Politique de confidentialité
Version 2.1 · dernière mise à jour : 25 avril 2026.
Cette politique explique comment Adaprompt (ci-après « le Service ») collecte, utilise et protège vos données personnelles. Elle s'applique au site adaprompt.com. Elle est rédigée en conformité avec le Règlement (UE) 2016/679 (RGPD) et la loi belge du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel.
1. Responsable du traitement
Tom Vanobbergen, entrepreneur indépendant exerçant sous la marque Rendu.
Avenue Victor Rousseau 25, 1190 Forest, Belgique.
N° d'entreprise : BE1027086676.
Point de contact pour les questions relatives aux données personnelles :
privacy@adaprompt.com.
2. Traitements réalisés
Les traitements suivants sont mis en œuvre. Chacun est décrit avec sa finalité, sa base légale (article 6 RGPD), les catégories de données concernées et la durée de conservation.
2.1 Création et gestion de votre compte apprenant
- Finalité : vous permettre de vous inscrire, de vous connecter et d'accéder aux cours auxquels vous avez souscrit.
- Base légale : exécution du contrat (art. 6.1.b).
- Données : adresse email, identifiant interne, empreinte du jeton d'authentification, niveau maximal atteint, historique d'achats éventuels.
- Durée : durée de vie du compte, puis trois ans après la fermeture (prescription commerciale belge, art. 2262bis du Code civil).
2.2 Envoi des liens de connexion (magic link)
- Finalité : vous transmettre un lien à usage unique pour vous connecter sans mot de passe.
- Base légale : exécution du contrat (art. 6.1.b) et intérêt légitime à sécuriser l'authentification (art. 6.1.f).
- Données : adresse email, empreinte du jeton, adresse IP de la demande, horodatage.
- Durée : le jeton expire après 15 minutes. L'empreinte et les métadonnées associées sont conservées 30 jours à des fins d'audit de sécurité.
2.3 Tuteur pédagogique et bac à sable IA
- Finalité : vous proposer un tuteur socratique et un environnement d'expérimentation pour pratiquer le prompting.
- Base légale : exécution du contrat (art. 6.1.b).
- Données : messages que vous saisissez librement dans l'interface. Ces messages peuvent contenir des données personnelles si vous en insérez volontairement (nom, email, éléments métier). Nous vous recommandons de ne pas y inscrire de données sensibles.
- Destinataire : les messages sont transmis à Anthropic PBC (voir section 3) qui produit la réponse du modèle Claude Haiku. Aucun de vos messages n'est conservé sur nos serveurs au-delà du temps nécessaire à l'échange. L'historique visible dans votre navigateur est stocké en local (voir section 5).
- Durée : aucune conservation serveur. Anthropic traite la requête pour produire la réponse et ne réutilise pas ces messages pour entraîner ses modèles (voir section 3).
2.4 Protection contre les abus (rate limiting)
- Finalité : limiter les abus (attaques par déni de service, spam de requêtes IA, inscription automatisée).
- Base légale : intérêt légitime à protéger le Service (art. 6.1.f). L'intérêt du Service à fonctionner sans surcharge l'emporte, dans ce contexte précis, sur votre droit à ce que votre adresse IP ne soit pas traitée, car la mesure est proportionnée, temporaire et ne produit aucun profilage.
- Données : adresse IP et compteurs de requêtes associés.
- Durée : 24 heures maximum.
2.5 Suivi de votre progression dans les cours
- Finalité : mémoriser les modules terminés et vous afficher votre avancement.
- Base légale : exécution du contrat (art. 6.1.b).
- Données : identifiants des modules complétés, horodatages.
- Durée : durée de vie du compte, puis effacement à la fermeture.
2.6 Artefacts produits dans les cours
- Finalité : conserver les productions que vous réalisez au fil des modules (prompts, exercices, essais).
- Base légale : exécution du contrat (art. 6.1.b).
- Données : contenu des productions, éventuellement données personnelles que vous auriez insérées.
