Politique de confidentialité

1.1 Informations collectées automatiquement

Géolocalisation (au niveau du pays uniquement)
Lorsque vous visitez le Service, nous détectons votre pays approximatif à l'aide de votre adresse IP (via notre hébergeur, Vercel). Nous stockons le code pays détecté dans un témoin de connexion (cookie) de votre navigateur (flip-country) afin d'afficher le programme scolaire correspondant à votre région et d'appliquer une tarification adaptée au pouvoir d'achat local. Nous ne stockons pas votre adresse IP, votre ville ou votre position précise.

Journaux du serveur (Logs)
Notre hébergeur (Vercel) collecte automatiquement des données de journaux de serveur standard, incluant les adresses IP, le type de navigateur, les URL de référence, les pages visitées et l'horodatage. Ces journaux sont conservés par Vercel conformément à sa politique de confidentialité et sont utilisés pour la sécurité de l'infrastructure et la surveillance des performances.

Identifiants de limitation de débit (Rate-Limit)
Pour prévenir les abus et garantir un usage équitable, nous utilisons Upstash Redis pour stocker des adresses IP hachées et (pour les utilisateurs authentifiés) des identifiants d'utilisateur. Ces identifiants sont utilisés exclusivement pour la limitation du débit et ne sont pas liés à votre activité de navigation ou à des profils personnels.

Suivi anonyme de génération
Nous attribuons un identifiant anonyme aléatoire (stocké dans le cookie flip-anon-id) pour suivre le nombre de missions générées avant la création d'un compte. Cet identifiant ne contient aucune information personnelle et sert uniquement à appliquer les limites de génération anonyme (2 missions autorisées avant l'inscription obligatoire).

1.2 Informations que vous fournissez

Données de génération de Mission
Lorsque vous générez une Mission, vous fournissez une sélection de sujet du programme, une méthodologie d'apprentissage actif, la taille de la classe (nombre d'élèves) et le temps de cours disponible (en minutes). Ces informations sont utilisées exclusivement pour générer votre Mission et ne sont liées à aucune identité personnelle.

Informations de compte
Lorsque vous créez un compte, nous collectons votre nom, votre adresse courriel, le nom de votre école ou établissement (facultatif) et l'URL de votre avatar. L'authentification est gérée par lien magique (email magic link) ou via l'authentification unique Google (SSO) par l'intermédiaire de Supabase Auth. Lors de l'inscription, vous pouvez choisir de recevoir des communications marketing via une case à cocher explicite (décochée par défaut pour l'UE/EEE/UK et le Brésil).

Informations de paiement
Le traitement des paiements est géré par Stripe. Nous stockons votre identifiant client Stripe et le statut de votre abonnement, mais nous ne stockons pas votre numéro de carte de crédit complet, vos coordonnées bancaires ou d'autres identifiants de paiement sensibles sur nos serveurs. Le traitement de vos données de paiement par Stripe est régi par sa propre politique de confidentialité.

Communications
Si vous nous contactez à legal@flipeducation.ai ou par tout autre canal, nous pouvons collecter votre nom, votre adresse courriel et le contenu de votre message.

Courriels et marketing
Nous collectons votre adresse courriel lors de l'inscription pour les communications transactionnelles (vérification de compte, reçus de facturation, avis d'échec de paiement). Avec votre consentement, nous envoyons également des courriels marketing incluant des focus sur les méthodologies, des mises à jour de produits et du contenu pédagogique. Vous pouvez vous désabonner des courriels marketing à tout moment via un lien de désinscription en un clic.

1.3 Informations stockées sur votre appareil et dans le cloud

Pour les utilisateurs anonymes (non authentifiés), les Missions générées sont stockées dans le stockage local (local storage) de votre navigateur. Ces données restent sur votre appareil et ne sont pas transmises à nos serveurs.

Pour les utilisateurs authentifiés, les Missions sont stockées à la fois localement dans votre navigateur et dans notre base de données cloud (Supabase). Le stockage cloud permet l'accès multi-appareils et la persistance des données au-delà du stockage local. Vous pouvez supprimer individuellement des Missions de votre compte à tout moment.

Vous pouvez effacer les données stockées localement à tout moment en vidant le stockage local de votre navigateur.

