🔒 RGPD

Politique de confidentialité

Version 1.4 — phase de lancement gratuit Mise à jour : RGPD · LIL · DSA · TCF v2.2
⚙️ Phase de lancement gratuit — Pendant cette phase, aucun paiement n'est traité par Flexorama. Les mentions relatives à Stripe (article 5) décrivent le futur sous-traitant de paiement et ne sont pas encore actives. Aucune donnée bancaire n'est collectée. La présente politique sera révisée lors de l'activation des fonctionnalités payantes.
Article 1

Responsable du traitement

  • Société : Aroc Labs SAS
  • Adresse : 173 rue de Courcelles, 75017 Paris, France
  • E-mail RGPD :
  • Représentant : Président d'Aroc Labs SAS
Délégué à la protection des données (DPO) : Aroc Labs SAS n'a pas désigné de DPO, la nomination n'étant pas obligatoire au regard de l'article 37 du RGPD (absence de traitement à grande échelle de données sensibles ou de surveillance systématique à grande échelle). Toutes les demandes relatives à la protection des données sont traitées en interne et adressables à .
Article 2

Données collectées

Selon les interactions, les catégories de données suivantes peuvent être collectées :

CatégorieExemplesSource
Données d'identitéPseudonyme, prénom (optionnel)Inscription
Données de contactAdresse e-mailInscription / OAuth
Données d'authentificationTokens OAuth (Google), identifiants Azure EntraConnexion
Données de jeuScores, réponses, classements, quiz créésUtilisation du service
Données techniquesAdresse IP, navigateur, système, logs d'accèsAutomatique
Données de paiement (non actif en phase de lancement)Référence de transaction (pas de CB stockée). Activé uniquement après ouverture de l'abonnement Premium.Abonnement Premium (futur)
Cookies essentielsSession, préférences (aucun cookie de mesure d'audience tiers)Navigation
Données IAParamètres de génération transmis à Anthropic (thème, niveau, langue, longueur du quiz)Utilisation de la génération IA
Données publicitaires (AdSense)Identifiants publicitaires Google (NID, IDE, ANID, __gads), signal de consentement, contexte d'affichageAffichage de publicités aux utilisateurs gratuits, sous réserve de consentement
Choix de consentementPréférences cookies / publicités, horodatage et versionBandeau Google Funding Choices
Flexorama ne collecte aucune donnée sensible au sens de l'article 9 du RGPD (origines ethniques, santé, opinions politiques, orientation sexuelle, données biométriques, etc.). Aucun outil de mesure d'audience ni d'analytics tiers n'est utilisé (ni Google Analytics, ni Meta Pixel, ni équivalent). Les seules données traitées par des tiers à des fins commerciales le sont au titre de la publicité Google AdSense, exclusivement pour les utilisateurs gratuits ayant donné leur consentement.
Article 3

Finalités et bases légales

FinalitéBase légale
Création et gestion de compteExécution du contrat (art. 6.1.b)
Fourniture du service de quiz / classementsExécution du contrat (art. 6.1.b)
Génération de contenu par IA (Claude Haiku)Exécution du contrat (art. 6.1.b)
Gestion des abonnements Premium et facturationExécution du contrat (art. 6.1.b)
Sécurité, détection de fraude et anti-tricheIntérêt légitime (art. 6.1.f)
Statistiques d'usage agrégées et anonymisées (internes)Intérêt légitime (art. 6.1.f)
Affichage de publicités (Google AdSense) aux utilisateurs gratuitsConsentement (art. 6.1.a)
Personnalisation publicitaire et mesure de performanceConsentement (art. 6.1.a)
Envoi de communications marketingConsentement (art. 6.1.a)
Cookies non essentielsConsentement (art. 6.1.a)
Obligations légales et comptablesObligation légale (art. 6.1.c)
Article 4

Durées de conservation

Conformément à l'article 5.1.e) du RGPD (limitation de la conservation), les données sont conservées pour la durée strictement nécessaire à la finalité poursuivie :