- Durée : stockage local dans votre navigateur (voir section 5). Lorsque le stockage côté serveur sera activé, vos artefacts seront conservés pendant la durée de vie du compte, avec possibilité d'effacement à tout moment.
2.7 Inscription à la liste de diffusion
- Finalité : vous informer de la sortie publique et des actualités majeures du Service si vous en faites la demande explicite.
- Base légale : consentement (art. 6.1.a).
- Données : adresse email, adresse IP de l'inscription, horodatage.
- Durée : 12 mois à compter de l'inscription ou jusqu'à votre désinscription (lien présent dans chaque email envoyé).
2.8 Formulaire de contact
- Finalité : répondre à votre demande (question sur un cours, devis, rendez-vous, demande institutionnelle) lorsque vous nous écrivez depuis le formulaire de la page d'accueil.
- Base légale : exécution de mesures précontractuelles à votre demande (art. 6.1.b) et consentement explicite pour le traitement (art. 6.1.a), recueilli via la case à cocher affichée sous le formulaire.
- Données : nom, adresse email, entreprise (facultatif), téléphone (facultatif), cours qui vous intéresse, message libre, horodatage, adresse IP, agent utilisateur.
- Destinataire : données stockées uniquement sur notre infrastructure OVH. Une notification est envoyée à l'équipe par email technique via le serveur OVH, sans prestataire tiers (pas de Formspree, pas de SaaS intermédiaire). Aucune donnée n'est transmise à des partenaires publicitaires.
- Durée : 24 mois à compter du dernier échange lié à cette demande, puis effacement. Vous pouvez demander l'effacement anticipé à tout moment (voir section 8).
2.9 Retours utilisateurs
Pendant la phase alpha, ce traitement est décrit en détail dans la section 2bis. Spécificités de la phase alpha. Après ouverture publique, il sera décrit ici. La nouvelle base légale figée est l'intérêt légitime (art. 6.1.f), avec droit d'opposition documenté en section 8.
2.10 Journaux techniques du serveur
- Finalité : détecter les incidents de sécurité, diagnostiquer les erreurs, assurer la continuité du Service.
- Base légale : intérêt légitime à la sécurité du traitement (art. 6.1.f, lu avec l'art. 32).
- Données : adresse IP, URL demandée, horodatage, code de réponse, agent utilisateur.
- Durée : 30 jours maximum, puis rotation automatique.
2.11 Cookies strictement nécessaires
Voir section 6 pour le détail.
2bis. Spécificités de la phase alpha
Adaprompt est en phase alpha. Pour calibrer le produit avant ouverture publique, deux traitements complémentaires sont mis en œuvre uniquement pendant cette phase. Ils sont détaillés ici parce qu'ils sont activement sollicités depuis l'interface (la mascotte Grace), et que les apprenants alpha ont besoin d'une description précise au moment de la collecte. La case à cocher affichée à côté de chaque envoi renvoie à la présente section via le lien #alpha.
2bis.1 Feedback texte (mode « retour libre » de Grace)
- Finalité : recueillir un retour écrit pour prioriser corrections et améliorations, suivre les anomalies, garder le dialogue ouvert avec les testeurs.
- Base légale : intérêt légitime (art. 6.1.f). Vous êtes invité à contribuer en tant que testeur alpha. La balance des intérêts est favorable au responsable parce que la collecte est ponctuelle, librement skippable, ne porte pas sur des catégories particulières au sens de l'art. 9, et ne produit pas de décision automatisée au sens de l'art. 22. Vous gardez un droit d'opposition (voir section 8).
- Données : contenu du message (texte libre, 10 à 2000 caractères), horodatage de l'envoi, adresse IP de la requête, URL de la page depuis laquelle le retour est envoyé, agent utilisateur (navigateur et système d'exploitation). L'adresse IP est conservée en clair sur cette collecte parce qu'elle sert aussi à limiter les abus (voir section 2.4) et qu'aucun identifiant de compte n'est exigible en alpha. Nous vous recommandons de ne pas insérer de données sensibles dans le message.