Nous utilisons les informations collectées pour :

• Fournir le Service : générer des Missions basées sur votre programme, votre méthodologie et les paramètres de votre classe.
• Gérer votre compte : authentifier votre identité, maintenir votre abonnement et synchroniser vos Missions entre vos appareils.
• Traiter les paiements : gérer la facturation, les abonnements et la tarification adaptée au pouvoir d'achat via Stripe.
• Améliorer le Service : analyser les modèles d'utilisation agrégés et anonymisés pour améliorer nos modèles d'IA, étendre la couverture des programmes et développer de nouvelles fonctionnalités.
• Communiquer avec vous : répondre à vos demandes, envoyer des courriels transactionnels (liens magiques, reçus, avis d'échec de paiement, confirmations de suppression de compte) et (avec votre consentement) envoyer des courriels marketing.
• Assurer la sécurité : détecter et prévenir la fraude, les abus et les problèmes techniques via la limitation de débit et la protection contre les robots.
• Respecter les obligations légales : répondre aux exigences légales, réglementaires et contractuelles applicables.

Nous n'utilisons pas vos informations pour :

• Vendre vos données personnelles à des tiers.
• Diffuser de la publicité ou autoriser la publicité de tiers sur le Service.
• Créer des profils comportementaux individuels à des fins de marketing.
• Prendre des décisions automatisées produisant des effets juridiques vous concernant.

3.1 Comment l'IA est utilisée

Le cœur de notre Service utilise l'intelligence artificielle (spécifiquement le modèle de langage Gemini de Google, via l'API OpenRouter) pour générer le contenu des Missions. Lorsque vous générez une Mission, les informations non personnelles suivantes sont envoyées au modèle d'IA :

• Titre du sujet du programme, description, questions clés et codes d'alignement aux standards
• Nom de la méthodologie d'apprentissage actif, description et paramètres
• Taille de la classe, niveau scolaire, temps disponible et contexte du pays

3.2 Ce qui n'est pas envoyé à l'IA

Nous n'envoyons aucun des éléments suivants aux fournisseurs d'IA : votre nom, votre adresse courriel ou tout identifiant personnel ; les noms des élèves ou toute donnée relative aux élèves ; le nom de l'école ou les détails de l'établissement ; votre adresse IP ou les informations de votre appareil.

3.3 Images, médias et contenus multimodaux générés par l'IA

Le Service peut générer des images pédagogiques, des illustrations, des schémas et d'autres contenus visuels ou multimédias à l'aide de modèles de génération par IA (actuellement via l'API OpenRouter). Seule une consigne textuelle (prompt) décrivant le contenu éducatif souhaité est envoyée au modèle. Aucune donnée personnelle (noms, visages, informations sur les élèves ou détails institutionnels) n'est incluse dans les requêtes de génération de médias.

Les médias générés par l'IA peuvent être temporairement mis en cache ou enregistrés par le fournisseur d'IA conformément à ses conditions de traitement des données. La Flip Education ne stocke pas de manière persistante les médias générés par l'IA sur ses propres serveurs ; le contenu généré est livré à votre navigateur et stocké localement sur votre appareil ou dans votre compte cloud (voir Section 1.3).

À mesure que nous introduisons de nouvelles capacités d'IA (audio, vidéo, contenu interactif), les mêmes principes de minimisation des données s'appliquent : nous n'envoyons que le minimum d'informations non personnelles nécessaires, et aucune donnée personnelle n'est incluse, quel que soit le type de contenu ou le modèle d'IA utilisé.

3.4 Fournisseurs d'IA tiers

Notre traitement par IA est effectué par des fournisseurs tiers. Les données envoyées à ces fournisseurs sont soumises à leurs propres politiques de confidentialité. Nous sélectionnons des fournisseurs d'IA qui s'engagent à ne pas entraîner leurs modèles sur les entrées de notre API. Cependant, nous vous encourageons à consulter directement les politiques de confidentialité de ces fournisseurs.

Nous pouvons changer, ajouter ou remplacer des fournisseurs d'IA au fil de l'évolution technologique. Dans ce cas, nous appliquons les mêmes critères de sélection : les fournisseurs doivent interdire l'entraînement sur nos données API, supporter le chiffrement en transit et respecter les normes de protection des données. Nous mettrons à jour le tableau des prestataires à la Section 5.1 pour refléter tout changement majeur.

3.5 Sécurité du contenu et gouvernance de l'IA

Nous mettons en œuvre des mesures de sécurité raisonnables pour tous les contenus générés par l'IA, incluant des garde-fous au niveau des prompts, du filtrage de contenu et des critères de sélection des modèles. Ces mesures visent à réduire (sans pouvoir l'éliminer totalement) le risque de contenu biaisé, stéréotypé ou inapproprié.

Nous maintenons un processus interne de gouvernance de l'IA pour évaluer les nouveaux modèles avant leur déploiement, examiner les rapports de sécurité soumis par les utilisateurs (voir nos Conditions d'utilisation, Section 6.5) et mettre à jour nos mesures de sécurité.

