Politique de confidentialité
Dernière mise à jour : 9 juin 2026
Neuroflash respecte votre vie privée et s'engage à protéger vos données personnelles conformément au Règlement général sur la protection des données (RGPD) et à la loi Informatique et Libertés.
1. Responsable du traitement
Le responsable du traitement des données personnelles collectées via le service Neuroflash est :
- Quentin Leininger, entrepreneur individuel (EI), exerçant sous le nom commercial Demeter
- Adresse : 10 rue Jean Henri Schnitzler, 67000 Strasbourg, France
- SIREN : 105 776 413
- Contact données personnelles : hello@neuroflash.app
Aucun délégué à la protection des données (DPO) n'a été désigné, cette désignation n'étant pas obligatoire au regard de la nature et du volume des traitements réalisés.
2. Données collectées
2.1 Données fournies directement par l'utilisateur
- Données de compte : adresse électronique, identifiant de connexion (Google OAuth ou lien magique).
- Données de profil : nom d'affichage facultatif, photo de profil facultative, niveau d'étude, date de concours, charge de révision quotidienne, style pédagogique préféré.
- Contenus déposés : documents PDF, cartes créées manuellement, étiquettes, signalements, modifications.
- Préférences : options de révision (indices, auto-révélation, vibration), préférences de notifications, fuseau horaire, heure d'envoi des rappels.
2.2 Données générées par l'utilisation du service
- Historique de révision : chaque réponse fournie (Encore, Dur, OK, Facile), date, durée, statut FSRS.
- Texte extrait par OCR : contenu textuel des PDF déposés, stocké pour éviter de relancer l'OCR sur un document identique (déduplication par empreinte SHA-256).
- Journaux de génération IA : métadonnées des appels aux modèles d'IA (modèle utilisé, durée, tokens, coût estimé, messages d'erreur éventuels).
- Journaux d'envoi d'emails :horodatage, type d'email envoyé, statut, identifiant Resend.
- Audit immuable : historique des éditions de cartes (avant/après), pour permettre la restauration.
2.3 Données techniques
- Adresse IP (collectée temporairement par les serveurs Vercel et Supabase pour des raisons de sécurité, supprimée sous 30 jours).
- Type de navigateur, système d'exploitation, résolution d'écran.
- Cookies techniques nécessaires au fonctionnement (session, authentification, préférences). Voir notre politique cookies.
- Données analytiques anonymisées via PostHog (si vous y avez consenti).
3. Finalités et bases légales
| Finalité | Base légale | Durée de conservation |
|---|---|---|
| Fourniture du service (création compte, génération de cartes, révisions) | Exécution du contrat | Durée de vie du compte + 30 jours |
| Personnalisation du scheduling et des recommandations | Exécution du contrat | Durée de vie du compte |
| Gestion des abonnements et des paiements (via Mollie, prestataire de paiement) | Exécution du contrat / obligation légale | Durée de l'abonnement + durée légale comptable |
| Envoi de rappels par email (quotidien, série, retour) | Consentement (opt-in à l'inscription) | Jusqu'au retrait du consentement |
| Mesure d'audience (PostHog) | Consentement (bannière cookies) | 13 mois maximum |
| Sécurité, prévention de la fraude | Intérêt légitime | 12 mois |
| Respect d'obligations légales (comptabilité, réquisitions) | Obligation légale | Durée légale applicable (typiquement 5 à 10 ans) |
4. Utilisation de l'intelligence artificielle
Le Service repose sur plusieurs modèles d'intelligence artificielle pour transformer vos documents en cartes de révision. Conformément au Règlement européen sur l'intelligence artificielle (AI Act), nous vous informons des éléments suivants :
- Modèles utilisés : Claude Sonnet 4.6 et Claude Opus 4.7 (Anthropic, USA), GPT-5 et GPT-4.1 (OpenAI, USA), text-embedding-3-large (OpenAI), Document AI (Google, hébergement UE).
- Pas d'entraînement sur vos données :les fournisseurs d'IA s'engagent contractuellement à ne pas utiliser vos contenus pour entraîner leurs modèles. Anthropic et OpenAI offrent cette garantie via leurs offres entreprises et API.
- Rétention courte : les appels aux modèles tiers ne stockent vos données qu'à des fins de surveillance anti-abus pour une durée maximale de 30 jours côté fournisseur.
- Risque d'erreurs : les modèles d'IA peuvent produire des hallucinations, des approximations ou des erreurs factuelles. Nous appliquons une double validation (génération Claude puis vérification GPT) et signalons les cartes douteuses, mais la responsabilité finale de la vérification incombe à l'utilisateur.
