SoSow

Politique de confidentialité

Dernière mise à jour : 21 avril 2026

1. Responsable du traitement

Nicolas VAN WEYDEVELT — 9 rue des Sorbiers, 35320 Crevin — contact@sosow.app

2. Données collectées

Identité & authentification :

  • Email du parent ou du lycéen (15+) — authentification par lien magique ou Google OAuth, et communication
  • Identifiant Google (si OAuth choisi) — email et identifiant unique Google uniquement, aucune donnée de profil Google supplémentaire
  • Cookie de session (sosow-session) — JWT httpOnly, durée 7 jours
  • Type de compte (parent ou teen/lycéen autonome 15+) et, pour les lycéens, certification explicite d'être âgé de 15 ans ou plus (Art. 8 RGPD)

Profil enfant :

  • Prénom — personnalisation des réponses IA
  • Classe (CM1 à Terminale) — adaptation du niveau pédagogique
  • Genre (optionnel) — adaptation linguistique (accords masc/fem)
  • Centres d'intérêt (optionnel) — analogies personnalisées en cas de difficulté
  • Prénoms d'amis (optionnel, max 3) — encouragements personnalisés. Ces prénoms sont des données de tiers mineurs collectées avec le consentement parental.
  • Style de réponse IA (lycéens uniquement, optionnel) — classique / direct / complice / exigeant
  • Thème couleur (optionnel)

Données pédagogiques :

  • Photos d'exercices et de leçons — envoyées en temps réel à l'API Anthropic pour analyse, jamais stockées dans notre base de données ni dans Supabase Storage. La photo est oubliée dès que la réponse IA est reçue. Seul le texte des échanges est conservé.
  • Conversations (messages texte) — historique des échanges avec l'IA (exercices, révisions, défi flash, chat libre)
  • Bilans de session — concept travaillé, matière, difficulté estimée, compréhension, nombre d'indices utilisés (générés automatiquement par IA après chaque exercice)
  • Flashcards (fiches de révision) — paquets de cartes question/réponse créés par IA depuis des photos de leçon, avec cartes individuelles et état Leitner (à revoir / presque / connue)
  • Sessions flashcards — historique de chaque révision ou quiz (mode, nombre de cartes, score, difficulté choisie, date)

Gamification :

  • Points d'expérience (XP), niveau et historique des gains XP (source, date)
  • Badges / succès (4 catégories : matière, performance, comportement, révision)
  • Stickers (collection visuelle avec rareté)
  • Compteurs de performance — défis flash réussis, exercices autonomes, quiz complétés

Données d'usage & abonnement :

  • Compteur d'analyses — nombre d'exercices analysés par mois
  • Compteur de messages — nombre de messages de suivi par mois
  • Plan actif (free / premium / famille) et statut de la période d'essai (14 jours à l'inscription)
  • Identifiant client Stripe et référence d'abonnement (uniquement si un paiement est effectué)
  • Date de dernière activité et date de préavis de suppression (si inactivité de 3 ans ou demande de suppression)
  • Partage de profil (optionnel) — email d'un co-parent invité à suivre les progrès d'un enfant
  • Feedback / suggestions d'évolution — messages envoyés depuis le bouton "Suggérer une évolution"

Données techniques (collecte automatique) :

  • Rapports d'erreurs — en cas de bug, l'URL de la page, le type de navigateur (User-Agent) et le message d'erreur sont envoyés pour diagnostic
  • Détection de navigateur intégré (webview) — le User-Agent est analysé lors de la connexion pour avertir si Google OAuth risque d'échouer (Gmail, Facebook, Instagram…). Aucune conservation.

3. Bases légales du traitement

  • Consentement parental (Art. 6(1)(a) + Art. 8 RGPD) — traitement des données de l'enfant, analyse IA des exercices, gamification
  • Exécution du contrat (Art. 6(1)(b)) — gestion du compte, fourniture du service, quota d'analyses
  • Intérêt légitime (Art. 6(1)(f)) — rapports d'erreurs automatiques, amélioration du service, sécurité

4. Photos et images — traitement éphémère

Les photos d'exercices et de leçons transmises par les utilisateurs sont traitées de manière strictement éphémère :

  • Compressées et recadrées côté client avant envoi pour limiter le volume
  • Envoyées en flux temps-réel à l'API Anthropic pour analyse par intelligence artificielle
  • Non stockées par SoSow — ni dans la base de données (Supabase), ni dans un bucket de fichiers (Supabase Storage), ni ailleurs sur nos serveurs
  • Oubliées dès que la réponse IA est reçue. Une photo transitée par SoSow ne laisse aucune trace durable chez nous.

Anthropic n'utilise pas les données soumises via l'API pour entraîner ses modèles (cf. politique de confidentialité Anthropic). Anthropic peut conserver les requêtes API jusqu'à 30 jours à des fins de sécurité et de détection d'abus uniquement (voir politique Anthropic).

Conséquence UX : lorsqu'un enfant revient sur une conversation depuis son historique, l'IA a accès au texte des échanges mais plus à l'image initiale. Le dashboard affiche une vignette générique « Exercice » — pas la photo originale.