- Stockage : fichier append-only
api/feedback-data/feedback.jsonlhébergé sur notre infrastructure OVHcloud (Roubaix, France). Aucune transmission à un prestataire d'analyse. Aucune réutilisation pour entraîner un modèle. Une notification est envoyée à l'équipe par email technique via le serveur OVH, sans SaaS intermédiaire. - Durée : 24 mois à compter de l'envoi, puis effacement automatique par script de purge mensuel. Vous pouvez demander l'effacement anticipé à tout moment (voir section 8).
2bis.2 Soumission de prix (mode « juste prix » de Grace)
- Finalité : ajuster la grille tarifaire d'Adaprompt avant lancement public en recueillant le prix que vous estimez juste pour les cours testés. La donnée centrale est un montant en euros, librement choisi par vous, éventuellement nul.
- Base légale : intérêt légitime (art. 6.1.f), pour les mêmes motifs que ci-dessus. Vous gardez un droit d'opposition (voir section 8).
- Données : montant en euros (entier de 0 à 9999), contexte de la soumission (
alpha-onboardingen début de parcours,course-completionen fin de cours), identifiant du cours concerné quand applicable, horodatage, segment de testeur, et un dérivé non réversible de votre adresse IP. Concrètement, votre IP n'est pas conservée en clair sur cette collecte : nous calculons un hachage SHA-256 tronqué à 12 caractères, combiné avec un sel cryptographique changé tous les mois. Cette transformation permet de détecter des soumissions multiples depuis une même connexion sur un même mois (lutte contre l'abus, déduplication) sans permettre de reconstituer un parcours longitudinal sur plusieurs mois ni de rapprocher la soumission de l'identité réseau de la personne. La rotation mensuelle du sel implique l'oubli définitif du lien entre l'IP source et le dérivé stocké. - Stockage : fichier append-only
api/feedback-data/price-feedback.jsonlhébergé sur notre infrastructure OVHcloud (Roubaix, France). Mêmes garanties qu'au point précédent : aucune transmission tierce, aucune réutilisation pour entraîner un modèle. - Durée : 24 mois à compter de l'envoi, puis effacement automatique par script de purge mensuel. Vous pouvez demander l'effacement anticipé à tout moment (voir section 8). Sans authentification, l'effacement individuel s'opère au mieux sur la base des éléments que vous nous fournissez (date approximative, contexte, segment), conformément à l'article 11.2 du RGPD : nous ne sommes pas tenus de conserver des données additionnelles à seule fin de permettre votre identification.
2bis.3 Demandes de contact volontaires (escalade pédagogique & recontact feedback)
- Finalité : permettre à un apprenant de demander qu'un membre de l'équipe pédagogique reprenne avec lui une question restée sans solution depuis le tuteur Ada, ou qu'on revienne vers lui à propos d'un retour qu'il a laissé via Grace. Sans ces canaux, un retour anonyme ou une question bloquée n'a aucune voie de réponse personnelle.
- Base légale : consentement explicite (art. 6.1.a) recueilli via une case à cocher dédiée, distincte de la case générale de la modale : l'apprenant choisit activement d'être recontacté et accepte que son adresse email soit utilisée uniquement pour répondre à la demande qu'il a formulée. Sans cette case cochée, aucune adresse email n'est envoyée ni stockée.
- Données : message libre (10 à 2000 caractères), adresse email (facultative, uniquement si recontact demandé), prénom ou nom court (facultatif), cours et module concernés, URL de la page, horodatage, adresse IP de la requête, agent utilisateur. Pour les escalades depuis Ada, l'apprenant peut choisir, via une case à cocher pré-cochée mais décochable, de transmettre le dernier échange tenu avec le tuteur (sa question + la réponse d'Ada) afin que l'équipe ait le contexte exact du blocage ; il peut aussi décocher pour ne pas le partager.
