La présente politique de confidentialité décrit comment EXPERT NOW SAS (ci-après « nous », « l'éditeur » ou « Culture Cours ») collecte, utilise et protège les données personnelles des utilisateurs de l'application mobile Japran (ci-après « le Service »).
Cette politique est conforme au Règlement Général sur la Protection des Données (RGPD, UE 2016/679), à la Loi française n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (« Loi Informatique et Libertés »), et aux dispositions du Children's Online Privacy Protection Act (COPPA) applicables aux services proposés à des mineurs de moins de 13 ans.
1. Identité du responsable de traitement
Éditeur : EXPERT NOW, SAS au capital de 1 000 € — RCS LILLE
B 954 043 550
Siège social : 1 rue du Quai, 59800 LILLE, France
Marque exploitée : Culture Cours / Japran
Numéro de déclaration SAP : SAP954043550 (organisme de services à la personne,
articles L7232-6 et L7233-1 du Code du Travail)
Contact RGPD :
contact@culturecours.com
2. Données personnelles collectées
2.1. Données fournies directement par l'utilisateur
| Donnée | Finalité | Caractère obligatoire |
|---|---|---|
| Adresse e-mail | Création de compte, authentification, envoi du code de vérification | Obligatoire |
| Prénom | Personnalisation de l'expérience (affichage dans l'app) | Obligatoire |
| Date de naissance | Adaptation des contenus à la classe d'âge, vérification de la majorité numérique (article 8 RGPD) | Obligatoire (élèves) |
| Mot de passe (haché) | Authentification sécurisée | Obligatoire (sauf connexion Google) |
| Niveau scolaire et matières choisies | Filtrage des contenus pédagogiques pertinents | Obligatoire après inscription |
| Identifiants Google (si connexion via Google Sign-In) | Authentification simplifiée | Facultatif |
2.2. Données collectées automatiquement lors de l'utilisation
- Données de progression pédagogique : chapitres consultés, exercices terminés, scores aux QCM, flashcards revues, temps passé par chapitre.
- Identifiant de l'appareil (généré localement, non lié à l'IMEI ou au numéro de série constructeur) pour la synchronisation hors-ligne.
- Token de notification push (Firebase Cloud Messaging / Apple Push) si l'utilisateur accepte les notifications.
- Logs serveur techniques (adresse IP, type de requête, horodatage) conservés à des fins de sécurité et de diagnostic technique.
2.3. Données NON collectées
Nous ne collectons jamais : nom de famille, numéro de téléphone, adresse postale, géolocalisation GPS, photos, contacts, données biométriques, informations bancaires ou de paiement.
3. Finalités et bases légales du traitement
| Finalité | Base légale (RGPD art. 6) |
|---|---|
| Fournir l'accès au Service et permettre l'authentification | Exécution du contrat (art. 6.1.b) |
| Personnaliser les contenus selon le niveau scolaire | Exécution du contrat (art. 6.1.b) |
| Envoyer le code de vérification de l'adresse e-mail | Exécution du contrat + obligation légale (sécurité du compte) |
| Lier un compte parent à un compte élève (à la demande explicite) | Consentement (art. 6.1.a) + intérêt légitime (suivi parental) |
| Envoyer des notifications push pédagogiques | Consentement de l'utilisateur lors de l'activation (art. 6.1.a) |
| Mesurer l'utilisation et corriger les bugs | Intérêt légitime de l'éditeur (art. 6.1.f) |
| Répondre aux demandes RGPD et aux obligations légales | Obligation légale (art. 6.1.c) |
4. Destinataires et sous-traitants
Vos données ne sont jamais vendues et ne sont transmises qu'à des sous-traitants strictement nécessaires au fonctionnement du Service, dans le cadre de contrats conformes au RGPD :
| Sous-traitant | Service rendu | Localisation |
|---|---|---|
| Hostinger International Ltd | Hébergement des serveurs et de la base de données | Lituanie / Pays-Bas (UE) |
| Resend Inc. | Envoi des e-mails transactionnels (codes de vérification) | États-Unis / Irlande |
| OpenRouter Inc. | Génération de quiz adaptatifs par intelligence artificielle | États-Unis |
| Google LLC | Connexion via Google Sign-In (facultatif), Firebase Cloud Messaging pour les notifications push | États-Unis / Irlande |
| Apple Inc. | Apple Push Notification Service (iOS) | États-Unis / Irlande |
4.1. Transferts hors Union européenne
Certains sous-traitants (Resend, OpenRouter, Google, Apple) peuvent traiter des données depuis les États-Unis. Ces transferts sont encadrés par les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne, conformément à l'article 46 du RGPD, et par les engagements des sociétés concernées au titre du Data Privacy Framework UE-US lorsque celui-ci s'applique.