5. Profilage automatisé

SoSow utilise l'intelligence artificielle pour générer des bilans de session après chaque exercice. Ces bilans identifient automatiquement les concepts travaillés, leur difficulté et si l'enfant a compris. Ces données sont utilisées pour :

  • Afficher une page "Progrès" avec les concepts maîtrisés et ceux à revoir
  • Proposer des exercices de révision ciblés sur les points faibles

Conformément à l'article 22 du RGPD, ce profilage n'a aucune conséquence juridique. Le parent peut désactiver le système de récompenses (XP, badges) depuis l'Espace Parent pour chaque enfant individuellement.

6. Sous-traitants & transferts hors UE

  • Anthropic PBC (USA) — analyse IA des exercices, génération de flashcards, génération de bilans de session, rédaction du carnet de progrès hebdomadaire. Données transmises : photos en flux éphémère (non stockées chez SoSow — voir section 4), texte des conversations, classe de l'enfant, agrégats d'activité anonymisés. Transfert encadré par les CCT RGPD.
  • OpenAI Inc. (USA) — synthèse vocale (text-to-speech). Données transmises : texte des réponses IA. Transfert encadré par les CCT RGPD.
  • Supabase Inc. (USA) — stockage des comptes, conversations (texte uniquement, sans photos), bilans, flashcards, gamification. Transfert encadré par les CCT RGPD.
  • Vercel Inc. (USA) — hébergement de l'application + déclenchement des tâches planifiées (cron maintenance quotidien, bilan hebdo). Transfert encadré par les CCT RGPD.
  • Resend Inc. (USA) — envoi des emails (authentification, support, bilan hebdo, préavis de suppression RGPD, confirmation suppression compte). Seul l'email du parent/lycéen transite. Transfert encadré par les CCT RGPD.
  • Google LLC (Irlande / USA) — authentification optionnelle via Google OAuth (alternative au lien magique). Seuls l'email et l'identifiant unique Google sont récupérés. Transfert encadré par les CCT RGPD.
  • Stripe Payments Europe Ltd (Irlande) & Stripe Inc. (USA) — paiement et facturation des abonnements Premium / Famille. Données transmises : email, informations de paiement (traitées directement par Stripe, SoSow ne stocke aucune donnée bancaire). Transfert encadré par les CCT RGPD.

7. Durée de conservation

  • Compte parent + profils enfants : conservés tant que le compte est actif. Suppression automatique après 3 ans d'inactivité (préavis par email 30 jours avant, annulable en se reconnectant).
  • Conversations (messages texte uniquement) : conservées tant que le profil enfant existe. Visibilité limitée aux 7 derniers jours glissants en version gratuite, historique complet en Premium/Famille. Les photos ne sont jamais conservées (voir section 4).
  • Bilans de session : conservés tant que le profil enfant existe
  • Flashcards et sessions de révision : conservées tant que le profil enfant existe
  • Gamification (XP, badges, stickers) : conservés tant que le profil enfant existe, supprimés avec le profil
  • Compteurs d'usage : remis à zéro chaque mois
  • Cookie de session : 7 jours
  • Abonnement Stripe : l'identifiant client et les factures sont conservés 10 ans pour obligations comptables françaises (art. L123-22 Code de commerce)
  • Rapports d'erreurs : 3 mois
  • Feedback / suggestions : conservés tant que le produit en a un usage (R&D interne), anonymisés au-delà de 2 ans

Suppression du compte sur demande — Le parent peut supprimer son compte depuis l'Espace Parent (bouton "Supprimer mon compte"). Mécanisme en deux étapes :

  • Soft-delete immédiat — le compte est marqué comme supprimé, les sessions actives sont fermées, les abonnements Stripe sont annulés en fin de période payée.
  • Délai de 30 jours pendant lequel le compte peut être restauré en se reconnectant. Cela évite les suppressions accidentelles.
  • Hard-delete à J+30 — suppression définitive et irréversible de toutes les données (comptes, profils enfants, conversations, flashcards, bilans, gamification). Les factures Stripe sont conservées 10 ans (obligation légale comptable) et anonymisées dans la mesure du possible.

8. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

  • Accès — obtenir une copie de vos données
  • Rectification — corriger des données inexactes
  • Effacement — supprimer un profil enfant ou l'intégralité du compte directement depuis l'Espace Parent (bouton "Supprimer mon compte" avec délai de restauration de 30 jours, cf. §7)
  • Portabilité — recevoir vos données dans un format structuré
  • Opposition — vous opposer au traitement
  • Limitation — limiter temporairement le traitement
  • Retrait du consentement — retirer votre consentement à tout moment, sans affecter la licéité du traitement antérieur
  • Opposition au profilage — demander la désactivation des bilans de session automatisés

Pour exercer ces droits : contact@sosow.app. Nous répondons dans un délai de 30 jours.

9. Cookie

SoSow utilise un unique cookie technique sosow-session (JWT, httpOnly, secure) nécessaire au fonctionnement du service. Ce cookie ne fait aucun suivi publicitaire. Sa durée est de 7 jours. Aucun cookie tiers n'est déposé.

10. Contact & réclamations

Pour toute question : contact@sosow.app

Vous pouvez également introduire une réclamation auprès de la CNIL : cnil.fr