Si vous rencontrez un contenu généré par l'IA que vous jugez inapproprié ou biaisé, veuillez le signaler à feedback@flipeducation.ai.

4.1 Cookies que nous utilisons

4.2 Cookies tiers

Lorsque vous consentez aux cookies analytiques (ou dans les pays où le consentement n'est pas requis par la loi), les cookies tiers suivants peuvent être déposés :

• Google Analytics 4 (_ga, _ga_*) : Utilisé pour les statistiques web agrégées. Déployé via Google Tag Manager avec l'intégration de Google Consent Mode v2.
• PostHog : Utilisé pour l'analyse produit et la relecture de session (session replay). Les données PostHog sont hébergées dans l'UE. Les champs de saisie des formulaires sont automatiquement masqués dans les enregistrements.

Ces deux services d'analyse sont soumis à consentement préalable dans les pays relevant du RGPD et de la LGPD. Aucun cookie analytique n'est déposé avant votre accord explicite.

4.3 Consentement aux cookies

Nous utilisons un modèle de consentement à trois zones :

• Cookies essentiels : Toujours actifs. Requis pour le fonctionnement du Service (authentification, détection du pays, stockage du consentement).
• Cookies fonctionnels : Supportent des fonctionnalités comme le suivi anonyme des générations. Non utilisés pour la publicité.
• Cookies analytiques : Soumis à consentement. Uniquement déposés après acceptation via la bannière de consentement.

Une bannière de consentement est affichée aux visiteurs des pays exigeant un consentement (RGPD : FR, BE, CH, CA, etc. ; LGPD : BR). Vous pouvez accepter ou refuser les cookies analytiques. Dans les pays sans exigence spécifique, les analyses fonctionnent avec une collecte de données anonymisées et agrégées.

Nous intégrons Google Consent Mode v2, ce qui signifie que les balises Google respectent automatiquement vos choix de consentement.

4.4 Vos choix concernant les cookies

Vous pouvez gérer vos préférences via la bannière de consentement ou via les paramètres de votre navigateur. Notez que la désactivation des cookies essentiels peut empêcher le bon fonctionnement du Service.

Nous ne vendons, ne louons et n'échangeons pas vos informations personnelles. Nous pouvons partager des informations dans les circonstances limitées suivantes :

5.1 Prestataires de services

5.2 Exigences légales

Nous pouvons divulguer vos informations si la loi, une ordonnance d'un tribunal ou une réglementation gouvernementale l'exige, ou si nous croyons de bonne foi que cela est nécessaire pour : (a) se conformer à une obligation légale ; (b) protéger nos droits ou notre propriété ; (c) prévenir la fraude ; ou (d) protéger la sécurité des utilisateurs ou du public.

5.3 Transferts d'activités

Si la Flip Education est impliquée dans une fusion, une acquisition ou une vente d'actifs, vos informations peuvent être transférées. Nous vous en informerons avant que vos informations ne soient soumises à une politique de confidentialité différente.

Courriels transactionnels

Nous envoyons les courriels transactionnels suivants, nécessaires au fonctionnement de votre compte, qui ne comportent pas d'option de désinscription :

• Courriels de connexion par lien magique
• Reçus de facturation et confirmations de paiement
• Notifications d'échec de paiement
• Confirmations de suppression de compte

Courriels marketing

Avec votre consentement, nous envoyons des courriels marketing. Ces courriels :

• Nécessitent votre consentement explicite (case décochée par défaut lors de l'inscription en UE/EEE/UK, Brésil et Canada)
• Incluent un lien de désinscription en un clic dans chaque message
• Peuvent être gérés via les paramètres de votre compte
• Respectent les exigences du RGPD (UE), de la Loi Informatique et Libertés (France), de la LPRPDE/CASL (Canada) et de la LGPD (Brésil)

Données traitées

Dans le cadre de communications de marketing direct auprès de décideurs scolaires, nous traitons les catégories suivantes de données personnelles : nom complet, adresse e-mail professionnelle (domaine institutionnel/scolaire), intitulé de poste ou rôle professionnel, et nom de l’établissement scolaire. Nous ne traitons aucune adresse e-mail personnelle, numéro de téléphone, ni donnée relative aux élèves ou aux enfants.

