NeuroDeck
Retour à l'accueil

Politique de confidentialité

Dernière mise à jour : 14 mai 2026

NeuroDeck respecte votre vie privée et s'engage à protéger vos données personnelles conformément au Règlement général sur la protection des données (RGPD) et à la loi Informatique et Libertés.

1. Responsable du traitement

Le responsable du traitement des données personnelles est l'éditeur du service NeuroDeck. Pendant la phase de bêta privée, le projet est porté à titre individuel par Quentin Leininger. À l'ouverture publique, le responsable du traitement sera la société éditrice du Service, dont les coordonnées seront mises à jour sur la présente page.

Contact protection des données : hello@neuroflash.app

2. Données collectées

2.1 Données fournies directement par l'utilisateur

  • Données de compte : adresse électronique, identifiant de connexion (Google OAuth ou lien magique).
  • Données de profil : nom d'affichage facultatif, photo de profil facultative, niveau d'étude, date de concours, charge de révision quotidienne, style pédagogique préféré.
  • Contenus déposés : documents PDF, cartes créées manuellement, étiquettes, signalements, modifications.
  • Préférences : options de révision (indices, auto-révélation, vibration), préférences de notifications, fuseau horaire, heure d'envoi des rappels.

2.2 Données générées par l'utilisation du service

  • Historique de révision : chaque réponse fournie (Encore, Dur, OK, Facile), date, durée, statut FSRS.
  • Texte extrait par OCR : contenu textuel des PDF déposés, stocké pour éviter de relancer l'OCR sur un document identique (déduplication par empreinte SHA-256).
  • Journaux de génération IA : métadonnées des appels aux modèles d'IA (modèle utilisé, durée, tokens, coût estimé, messages d'erreur éventuels).
  • Journaux d'envoi d'emails :horodatage, type d'email envoyé, statut, identifiant Resend.
  • Audit immuable : historique des éditions de cartes (avant/après), pour permettre la restauration.

2.3 Données techniques

  • Adresse IP (collectée temporairement par les serveurs Vercel et Supabase pour des raisons de sécurité, supprimée sous 30 jours).
  • Type de navigateur, système d'exploitation, résolution d'écran.
  • Cookies techniques nécessaires au fonctionnement (session, authentification, préférences). Voir notre politique cookies.
  • Données analytiques anonymisées via PostHog (si vous y avez consenti).

3. Finalités et bases légales

FinalitéBase légaleDurée de conservation
Fourniture du service (création compte, génération de cartes, révisions)Exécution du contratDurée de vie du compte + 30 jours
Personnalisation du scheduling et des recommandationsExécution du contratDurée de vie du compte
Envoi de rappels par email (quotidien, série, retour)Consentement (opt-in à l'inscription)Jusqu'au retrait du consentement
Mesure d'audience (PostHog)Consentement (bannière cookies)13 mois maximum
Sécurité, prévention de la fraudeIntérêt légitime12 mois
Respect d'obligations légales (comptabilité, réquisitions)Obligation légaleDurée légale applicable (typiquement 5 à 10 ans)

4. Utilisation de l'intelligence artificielle

Le Service repose sur plusieurs modèles d'intelligence artificielle pour transformer vos documents en cartes de révision. Conformément au Règlement européen sur l'intelligence artificielle (AI Act), nous vous informons des éléments suivants :

  • Modèles utilisés : Claude Sonnet 4.6 et Claude Opus 4.7 (Anthropic, USA), GPT-5 et GPT-4.1 (OpenAI, USA), text-embedding-3-large (OpenAI), Document AI (Google, hébergement UE).
  • Pas d'entraînement sur vos données :les fournisseurs d'IA s'engagent contractuellement à ne pas utiliser vos contenus pour entraîner leurs modèles. Anthropic et OpenAI offrent cette garantie via leurs offres entreprises et API.
  • Rétention courte : les appels aux modèles tiers ne stockent vos données qu'à des fins de surveillance anti-abus pour une durée maximale de 30 jours côté fournisseur.
  • Risque d'erreurs : les modèles d'IA peuvent produire des hallucinations, des approximations ou des erreurs factuelles. Nous appliquons une double validation (génération Claude puis vérification GPT) et signalons les cartes douteuses, mais la responsabilité finale de la vérification incombe à l'utilisateur.