- Stockage : fichier append-only
api/escalation-data/escalations.jsonl(escalades) et enrichissement deapi/feedback-data/feedback.jsonl(retours avec recontact), hébergés sur notre infrastructure OVHcloud (Roubaix, France). Aucune transmission à un prestataire tiers. Une notification est envoyée à l'équipe pédagogique par email technique via le serveur OVH (adresse internefeedback@rendu.be, redirigée vers les responsables pédagogiques), sans SaaS intermédiaire. - Durée : 24 mois à compter de l'envoi, puis effacement automatique par le script de purge mensuel. Vous pouvez demander l'effacement anticipé à tout moment via les modalités de la section 8 ; quand un email a été fourni, l'effacement est ciblé sur les enregistrements liés à cette adresse.
- Sécurité : chaque endpoint est protégé par un jeton CSRF auto-porté (HMAC-SHA256, durée 30 minutes), un champ honeypot anti-bot, une vérification de l'origine HTTP et une limitation par adresse IP (10 escalades par heure, 15 retours par heure). Les fichiers JSONL ne sont pas servis publiquement.
Disparition des traitements alpha. Ces traitements sont spécifiques à la phase alpha. Ils seront soit reconduits, soit modifiés, soit supprimés au passage en phase bêta puis à l'ouverture publique. Toute modification substantielle (nouvelle finalité, nouveau destinataire, nouvelle durée) sera reflétée ici et signalée selon les modalités de la section 10.
Sécurité spécifique alpha. Les fichiers JSONL sont stockés hors du dossier public servi par le serveur web et bloqués à la lecture par règle .htaccess. Une limitation par adresse IP (15 envois par heure pour les retours, 10 escalades par heure) s'applique à chaque endpoint. Les écritures sont append-only, sans interface de modification publique.
3. Destinataires et sous-traitants
Vos données ne sont communiquées qu'aux prestataires techniques strictement nécessaires au fonctionnement du Service. Chaque prestataire est lié par un accord de traitement des données (DPA) conforme à l'article 28 du RGPD.
| Prestataire | Rôle | Localisation | Transfert hors UE |
|---|---|---|---|
| OVHcloud SAS | Hébergement du site et des bases de données, relais SMTP pour les emails transactionnels (liens de connexion, notifications) | Roubaix, France | Non |
| Anthropic PBC | API Claude Haiku utilisée par le tuteur et le bac à sable | San Francisco, États-Unis | Oui |
Transfert vers Anthropic (États-Unis)
Lorsque vous utilisez le tuteur ou le bac à sable IA, les messages que vous saisissez sont transmis à Anthropic PBC aux États-Unis afin de produire la réponse du modèle. Ce transfert est encadré par :
- les Clauses Contractuelles Types (CCT) de la Commission européenne, module 2 (responsable vers sous-traitant), incluses dans le DPA signé avec Anthropic ;
- l'adhésion d'Anthropic au EU-US Data Privacy Framework (DPF), cadre reconnu adéquat par la décision d'exécution (UE) 2023/1795 de la Commission européenne du 10 juillet 2023.
Conformément aux conditions contractuelles applicables à l'API Anthropic, vos messages ne sont pas utilisés pour entraîner les modèles d'Anthropic. Ils sont traités le temps de produire la réponse, puis éliminés selon les durées prévues par leur politique de rétention.
4. Décisions automatisées et profilage
Le tuteur IA produit du texte à partir de vos messages. Cette production ne constitue pas une décision automatisée produisant des effets juridiques ou vous affectant de manière significative au sens de l'article 22 du RGPD. Le tuteur ne note pas vos productions, ne délivre pas de certification automatisée bloquante et ne trie pas les apprenants.
Les modèles de langage peuvent produire des réponses imprécises ou erronées. Nous vous invitons à exercer votre jugement critique sur les réponses reçues.
5. Stockage dans votre navigateur (localStorage)
Le Service utilise le localStorage de votre navigateur pour conserver certains éléments sur votre appareil : votre progression, vos productions, l'historique visible de vos conversations avec le tuteur et votre préférence de thème (clair ou sombre).