Aucune décision automatisée produisant des effets juridiques ou significatifs n'est prise à votre égard sur la base des traitements automatisés. Vous pouvez à tout moment signaler une carte erronée ou demander la régénération depuis l'interface.
5. Sous-traitants et transferts
Pour fournir le Service, Neuroflash a recours à des sous-traitants techniques engagés contractuellement à respecter la confidentialité et la sécurité de vos données. La liste à jour est la suivante :
| Sous-traitant | Rôle | Pays / hébergement |
|---|---|---|
| Supabase Inc. | Base de données, authentification, stockage | Allemagne (Frankfurt), UE |
| Vercel Inc. | Hébergement de l'application | UE (multi-régions) |
| Anthropic PBC | Modèles Claude (parsing, génération, critique) | États-Unis (clauses contractuelles types) |
| OpenAI LLC | GPT-5 (validation), embeddings | États-Unis (clauses contractuelles types) |
| Google LLC | Document AI (OCR) | UE (région "eu") |
| Resend Inc. | Envoi d'emails transactionnels | États-Unis (clauses contractuelles types) |
| PostHog Inc. | Mesure d'audience produit (avec consentement) | Allemagne (Frankfurt), UE |
| Inngest Inc. | Orchestration de tâches asynchrones | États-Unis (clauses contractuelles types) |
| Mollie B.V. | Traitement des paiements (carte, PayPal, wallets, SEPA) | Pays-Bas, UE |
Le prestataire de paiement Mollie (Mollie B.V., Pays-Bas) agit en qualité de responsable de traitement distinct pour les données de paiement, conformément à sa propre politique de confidentialité. Vos données de carte bancaire ne sont jamais collectées ni stockées par Neuroflash.
Les transferts hors Union européenne sont encadrés par les clauses contractuelles types adoptées par la Commission européenne et, le cas échéant, par les certifications Data Privacy Framework (DPF) des fournisseurs concernés.
6. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants concernant vos données personnelles :
- Droit d'accès : obtenir une copie de vos données.
- Droit de rectification : corriger des données inexactes (modifiables directement depuis les réglages).
- Droit à l'effacement : supprimer votre compte et toutes les données associées depuis la zone dangereuse des réglages, ou par demande à hello@neuroflash.app.
- Droit à la portabilité : exporter vos cartes au format Anki standard (.apkg) ou demander un export complet en JSON.
- Droit d'opposition : vous opposer au traitement basé sur l'intérêt légitime.
- Droit à la limitation : demander la suspension temporaire du traitement.
- Retrait du consentement : à tout moment pour les traitements basés sur le consentement (cookies analytiques, emails de rappel), sans effet rétroactif.
- Directives post-mortem : définir le sort de vos données après votre décès, conformément à l'article 85 de la loi Informatique et Libertés.
Vous disposez également du droit d'introduire une réclamation auprès d'une autorité de contrôle : en France, la CNIL (3 place de Fontenoy, 75007 Paris, www.cnil.fr).
7. Sécurité
Neuroflash met en œuvre des mesures techniques et organisationnelles pour protéger vos données contre tout accès non autorisé, perte ou divulgation :
- Chiffrement TLS 1.3 en transit pour toutes les communications.
- Chiffrement au repos des bases de données Supabase.
- Sécurité au niveau ligne (Row-Level Security) Postgres : chaque utilisateur n'accède qu'à ses propres données.
- Authentification par lien magique ou OAuth Google, sans stockage de mot de passe.
- Tokens d'accès courts (1 heure) avec rotation automatique.
- Logs d'accès supervisés, alertes de sécurité automatisées.
8. Durées de conservation
Les données sont conservées le temps strictement nécessaire à l'exécution des finalités décrites. À la suppression du compte :
- Les données personnelles et contenus utilisateur sont supprimés sous 30 jours.
- Les journaux techniques nécessaires à la sécurité sont conservés 12 mois.
- Les données comptables et fiscales (le cas échéant) sont conservées le temps légal (typiquement 10 ans).
- Les sauvegardes chiffrées sont purgées au plus tard sous 60 jours.
9. Protection des mineurs
Le Service est réservé aux personnes âgées de 18 ans révolus. Il n'est ni destiné ni commercialisé à l'intention de mineurs, et nous ne collectons pas sciemment de données concernant des personnes de moins de 18 ans.
10. Modifications de la politique
La présente politique peut être modifiée pour refléter les évolutions du Service ou des obligations légales. Toute modification substantielle sera notifiée par email avec un préavis raisonnable. La date de dernière mise à jour figure en haut de la présente page.