Politique de confidentialité

1. Informations générales

1.1 Responsable de traitement

Association "Papillon"

6 rue des Pruniers, 35220 Saint-Didier, France

Enregistrée au RNA à l'identifiant W351007036

SIRET : 990 579 617 00012

Contact :

• Email : [email protected]

• Support : [email protected]

1.2 Délégué à la protection des données (DPO)

2. Champ d'application de la politique

Cette politique de confidentialité s'applique aux services suivants :

• L'application mobile Papillon (iOS et Android)

• Le site web de présentation : https://papillon.bzh

• Les pages de documentation : https://docs.papillon.bzh

• Les pages de communication et de support

Cette politique vous informe sur la manière dont nous collectons, utilisons, conservons et protégeons vos données personnelles conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés.

3. Principe fondamental de Papillon

Papillon est une application open source qui fonctionne sans serveurs centralisés. Toutes vos données scolaires sont traitées exclusivement sur votre appareil et ne quittent jamais celui-ci, sauf dans les cas explicitement décrits ci-dessous avec votre consentement.

4. Données collectées et traitements

4.1 Données d'identification au service scolaire

Données concernées :

• Identifiants de connexion au service de vie scolaire

• URL de l'établissement scolaire

• Académie de rattachement

Finalité : Permettre l'authentification et l'accès aux données scolaires via les API officielles

Base légale : Intérêts légitimes poursuivis par le responsable du traitement (Article 6.1.f du RGPD)

Traitement : Local uniquement - ces données sont stockées chiffrées sur votre appareil

Caractère : Obligatoire pour le fonctionnement de l'application

Conservation : Jusqu'à suppression de l'application ou déconnexion manuelle

4.2 Données scolaires

Données concernées :

• Emploi du temps

• Travail à faire (devoirs)

• Notes et évaluations

• Compétences acquises

• Actualités de l'établissement

• Messages et conversations

• Événements de vie scolaire

Finalité : Affichage et consultation des informations scolaires dans l'interface de l'application

Base légale : Intérêts légitimes poursuivis par le responsable du traitement (Article 6.1.f du RGPD)

Traitement : Local uniquement - ces données ne quittent jamais votre appareil

Caractère : Ces données sont nécessaires au fonctionnement principal de l'application

Conservation : Jusqu'à suppression de l'application ou déconnexion manuelle

4.3 Données de télémétrie (optionnelles)

4.3.1 Données collectées par la télémétrie

Lorsque vous activez la télémétrie, nous pouvons collecter les données suivantes de manière anonymisée :

Données techniques :

• Événements de démarrage et de fermeture de session

• Durée d'utilisation des sessions

• Version de l'application

• Version du système d'exploitation

• Modèle d'appareil (anonymisé)

Données d'erreur :

• Rapports de plantages (crash reports)

• Logs d'erreurs majeurs (sans données personnelles)

• Informations sur les dysfonctionnements

Données d'utilisation :

• Fonctionnalités utilisées (anonymisées)

• Parcours de navigation dans l'application (anonymisé)

• Performance de l'application

4.3.2 Finalités de la télémétrie

• Améliorer la stabilité et les performances de l'application

• Détecter et corriger les bugs

• Comprendre l'utilisation des fonctionnalités pour orienter le développement

• Optimiser l'expérience utilisateur

4.3.3 Base légale et consentement

Base légale : Consentement explicite (Article 6.1.a du RGPD)

Modalités de consentement :

• Le consentement est demandé lors du premier démarrage de l'application

• Vous pouvez choisir parmi trois niveaux : "Aucune", "Essentiel" et "Toutes"

• Le consentement peut être retiré à tout moment dans les paramètres de l'application

• Le retrait du consentement n'affecte pas la légalité du traitement basé sur le consentement avant son retrait

4.3.4 Traitement des données de télémétrie

• Les données sont anonymisées avant transmission

• Les données sont transmises de manière sécurisée (chiffrement)

• Le traitement respecte les principes de minimisation des données

4.3.5 Conservation des données de télémétrie

• Les données anonymisées sont conservées maximum 24 mois

• Les rapports de crash sont conservés maximum 12 mois

• Suppression automatique à l'expiration des délais

5. Destinataires des données

5.1 Données scolaires et d'identification

Aucun destinataire - Ces données restent exclusivement sur votre appareil et ne sont jamais transmises à des tiers.