Source des données

Nous obtenons les coordonnées professionnelles exclusivement à partir d’annuaires officiels et publics de l’éducation nationale :

• France : Annuaire de l’éducation nationale, publié par le Ministère de l’Éducation nationale
• Royaume-Uni : Get Information About Schools (GIAS), publié par le Department for Education
• Italie : Scuola in Chiaro, publié par le Ministero dell’Istruzione (MIUR)
• Pays-Bas : DUO Open Data, publié par le Dienst Uitvoering Onderwijs
• Espagne : Registro Estatal de Centros Docentes no Universitarios, publié par le Ministerio de Educación

Base juridique

Nous traitons ces données sur le fondement de l’article 6(1)(f) du RGPD — intérêts légitimes. Notre intérêt légitime consiste à promouvoir un outil de technologie éducative auprès des professionnels auxquels il est destiné. Nous avons réalisé une analyse de l’intérêt légitime (LIA) confirmant que ce traitement est nécessaire, proportionné et que nos intérêts ne prévalent pas sur les droits et libertés des personnes concernées. Une copie de cette analyse est disponible sur demande à privacy@flipeducation.ai.

Conservation

Nous conservons les données de marketing direct pendant une durée maximale de 3 ans à compter de la dernière interaction. En cas de désinscription ou de demande de suppression, vos données sont retirées immédiatement de l’utilisation active et votre adresse e-mail est ajoutée de manière permanente à notre liste de suppression.

Désinscription

Chaque e-mail marketing inclut un mécanisme de désinscription. Vous pouvez également vous désinscrire à tout moment en contactant privacy@flipeducation.ai. Les demandes de désinscription sont traitées sous 24 heures.

Transferts internationaux

Les e-mails marketing sont envoyés via Instantly.ai, un service de livraison d’e-mails basé aux États-Unis. Ce transfert est encadré par les Clauses Contractuelles Types (CCT) de l’UE. Aucun autre transfert international de données de marketing direct n’a lieu.

• Logs serveur : Conservés par Vercel selon sa propre politique.
• Stockage local du navigateur : Conservé sur votre appareil jusqu'à ce que vous l'effaciez. Nous n'avons aucun accès à ces données.
• Missions stockées dans le cloud : Conservées tant que le compte est actif. Après suppression du compte, les données sont effacées sous 30 jours.
• Données de compte : Conservées tant que le compte est actif. En cas de suppression, les données sont effacées de tous nos systèmes (Supabase, Stripe, PostHog) sous 30 jours, sauf obligation légale. La suppression est consignée dans un registre d'audit interne.
• Sauvegardes (Backups) : Les sauvegardes de base de données peuvent contenir vos données jusqu'à 30 jours après la suppression.
• Cookie de consentement : Stocké pendant 365 jours.
• Cookie pays : Limité à la session (effacé à la fermeture du navigateur).
• Données analytiques : Conservées selon les politiques des prestataires (GA4 : 14 mois ; PostHog : 1 an).

Nous mettons en œuvre des mesures de protection administratives, techniques et physiques pour protéger vos informations, incluant le chiffrement en transit (TLS/HTTPS) pour toutes les données, le chiffrement des appels API vers les fournisseurs d'IA, une infrastructure sécurisée via Vercel, des politiques de sécurité au niveau des lignes (RLS) dans notre base de données Supabase, et un accès restreint aux données personnelles selon le principe du besoin d'en connaître.

Aucune méthode de transmission sur Internet n'est sûre à 100 %. Bien que nous nous efforcions d'utiliser des moyens commercialement acceptables, nous ne pouvons garantir une sécurité absolue.

La Flip Education est basée au Canada. Notre infrastructure (Vercel) peut traiter des données aux États-Unis et dans d'autres pays. Notre prestataire analytique PostHog héberge les données dans l'UE. Nous veillons à ce que des garanties appropriées soient en place, notamment des clauses contractuelles types (le cas échéant sous le RGPD) et des accords de traitement des données.

En utilisant le Service, vous reconnaissez que vos informations peuvent être traitées dans des pays autres que le vôtre, disposant de lois de protection des données différentes.

9.1 Limite d'âge

Le Service est destiné aux enseignants et professionnels de l'éducation âgés de 16 ans et plus. Nous ne collectons pas sciemment d'informations personnelles auprès de personnes de moins de 16 ans.

Si nous apprenons que nous avons collecté des données d'une personne de moins de 16 ans, nous les supprimerons promptement. Contactez-nous à legal@flipeducation.ai si vous soupçonnez une telle collecte.

9.2 Données des élèves

La Flip Education ne collecte, ne stocke et ne traite aucune donnée relative aux élèves.

Notre Service est conçu pour les enseignants. Les élèves n'ont pas de compte et n'interagissent pas avec la plateforme. Les Missions sont conçues pour être animées en classe via des activités physiques, hors écran. Aucune information sur les élèves n'est requise pour générer ou utiliser une Mission.