5. Durée de conservation
- Compte actif : tant que l'utilisateur ne demande pas la suppression.
- Demande de suppression : effacement effectif sous 30 jours.
- Codes de vérification e-mail : 60 minutes maximum (puis supprimés automatiquement).
- Logs de connexion serveur : 12 mois.
- Données nécessaires à une obligation légale (ex. registre des consentements) : durée requise par la loi.
6. Droits des utilisateurs
Conformément aux articles 15 à 22 du RGPD, vous disposez à tout moment des droits suivants :
- Droit d'accès : obtenir une copie de vos données.
- Droit de rectification : corriger une donnée inexacte.
- Droit à l'effacement (« droit à l'oubli ») : demander la suppression de votre compte.
- Droit à la portabilité : recevoir vos données dans un format structuré.
- Droit d'opposition : refuser un traitement basé sur l'intérêt légitime.
- Droit à la limitation : suspendre temporairement le traitement.
- Droit de retirer votre consentement à tout moment (sans effet rétroactif).
Pour exercer ces droits, contactez-nous à contact@culturecours.com. Une réponse vous sera apportée dans un délai d'un mois maximum.
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : 3 Place de Fontenoy, 75007 Paris — www.cnil.fr.
7. Protection des mineurs
L'application Japran est destinée aux élèves du collège et du lycée français, ce qui inclut des mineurs de moins de 13 ans (élèves de 6e à 4e).
7.1. Consentement parental (RGPD article 8 / COPPA)
Conformément à l'article 8 du RGPD et à l'article 45 de la Loi Informatique et Libertés, en France, le consentement d'un enfant de moins de 15 ans au traitement de ses données par un service en ligne requiert l'accord conjoint du titulaire de l'autorité parentale.
Conformément au COPPA (États-Unis), pour les enfants de moins de 13 ans, nous n'autorisons l'inscription que si un parent ou un tuteur légal donne son consentement.
7.2. Données collectées chez les mineurs
Pour les utilisateurs mineurs, nous collectons strictement les mêmes données que pour les majeurs (e-mail, prénom, date de naissance, progrès pédagogiques). Nous ne collectons aucune autre donnée et ne partageons aucune donnée d'enfant avec des tiers à des fins commerciales.
7.3. Droits des parents
Un parent peut à tout moment, en écrivant à contact@culturecours.com avec justificatif d'identité et de lien parental :
- obtenir l'accès aux données de son enfant ;
- demander leur correction ou suppression ;
- refuser la poursuite du traitement ;
- désactiver le compte de l'enfant.
8. Sécurité
Nous mettons en œuvre les mesures techniques et organisationnelles suivantes pour protéger vos données :
- Chiffrement TLS 1.3 pour toutes les communications client-serveur (HTTPS exclusivement).
- Hachage bcrypt (coût ≥ 10) pour le stockage des mots de passe ; les mots de passe en clair ne sont jamais conservés.
- Tokens JWT signés (HS256) avec expiration et clé secrète stockée de manière sécurisée.
- Limitation du nombre de tentatives de vérification (anti-bruteforce).
- Sauvegardes régulières de la base de données.
- Accès aux serveurs limité par clé SSH et pare-feu.
9. Cookies et traceurs
L'application Japran n'utilise aucun cookie. Elle ne dépose aucun traceur publicitaire ni outil de mesure d'audience tiers (Google Analytics, Facebook Pixel, etc.). L'authentification est gérée par un jeton local stocké de manière sécurisée sur l'appareil de l'utilisateur (token JWT), strictement nécessaire au fonctionnement du Service.
10. Modifications de la politique
La présente politique peut être mise à jour pour refléter des évolutions légales, techniques ou fonctionnelles. La date en haut du document indique la dernière mise à jour. En cas de modification substantielle, les utilisateurs seront informés via l'application ou par e-mail.
11. Contact
Pour toute question relative à la présente politique ou au traitement de vos données, vous pouvez contacter le service clientèle d'EXPERT NOW :
- Par e-mail : contact@culturecours.com
- Par téléphone : 09 88 66 09 00
- Par courrier : EXPERT NOW SAS — Service données personnelles — 1 rue du Quai, 59800 LILLE, France