  • Compte actif : durée de la relation contractuelle
  • Compte après résiliation : 3 ans (intérêt légitime — gestion des litiges et prescription civile, art. 2224 C. civ.) puis suppression ou anonymisation
  • Données de jeu (scores, classements) : durée de la relation contractuelle, anonymisées dans les statistiques agrégées
  • Logs techniques : 12 mois maximum (recommandation CNIL — sécurité des SI)
  • Données de facturation : 10 ans (art. L.123-22 Code de commerce — obligation comptable)
  • Cookies : 13 mois maximum (recommandation CNIL 2022)
  • Choix de consentement cookies : 6 mois (au-delà, le consentement est redemandé)
  • Demandes RGPD et preuves de consentement : 5 ans (prescription)
Article 5

Destinataires des données

Vos données peuvent être partagées avec les sous-traitants et partenaires suivants, dans le strict cadre des finalités définies, encadrés par un accord de sous-traitance (DPA) conforme à l'article 28 du RGPD ou par les clauses des conditions des services concernés :

  • Microsoft Azure (Microsoft Ireland Operations Ltd) — Infrastructure cloud, base de données, authentification (Azure Entra External ID). Région principale : France Centre
  • Anthropic, PBC (États-Unis) — Génération de quiz par IA (Claude Haiku). Données transmises strictement limitées au contenu du quiz (thème, niveau, langue) ; aucune donnée personnelle identifiante n'est incluse
  • Stripe Payments Europe, Ltd (Irlande) — Traitement des paiements et gestion des abonnements Premium (sous-traitant non actif pendant la phase de lancement gratuit ; sera activé lors de l'ouverture du paiement Premium)
  • OVH SAS (France) — Bureau d'enregistrement du nom de domaine flexorama.fr
  • Google Ireland Ltd / Google LLC (Irlande / États-Unis) — Service Google AdSense (affichage publicitaire) et Google Funding Choices (gestion du consentement, CMP). Concerne uniquement les utilisateurs gratuits ayant donné leur consentement. Google agit en qualité de responsable conjoint avec Aroc Labs SAS pour la diffusion publicitaire (cadre IAB TCF v2.2), conformément à l'art. 26 RGPD

Aucun outil de mesure d'audience ni d'analytics tiers n'est utilisé sur Flexorama.

Aroc Labs SAS ne vend, ne loue ni n'échange vos données personnelles à des fins commerciales en dehors du cadre publicitaire AdSense décrit ci-dessus, soumis à votre consentement préalable.

Article 6

Transferts hors Union européenne

Le stockage principal des données est réalisé en France (Azure Region France Central). Toutefois, certains sous-traitants peuvent être amenés à traiter des données hors de l'UE/EEE. Ces transferts sont encadrés par les garanties appropriées prévues au chapitre V du RGPD (art. 44 à 50) :

  • Microsoft Azure — Clauses contractuelles types (Décision d'exécution UE 2021/914) et adhésion au EU-US Data Privacy Framework (Décision d'adéquation UE 2023/1795)
  • Anthropic, PBC — Clauses contractuelles types UE (Décision UE 2021/914), avec mesures techniques et organisationnelles supplémentaires (chiffrement, minimisation, absence de données identifiantes)
  • Stripe Payments Europe — Hébergement principal en UE (Irlande). Les transferts éventuels vers Stripe Inc. (US) sont encadrés par CCT et DPF
  • Google Ireland Ltd / Google LLC — Adhésion au EU-US Data Privacy Framework (Décision d'adéquation UE 2023/1795) pour Google LLC, et clauses contractuelles types pour les transferts complémentaires

Vous pouvez obtenir une copie de ces garanties sur demande à .

Article 7

Vos droits

Conformément au RGPD et à la loi Informatique et Libertés modifiée, vous disposez des droits suivants :

  • Droit d'accès (art. 15 RGPD) : obtenir une copie de vos données
  • Droit de rectification (art. 16) : corriger des données inexactes ou incomplètes
  • Droit à l'effacement (art. 17) : demander la suppression de votre compte et de vos données
  • Droit à la limitation (art. 18) : demander la limitation du traitement
  • Droit à la portabilité (art. 20) : récupérer vos données dans un format structuré, couramment utilisé et lisible par machine
  • Droit d'opposition (art. 21) : vous opposer aux traitements fondés sur l'intérêt légitime
  • Droit de retrait du consentement (art. 7.3) : à tout moment, pour les traitements fondés sur le consentement, sans affecter la licéité antérieure
  • Directives post-mortem (art. 85 LIL) : définir des directives relatives au sort de vos données après votre décès, soit auprès d'un tiers de confiance certifié, soit directement auprès de Flexorama
  • Droit de réclamation : auprès de la CNIL — 3 place de Fontenoy, 75007 Paris (cnil.fr)

Pour exercer vos droits : — réponse sous 30 jours (pouvant être prolongé de 2 mois en cas de complexité, art. 12 RGPD). Une copie de pièce d'identité peut être demandée en cas de doute raisonnable sur l'identité du demandeur.