Aucune décision automatisée produisant des effets juridiques ou significatifs n'est prise à votre égard sur la base des traitements automatisés. Vous pouvez à tout moment signaler une carte erronée ou demander la régénération depuis l'interface.

5. Sous-traitants et transferts

Pour fournir le Service, NeuroDeck a recours à des sous-traitants techniques engagés contractuellement à respecter la confidentialité et la sécurité de vos données. La liste à jour est la suivante :

Sous-traitantRôlePays / hébergement
Supabase Inc.Base de données, authentification, stockageAllemagne (Frankfurt), UE
Vercel Inc.Hébergement de l'applicationUE (multi-régions)
Anthropic PBCModèles Claude (parsing, génération, critique)États-Unis (clauses contractuelles types)
OpenAI LLCGPT-5 (validation), embeddingsÉtats-Unis (clauses contractuelles types)
Google LLCDocument AI (OCR)UE (région "eu")
Resend Inc.Envoi d'emails transactionnelsÉtats-Unis (clauses contractuelles types)
PostHog Inc.Mesure d'audience produit (avec consentement)Allemagne (Frankfurt), UE
Inngest Inc.Orchestration de tâches asynchronesÉtats-Unis (clauses contractuelles types)

Les transferts hors Union européenne sont encadrés par les clauses contractuelles types adoptées par la Commission européenne et, le cas échéant, par les certifications Data Privacy Framework (DPF) des fournisseurs concernés.

6. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants concernant vos données personnelles :

  • Droit d'accès : obtenir une copie de vos données.
  • Droit de rectification : corriger des données inexactes (modifiables directement depuis les réglages).
  • Droit à l'effacement : supprimer votre compte et toutes les données associées depuis la zone dangereuse des réglages, ou par demande à hello@neuroflash.app.
  • Droit à la portabilité : exporter vos cartes au format Anki standard (.apkg) ou demander un export complet en JSON.
  • Droit d'opposition : vous opposer au traitement basé sur l'intérêt légitime.
  • Droit à la limitation : demander la suspension temporaire du traitement.
  • Retrait du consentement : à tout moment pour les traitements basés sur le consentement (cookies analytiques, emails de rappel), sans effet rétroactif.
  • Directives post-mortem : définir le sort de vos données après votre décès, conformément à l'article 85 de la loi Informatique et Libertés.
Pour exercer ces droits, écrivez à hello@neuroflash.app en précisant votre demande. Une réponse sera apportée dans un délai maximum d'un (1) mois.

Vous disposez également du droit d'introduire une réclamation auprès d'une autorité de contrôle : en France, la CNIL (3 place de Fontenoy, 75007 Paris, www.cnil.fr).

7. Sécurité

NeuroDeck met en œuvre des mesures techniques et organisationnelles pour protéger vos données contre tout accès non autorisé, perte ou divulgation :

  • Chiffrement TLS 1.3 en transit pour toutes les communications.
  • Chiffrement au repos des bases de données Supabase.
  • Sécurité au niveau ligne (Row-Level Security) Postgres : chaque utilisateur n'accède qu'à ses propres données.
  • Authentification par lien magique ou OAuth Google, sans stockage de mot de passe.
  • Tokens d'accès courts (1 heure) avec rotation automatique.
  • Logs d'accès supervisés, alertes de sécurité automatisées.

8. Durées de conservation

Les données sont conservées le temps strictement nécessaire à l'exécution des finalités décrites. À la suppression du compte :

  • Les données personnelles et contenus utilisateur sont supprimés sous 30 jours.
  • Les journaux techniques nécessaires à la sécurité sont conservés 12 mois.
  • Les données comptables et fiscales (le cas échéant) sont conservées le temps légal (typiquement 10 ans).
  • Les sauvegardes chiffrées sont purgées au plus tard sous 60 jours.

9. Protection des mineurs

Le Service est ouvert aux utilisateurs âgés de 15 ans révolus. Pour les utilisateurs âgés de moins de 15 ans, le consentement du représentant légal est requis, conformément à l'article 7-1 de la loi Informatique et Libertés.

10. Modifications de la politique

La présente politique peut être modifiée pour refléter les évolutions du Service ou des obligations légales. Toute modification substantielle sera notifiée par email avec un préavis raisonnable. La date de dernière mise à jour figure en haut de la présente page.