Politique de confidentialité
Dernière mise à jour : 2026-04-23 · Version 2026-04-20 · Conforme RGPD (Règlement (UE) 2016/679) et loi Informatique et Libertés modifiée.
1. Responsable de traitement
Kira Digital — exerçant sous le nom commercial Kira Digital, entrepreneur individuel (micro-entreprise).
Domicilié au Adresse communiquée sur demande écrite à contact@thorpprep.com.
Voir également les mentions légales.
Contact pour les demandes de protection des données : contact@thorpprep.com. La désignation d'un DPO n'est pas obligatoire pour une micro-entreprise de cette taille (art. 37 RGPD) ; toutes les demandes liées au RGPD sont traitées directement par l'éditeur.
2. Données collectées et finalités
| Données | Finalité | Base légale | Durée |
|---|---|---|---|
| Email, nom, mot de passe (haché) | Création de compte, authentification | Exécution du contrat | Tant que le compte est actif + 3 ans |
| Réponses d'entretien, scores, historique | Fourniture du service (correction IA, progression) | Exécution du contrat | Durée du compte + 1 an |
| Données de paiement (carte tokenisée via Stripe) | Facturation, gestion d'abonnement | Exécution du contrat + obligation légale | 10 ans (obligation comptable) |
| Adresse IP, navigateur, pages visitées | Sécurité, prévention de la fraude, analytics | Intérêt légitime + consentement (analytics) | 13 mois (recommandation CNIL) |
| Événements comportementaux (clics, pages) | Amélioration du produit, suivi de conversion | Consentement (cookies) | 13 mois |
3. Sous-traitants (processors)
Les données sont transmises aux sous-traitants suivants, chacun lié par un accord de traitement (DPA) :
- Supabase Inc. — authentification + base de données (région UE)
- Hostinger International Ltd. — hébergement backend (Chypre)
- Vercel Inc. — hébergement frontend (edge US/UE)
- Stripe, Inc. — traitement des paiements (PCI DSS niveau 1)
- Resend Inc. — emails transactionnels
- Anthropic, PBC — traitement IA (API Claude, zéro rétention sur les appels API)
- Sentry Inc. — monitoring d'erreurs (PII filtrées)
- Microsoft Clarity — heatmaps & session replay (consentement requis)
- Google Analytics 4 — analytics d'audience (consentement requis, IP anonymisée)
Certains sous-traitants sont situés hors UE (USA). Les transferts sont encadrés par le EU–US Data Privacy Framework ou des clauses contractuelles types (CCT) conformément à l'article 46 du RGPD.
4. Vos droits (RGPD)
Vous disposez, à tout moment, des droits suivants :
- Accès — obtenir une copie de vos données (art. 15)
- Rectification — corriger les données inexactes (art. 16)
- Effacement — demander la suppression de votre compte et de vos données (art. 17)
- Limitation — limiter le traitement (art. 18)
- Portabilité — recevoir vos données dans un format structuré, lisible par machine (art. 20)
- Opposition — vous opposer à un traitement basé sur l'intérêt légitime (art. 21)
- Retirer le consentement — à tout moment pour les traitements basés sur le consentement (art. 7)
Pour exercer ces droits, écrivez-nous à contact@thorpprep.com. Nous répondons sous 30 jours.
Si vous estimez qu'une réponse est insatisfaisante, vous pouvez déposer une réclamation auprès de la CNIL : cnil.fr/fr/plaintes
5. Sécurité
- HTTPS/TLS généralisé (Caddy auto-TLS, Let's Encrypt)
- Mots de passe hachés avec bcrypt (jamais stockés en clair)
- Sessions JWT signées
- Row-Level Security sur Supabase (isolation par utilisateur)
- Données de carte NE TRANSITENT JAMAIS par nos serveurs — tokenisation Stripe
- Rate limiting sur tous les endpoints
- Audits de sécurité réguliers
6. Cookies
Voir notre Politique cookies.
7. Mineurs
Le service n'est pas destiné aux personnes de moins de 16 ans. En s'inscrivant, l'Utilisateur déclare avoir au moins 16 ans ou disposer du consentement parental.
8. Mise à jour de la politique
Toute modification substantielle est notifiée par email au moins 15 jours avant son entrée en vigueur.