5.2 Données de télémétrie (si activée)

Les données de télémétrie anonymisées peuvent être partagées avec :

• L'équipe de développement du projet Papillon

• Les services d'analyse technique nécessaires au développement (en respectant l'anonymisation)

Aucune donnée n'est vendue, cédée ou partagée à des fins commerciales.

6. Transferts internationaux

Aucun transfert international de données personnelles scolaires n'est réalisé, ces données étant traitées exclusivement sur votre appareil. Le site web est hébergé sur GitHub.com, une plateforme américaine certifiée sous le cadre EU-US Data Privacy Framework adopté par la Commission européenne. La documentation est hébergée sur GitBook.com, une plateforme américaine dont les données sont stockées sur des serveurs américains (Google Cloud) et qui garantit sa conformité au RGPD via une certification SOC 2. Les transferts de données vers GitBook sont encadrés par des clauses contractuelles types adoptées par la Commission européenne. Aucune donnée personnelle scolaire n'est transférée vers ces plateformes.

Les données de télémétrie anonymisées sont traitées via Countly, un outil d'analyse open source hébergé en France sur un serveur dédié chez Scaleway, respectant les exigences du RGPD. Aucun transfert international n'est réalisé pour ces données.

7. Droits des personnes concernées

Conformément au RGPD, vous disposez des droits suivants :

7.1 Droit d'accès (Article 15 RGPD)

Vous pouvez demander l'accès aux données personnelles vous concernant.

7.2 Droit de rectification (Article 16 RGPD)

Vous pouvez demander la correction des données inexactes.

7.3 Droit à l'effacement (Article 17 RGPD)

Vous pouvez demander la suppression de vos données dans certaines conditions.

7.4 Droit à la limitation du traitement (Article 18 RGPD)

Vous pouvez demander la limitation du traitement dans certaines circonstances.

7.5 Droit à la portabilité (Article 20 RGPD)

Ce droit ne s'applique qu'aux traitements fondés sur le consentement ou un contrat. Dans le cas de Papillon, les données scolaires sont traitées sur le fondement de l'intérêt légitime et les données de télémétrie sont anonymisées avant transmission. Le droit à la portabilité ne s'applique donc pas en pratique aux données traitées par Papillon.

7.6 Droit d'opposition (Article 21 RGPD)

Vous pouvez vous opposer au traitement pour des motifs légitimes.

7.7 Droit de retrait du consentement

Pour la télémétrie, vous pouvez retirer votre consentement à tout moment via les paramètres de l'application.

7.8 Modalités d'exercice des droits

Pour exercer vos droits, contactez-nous :

• Email : [email protected]

• Délai de réponse : 1 mois maximum

8. Sécurité des données

8.1 Mesures techniques

• Chiffrement local : Toutes les données sensibles sont chiffrées sur votre appareil

• Communications sécurisées : Utilisation du protocole HTTPS pour toutes les communications

• Isolation des données : Chaque installation de l'application est isolée

• Code open source : Le code source est public et auditable par la communauté

8.2 Mesures organisationnelles

• Accès restreint aux systèmes de développement

• Processus de mise à jour sécurisé

• Surveillance proactive des vulnérabilités

• Formation de l'équipe aux bonnes pratiques de sécurité

8.3 En cas de violation de données

En cas de violation de données à caractère personnel, nous notifierons la CNIL dans les meilleurs délais et, si possible, dans les 72 heures suivant la prise de connaissance de la violation, conformément à l'article 33 du RGPD. Si cette violation est susceptible d'engendrer un risque élevé pour vos droits et libertés, nous vous en informerons sans retard injustifié, conformément à l'article 34 du RGPD.