9.3 Conformité COPPA et FERPA (États-Unis)

Comme nous ne collectons aucune donnée sur les enfants, les obligations de la COPPA ne s'appliquent pas. De même, la Flip Education n'accède pas aux dossiers scolaires au sens de la FERPA. Les enseignants utilisent la Flip Education pour générer du matériel pédagogique de manière indépendante.

Selon votre situation géographique, vous disposez de droits spécifiques concernant vos informations personnelles. Nous respectons ces droits quel que soit votre lieu de résidence.

10.1 Outils de contrôle en libre-service

Nous fournissons les outils suivants pour exercer vos droits :

• Accès et Portabilité : Téléchargez une copie de vos données au format JSON dans les Paramètres du compte.
• Rectification : Modifiez votre profil (nom, école, avatar) directement dans les Paramètres.
• Suppression : Supprimez votre compte de manière permanente via les Paramètres.
• Opposition : Refusez les cookies analytiques via la bannière ou gérez le consentement marketing dans vos Paramètres.

10.2 Droits selon la loi canadienne (LPRPDE)

Si vous résidez au Canada, vous avez le droit d'accéder à vos informations, de demander la correction de données inexactes et de retirer votre consentement (sous réserve de restrictions légales).

10.3 Droits selon le RGPD et la Loi Informatique et Libertés (UE/France)

Si vous êtes dans l'Espace Économique Européen (EEE), vous avez le droit : d'accéder à vos données, de demander leur rectification, leur effacement (“droit à l'oubli”), la limitation du traitement, la portabilité et de vous opposer au traitement.

Notre base juridique est l'intérêt légitime (fournir le Service), l'exécution du contrat et le consentement (marketing/cookies).

Pour exercer vos droits, utilisez les outils du compte ou contactez legal@flipeducation.ai. Nous répondrons sous 30 jours. Vous pouvez également saisir la CNIL (France) ou votre autorité locale.

10.4 Droits selon la loi de Californie (CCPA / CPRA)

Les résidents de Californie ont le droit de connaître les données collectées, de demander leur suppression et de s'opposer à leur vente (nous ne vendons pas de données personnelles).

10.5 Droits selon la loi brésilienne (LGPD)

Les résidents brésiliens disposent de droits de confirmation, d'accès, de correction et d'anonymisation de leurs données. Contactez-nous pour toute demande.

En cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, nous vous en informerons ainsi que l'autorité de contrôle compétente, conformément à la législation applicable :

• RGPD (UE/EEE/UK) : Nous notifierons l'autorité de contrôle compétente (ex: la CNIL en France) dans un délai de 72 heures après avoir pris connaissance de la violation, dans la mesure du possible. Si le risque est élevé, nous vous informerons également sans délai.
• Canada (LPRPDE) : Nous signalerons les atteintes présentant un risque réel de préjudice grave au Commissaire à la protection de la vie privée du Canada et aux personnes concernées.
• LGPD (Brésil) : Notification à l'ANPD et aux personnes concernées dans un délai raisonnable.

Si vous avez connaissance d'une violation réelle ou présumée, contactez-nous immédiatement à legal@flipeducation.ai.

Dans les juridictions exigeant un consentement (RGPD/LGPD), les analyses ne s'activent pas sans votre accord explicite, ce qui respecte de fait les signaux Do Not Track (DNT) et Global Privacy Control (GPC). Nous ne pratiquons pas de suivi intersites.

Le Service peut contenir des liens vers des sites tiers. Nous ne sommes pas responsables de leurs pratiques de confidentialité. Nous vous encourageons à consulter leurs propres politiques.

Nous pouvons mettre à jour cette Politique de confidentialité de temps à autre. Nous publierons la version mise à jour sur cette page avec la nouvelle date.

En cas de changement majeur, nous fournirons un avis visible (bannière ou courriel). Votre utilisation continue du Service après modification constitue votre acceptation de la nouvelle politique.

Pour toute question ou pour exercer vos droits, veuillez nous contacter :

Si notre réponse ne vous satisfait pas, vous pouvez contacter l'autorité de protection des données de votre juridiction :

• Canada : Commissariat à la protection de la vie privée du Canada (priv.gc.ca)
• France : Commission Nationale de l'Informatique et des Libertés (CNIL - cnil.fr)
• Union Européenne : Votre autorité de contrôle locale
• États-Unis : California Attorney General (oag.ca.gov)
• Brésil : Autoridade Nacional de Proteção de Dados (ANPD)
• Inde : Data Protection Board of India