant le traitement de vos données, nous vous en informerons par email. La poursuite de l'utilisation du site après modification vaut acceptation de la nouvelle politique.

12. Contact

Pour toute question relative à cette politique de confidentialité ou à la protection de vos données personnelles :

Email : contact@gcompris.fr

Site : gcompris.fr

Dernière mise à jour : 20 février 2026