9. Conservation des données

10. Cookies et traceurs

L'application mobile Papillon n'utilise pas de cookies ou traceurs publicitaires.

Le site web utilise uniquement des cookies techniques nécessaires au fonctionnement (conformément à l'article 82 de la loi Informatique et Libertés).

11. Mineurs

Papillon peut être utilisé par des mineurs dans le cadre de leur scolarité. Le traitement des données scolaires est basé sur les intérêts légitimes poursuivis par le responsable du traitement (Article 6.1.f du RGPD) et ne nécessite pas de consentement parental. Le RGPD exige une attention particulière lorsque la personne concernée est un enfant : nous avons veillé à ce que ce traitement soit proportionné en limitant celui-ci à un stockage exclusivement local sur l'appareil de l'utilisateur, sans transmission vers des serveurs tiers, ce qui minimise l'impact sur les droits et libertés des mineurs.

En revanche, pour les mineurs de moins de 15 ans souhaitant activer la télémétrie, le consentement doit être donné conjointement par le mineur et par un parent ou tuteur légal, conformément à l'Article 8 du RGPD et à l'Article 45 de la loi Informatique et Libertés. Papillon ne dispose pas de mécanisme technique permettant de vérifier l'âge des utilisateurs. Il est donc de la responsabilité des parents ou tuteurs légaux de s'assurer que l'utilisation de cette fonctionnalité par un mineur est autorisée.

12. Hébergement et sous-traitance

12.1 Hébergement des sites web

• Site web : GitHub.com (voir leur politique de confidentialité)

• Documentation : GitBook.com (voir leur politique de confidentialité)

12.2 Sous-traitance

Nous ne faisons appel à aucun sous-traitant pour le traitement de vos données scolaires puisqu'elles restent sur votre appareil.

13. Engagement open source et transparence

Papillon s'engage à maintenir une transparence totale :

• Code source public : https://github.com/PapillonApp/papillon

• Développement communautaire : Contributions ouvertes et vérifiables

• Audits de sécurité : Possibilité d'audit par des tiers

14. Modifications de la politique de confidentialité

14.1 Notification des modifications

Toute modification importante de cette politique sera communiquée :

• Via l'application mobile (notification)

• Sur le site web de présentation

14.2 Engagement de non-collecte future

Nous nous engageons à ne pas modifier fondamentalement notre approche de protection des données. Papillon restera une application privilégiant le traitement local des données.

15. Réclamations et recours

15.1 Contact direct

Pour toute question ou réclamation concernant le traitement de vos données :

• Email principal : [email protected]

• Support technique : [email protected]

• Protection des données : [email protected]

15.2 Autorité de contrôle

Vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

CNIL 3 Place de Fontenoy - TSA 80715 75334 PARIS CEDEX 07 Téléphone : 01 53 73 22 22 Site web : https://www.cnil.fr

16. Comparaison avec les applications officielles

Papillon fonctionne de manière similaire aux applications officielles des services de vie scolaire (PRONOTE, etc.) en termes d'accès aux données, mais avec une approche plus protectrice :

• Même source de données : APIs officielles des établissements

• Sécurité renforcée : Aucun serveur intermédiaire, traitement local uniquement

• Transparence accrue : Code source ouvert et auditable

• Contrôle utilisateur : Gestion complète de vos données

17. Glossaire

API : Interface de Programmation Applicative permettant l'échange de données entre applications

Chiffrement local : Protection des données directement sur votre appareil

Données anonymisées : Données qui ne permettent plus l'identification d'une personne

Open source : Code source accessible publiquement pour vérification

Télémétrie : Collecte automatique de données d'utilisation à des fins d'amélioration

Cette politique de confidentialité est effective à compter du 1er février 2026.

Pour toute question concernant cette politique, n'hésitez pas à nous contacter à [email protected].