Registre Article 30 & AIPD enfants
Conformité RGPD/CNIL transparente · registre des traitements (Article 30 RGPD) et Analyse d'Impact relative à la Protection des Données (AIPD/DPIA) spécifique enfants 8-16 ans.
1. Registre Article 30 RGPD · synthèse
Conformément à l'Article 30 du RGPD (Règlement Général sur la Protection des Données), KEU SASU tient un registre des activités de traitement applicable à Fractalia Kids. Synthèse publique des principales finalités ci-dessous · registre détaillé disponible sur demande motivée.
| Finalité | Base légale | Catégories données | Conservation |
|---|---|---|---|
| Création compte parent & gestion abonnement | Contrat (Art. 6.1.b) | Email · prénom · données paiement (Stripe) | Durée abonnement + 3 ans (obligations comptables) |
| Création profil enfant (≤15 ans) | Consentement parental (Art. 8) | Alias prénom · âge · avatar | Effacement immédiat sur demande parent (1 tap) |
| Notifications push pédagogiques | Consentement parental (Art. 8) | Subscription endpoint navigateur · activité agrégée | Désactivation 1 tap · révocable |
| Espace enseignant Académie | Contrat école + intérêt légitime pédagogique | Email enseignant · classe assignée | Durée abonnement école |
| Statistiques classe agrégées | Intérêt légitime pédagogique | Compteurs activité agrégés · jamais individuel · jamais nom | 30 jours glissants |
| Logs techniques sécurité | Intérêt légitime (sécurité) | IP · user-agent · correlation IDs | 7 jours (Vercel logs) |
2. AIPD/DPIA enfants · analyse d'impact
Le traitement de données de mineurs constitue un risque élevé au sens de l'Article 35 RGPD. Une Analyse d'Impact a été conduite par KEU SASU avec les principes suivants :
2.1 · Description du traitement
- Public cible : enfants 8−16 ans · contexte familial & scolaire
- Données collectées (minimisation Art. 5.1.c) : alias prénom · âge · avatar uniquement
- Données NON collectées : nom famille · email enfant · localisation · contenu généré utilisateur (pas de chatbot libre) · données comportementales fines · empreinte biométrique
2.2 · Mesures de réduction des risques
- Consentement parental vérifiable · création compte enfant impossible sans authentification parent active (Art. 8 RGPD)
- Pas de tracker publicitaire tiers · 0 Google Analytics · 0 Meta Pixel · 0 Mixpanel · cohérent CNIL référentiel enfants 2021
- Pas de comparaison sociale · doctrine §6 interne · UI & BD enforcement explicit
- Quiet hours non-débrayables · 20h−7h heure locale enfant (cohérent CNIL repos nocturne mineur)
- 5 notifications maximum par jour · enforced atomic RPC transactionnel BD (DAILY_PUSH_MAX=5)
- Effacement 1 tap dashboard parent · droit à l'oubli (Art. 17 RGPD) opérationnel
- Mode Académie agrégation seule · enseignants voient compteurs classe · jamais individuel · alias prénom
- Hébergement souverain UE · Supabase eu-west-2 (Londres UK · GDPR adequate post-Brexit)
- Chiffrement transit + repos · TLS 1.3 transit · chiffrement disque Supabase managed
- RLS Row-Level Security · 100% tables BD · isolation parent ↔ enseignant ↔ admin
- Anti-addictogène · pas de récompenses aléatoires · pas de streaks anxiogènes · célébration l'imperfait
2.3 · Risques résiduels identifiés
- Risque modéré · usurpation identité parent au signup. Mitigation : magic link email-verified + cookies SSR HttpOnly Secure SameSite + rate-limit auth.
- Risque modéré · backup données enfant en cas d'incident technique sans PITR Pro. Mitigation roadmap : upgrade Supabase Pro plan + PITR activation Sprint 8+.
- Risque faible · génération AI agents textes inappropriés. Mitigation : validation triple T8 100% + OOQ 10% + CEO 5/batch · doctrine §6 stricte.
2.4 · Validation AIPD
- Conformité CNIL référentiel enfants numérique 2021 · alignée 8 principes
- Conformité RGPD Article 8 · consentement parental vérifiable
- Conformité RGAA niveau A (Décret 2019-768) + progression WCAG 2.2 AA
- Standards éthiques EdTech · revue continue OOQ + opérationnel T8
3. Sous-traitants & transferts
KEU SASU collabore avec les sous-traitants suivants. Tous sont contractuellement liés par accords de traitement de données (DPA) et hébergement européen.
- Supabase Inc. · BD & auth · hébergement eu-west-2 (Londres UK · GDPR adequate)
- Vercel Inc. · hébergement edge · traitement EU préféré · DPA signé
- Stripe Payments Europe Ltd. · paiements · Dublin Irlande · PCI DSS Level 1
- Resend Inc. · email transactionnel · infrastructure EU
- Sentry Inc. · monitoring erreurs · région EU Frankfurt
- Anthropic PBC · génération contenu AI Haiku · modèle aligné sécurité enfant · pas de training sur prompts API
Aucun transfert hors UE/EEA sans encadrement (clauses contractuelles types ou pays adéquat). Pas de partage commercial tiers.
4. Vos droits RGPD & exercice
- Droit d'accès (Art. 15) · obtenir copie de toutes les données vous concernant ou concernant votre enfant
- Droit de rectification (Art. 16) · corriger données inexactes
- Droit à l'effacement (Art. 17) · opérationnel 1 tap depuis tableau de bord parent
- Droit à la portabilité (Art. 20) · format JSON structuré · délai 30 jours max
- Droit d'opposition (Art. 21) · au traitement basé sur intérêt légitime
- Réclamation CNIL · droit de saisir l'autorité de contrôle (www.cnil.fr)
Pour exercer un droit : email à support@fractaliakids.com (objet « Droits RGPD ») · délai réponse 1 mois max.
5. Mise à jour AIPD
Revue annuelle minimum par KEU SASU · revue immédiate en cas de modification substantielle du traitement (nouvelle fonctionnalité impliquant données enfant · changement sous-traitant majeur).