Ces données restent sur votre appareil et ne sont pas transmises à nos serveurs. Sur un poste partagé, une personne ayant accès au même profil de navigateur peut les lire. Nous vous recommandons d'utiliser un profil personnel ou la navigation privée, et de vider le localStorage en fin de session. Un bouton « Effacer ma conversation » est disponible dans l'interface du tuteur.
6. Cookies
Le Service n'utilise que des cookies strictement nécessaires à son fonctionnement. Conformément à l'article 129 de la loi belge du 13 juin 2005 (transposant la directive ePrivacy) et aux recommandations de l'Autorité de protection des données, ces cookies ne nécessitent pas de consentement préalable. Aucun cookie publicitaire, aucun traceur d'audience tiers n'est déposé.
| Nom | Finalité | Durée | Base légale |
|---|---|---|---|
| adaprompt_session | Maintenir votre session authentifiée pendant la navigation | Session (supprimé à la fermeture du navigateur) | Strictement nécessaire (exemption art. 129 loi 2005) |
| adaprompt_access | Mémoriser un accès coupon aux cours auxquels vous avez souscrit | 30 jours | Strictement nécessaire |
7. Sécurité
Conformément à l'article 32 du RGPD, toutes les mesures techniques et organisationnelles nécessaires sont et seront mises en œuvre afin de garantir un niveau de sécurité approprié à la protection de vos données personnelles. Ces mesures sont régulièrement réévaluées en fonction de l'évolution des risques, de l'état de l'art et de la nature des traitements concernés.
8. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès (art. 15) : obtenir confirmation que nous traitons vos données et en recevoir une copie.
- Droit de rectification (art. 16) : faire corriger des données inexactes ou incomplètes.
- Droit à l'effacement (art. 17) : demander la suppression de vos données, sous réserve de nos obligations légales de conservation.
- Droit à la limitation (art. 18) : demander le gel du traitement dans certains cas (contestation de l'exactitude, traitement illicite).
- Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré couramment utilisé, ou demander leur transmission à un autre responsable.
- Droit d'opposition (art. 21) : vous opposer, pour des raisons tenant à votre situation particulière, à un traitement fondé sur l'intérêt légitime.
- Droit de retirer votre consentement (art. 7.3), à tout moment, pour les traitements qui en dépendent (inscription à la liste de diffusion notamment).
- Directives post-mortem : vous pouvez nous communiquer des directives sur le sort de vos données après votre décès.
Pour exercer ces droits, adressez votre demande à privacy@adaprompt.com. Nous vous répondrons dans un délai d'un mois à compter de la réception de votre demande, conformément à l'article 12.3 du RGPD. Ce délai peut être prolongé de deux mois si la demande est complexe, auquel cas nous vous en informerons.
Pour vérifier votre identité, nous pouvons vous demander un élément complémentaire (par exemple, une réponse envoyée depuis l'adresse email associée à votre compte). Nous ne demandons pas de copie de pièce d'identité par défaut.
9. Réclamation auprès de l'autorité de contrôle
Si vous estimez que le traitement de vos données personnelles n'est pas conforme au RGPD, vous pouvez introduire une réclamation auprès de l'Autorité de protection des données belge :
Autorité de protection des données
Rue de la Presse 35, 1000 Bruxelles
Téléphone : +32 (0)2 274 48 00
Courriel : contact@apd-gba.be
Site web : www.autoriteprotectiondonnees.be
10. Modifications de la politique
Nous pouvons modifier cette politique pour refléter des évolutions techniques, légales ou organisationnelles. La date de dernière mise à jour figure en haut du document. En cas de modification substantielle (nouveau sous-traitant, nouvelle finalité, modification de base légale), nous vous en informerons par un moyen approprié (bannière sur le site, email aux titulaires de comptes actifs).
11. Contact
Pour toute question relative à cette politique ou à vos données personnelles :
privacy@adaprompt.com.