Article 8

Sécurité des données

Aroc Labs SAS met en œuvre des mesures techniques et organisationnelles appropriées :

  • Chiffrement des données en transit (TLS 1.2+) et au repos (Azure encryption at rest)
  • Authentification forte via Azure Entra External ID (CIAM)
  • Secrets gérés via Azure Key Vault avec Managed Identity
  • Accès aux données restreint au personnel habilité
  • Journalisation des accès et détection d'anomalies
Article 9

Mineurs

Flexorama est accessible aux personnes physiques âgées de 16 ans révolus. Aroc Labs SAS a fait le choix d'un seuil supérieur à l'âge légal de consentement en France (15 ans, art. 7-1 de la loi n°78-17 modifiée), par mesure de précaution pour la protection des mineurs.

Pour les utilisateurs âgés de 16 à 18 ans, la souscription à un abonnement Premium nécessite l'accord du titulaire de l'autorité parentale, conformément aux articles 388-1-1 et 1146 du Code civil (capacité civile du mineur).

Aroc Labs SAS ne collecte pas sciemment de données personnelles d'enfants de moins de 16 ans. Si vous pensez qu'un mineur de moins de 16 ans s'est inscrit, contactez-nous à : le compte sera fermé et les données supprimées sans délai.

Publicité et mineurs : conformément aux règles de Google et à la position de la CNIL, aucune publicité personnalisée n'est servie aux utilisateurs mineurs (16–18 ans). Les comptes identifiés comme mineurs reçoivent uniquement de la publicité contextuelle (non basée sur le profil).

Article 10

Décisions automatisées et profilage

Conformément à l'article 22 du RGPD, Aroc Labs SAS précise :

  • Aucune décision produisant des effets juridiques ou affectant significativement l'utilisateur n'est prise sur la base d'un traitement exclusivement automatisé
  • Les classements et la visibilité des quiz reposent sur des règles déterministes et non sur un système d'IA — pas de profilage des utilisateurs
  • L'IA générative (Claude Haiku) est utilisée uniquement pour produire le contenu des quiz à la demande de l'utilisateur, sans prise de décision sur la personne
  • Les mécanismes anti-triche et anti-fraude peuvent inclure des contrôles automatisés ; toute mesure significative (suspension de compte) fait l'objet d'une revue humaine selon la procédure DSA prévue dans les CGV
  • La personnalisation publicitaire (AdSense) repose sur un traitement automatisé par Google reposant sur votre consentement explicite. Cette personnalisation ne produit pas d'effets juridiques ni n'affecte significativement l'utilisateur au sens de l'art. 22 RGPD. Vous pouvez la refuser à tout moment via le bandeau « Gérer mes cookies » ou via adssettings.google.com
Article 11

Violation de données personnelles

Conformément aux articles 33 et 34 du RGPD, en cas de violation de données présentant un risque pour les droits et libertés des personnes concernées :

  • Notification à la CNIL : dans les 72 heures suivant la prise de connaissance, sauf si la violation n'est pas susceptible d'engendrer un risque
  • Notification aux personnes concernées : dans les meilleurs délais lorsque la violation est susceptible d'engendrer un risque élevé, par e-mail et notification in-app
  • Information transmise : nature de la violation, catégories et nombre approximatif de personnes et d'enregistrements concernés, conséquences probables, mesures prises ou envisagées, point de contact pour plus d'informations
  • Registre interne des violations : tenu conformément à l'art. 33.5 RGPD
Article 12

Contact

  • E-mail RGPD :
  • Adresse : Aroc Labs SAS – 173 rue de Courcelles, 75017 Paris, France
  • Délai de traitement : 30 jours maximum (art. 12 RGPD), prolongeable de 2 mois en cas de complexité
  • Autorité de contrôle : CNIL — cnil.fr