RGPD · KIDSPRIVACY · VERSION DU 14 MAI 2026

Politique de confidentialité

Dernière mise à jour : 14 mai 2026. Cette politique décrit comment Rebloq collecte et traite les données personnelles des parents et de leurs enfants mineurs. Tu y trouveras ce qu'on collecte, pourquoi, combien de temps, qui y a accès, et comment exercer tes droits en 30 secondes.

Pour les parents : données de ton enfant

Rebloq est conçu pour les familles. Les données d'un enfant mineur sont traitées sous l'autorité du parent titulaire de l'autorité parentale, qui consent au traitement, le supervise, et peut le révoquer à tout moment.

Conformément à l'article 8 du RGPD et à l'article 45 de la loi Informatique et Libertés, le consentement parental est requis pour tout traitement de données d'un enfant de moins de 15 ans en France. Pour les adolescents de 15-17 ans, le consentement de l'enfant lui-même est admis, mais Rebloq exige systématiquement l'appariement à un compte parent (« pairing code »).

Nous suivons la recommandation CNIL « Protéger les données personnelles des mineurs », ce qui se traduit concrètement par :

  • Aucun service social, messagerie ou chat entre enfants. L'enfant n'est en relation qu'avec son parent au sein de Rebloq.
  • Aucune publicité, aucun tracking publicitaire tiers (pas de Facebook Pixel, pas de Google Analytics public, pas de retargeting).
  • Aucun profilage commercial des mineurs. Les données d'activité scolaire servent exclusivement à personnaliser les exercices pour l'enfant lui-même.
  • Suppression simple, gratuite et immédiate par le parent à tout moment, depuis l'app ou par email. Aucun frein, aucun parcours « dark pattern ».
  • Lecture parent uniquement. Aucun employé Rebloq ne consulte les données individuelles d'un enfant sans incident technique nominatif documenté.

Responsable de traitement & DPO

Le responsable de traitement est Walid CHOUCHANE, entrepreneur individuel exerçant sous l'enseigne LA GEEKERIE · SIREN 881 093 157 · 3 promenade des Baldaquins, 38080 L'Isle-d'Abeau, France. En l'absence de désignation obligatoire d'un Délégué à la Protection des Données (DPO), un point de contact unique est mis en place pour tes questions et l'exercice de tes droits : dpo@rebloq.fr.

Données collectées (par catégorie)

On ne collecte que le strict nécessaire au fonctionnement du Service. Voici exactement quoi, et pourquoi.

PARENT Compte parent

email · mot de passe (haché bcrypt côté Supabase Auth, jamais stocké en clair) · prénom (optionnel) · pays · langue · méthode de paiement (gérée par Apple / Google, jamais transmise aux serveurs Rebloq)

Source : Saisie volontaire lors de l'inscription

ENFANT Profil enfant

prénom (ou pseudonyme choisi par le parent) · âge · niveau scolaire (CP → Terminale) · pays · genre (optionnel) · avatar (sélection prédéfinie, pas d'upload photo)

Source : Saisie par le parent, sous son autorité

ENFANT Activité pédagogique enfant

exercices tentés · score 0-100 par exercice · timestamp · temps passé · matière · concept abordé · faiblesses détectées (agrégat statistique)

Source : Généré par l'usage du Service en mode enfant

ENFANT Activité applicative enfant (iOS)

tokens opaques d'applications autorisées / bloquées (FamilyControls renvoie des ApplicationToken non-réversibles, Apple ne nous expose PAS les bundle IDs) · durée d'usage par token sur 24h · événements d'autorisation et de blocage

Source : Framework Apple FamilyControls + DeviceActivity (consentement entitlement requis)

ENFANT Activité applicative enfant (Android)

nom technique du package au premier plan (ex. « com.roblox.client ») · durée d'usage par package · événements de déblocage. Aucun contenu d'écran lu, aucune saisie capturée, aucune notification interceptée.

Source : Service d'accessibilité Android, désactivable à tout moment via Réglages

TECHNIQUE Diagnostics techniques

crashes (stacks, OS, version d'app) · session IDs anonymes · latences API. PII strippée avant envoi (regex sur emails / numéros / IBAN).

Source : Sentry SDK + PostHog SDK, opt-out possible depuis Réglages → Confidentialité

Ce qu'on ne collecte JAMAIS : aucune donnée biométrique, aucun contenu de message, aucune notification interceptée, aucune position GPS, aucune photo de l'enfant, aucune fingerprint publicitaire (IDFA / GAID désactivés), aucun cookie tiers, aucune donnée de santé.

Finalités & bases légales

Chaque traitement repose sur une base légale identifiée du RGPD.

Fournir le Service (création de compte parent, profils enfants, exercices, déblocage)
Exécution du contrat
art. 6.1.b RGPD
Traiter les données d'un enfant mineur
Autorité parentale — le parent titulaire consent et instruit le traitement pour son enfant de moins de 15 ans (cas FR)
art. 8 RGPD · loi Informatique et Libertés art. 45
Facturer l'abonnement, gérer les renouvellements et remboursements
Exécution du contrat + obligation légale (comptable)
art. 6.1.b · art. 6.1.c RGPD
Prévenir la fraude, le contournement du blocage, et sécuriser les comptes
Intérêt légitime (sécurité du Service)
art. 6.1.f RGPD
Améliorer le produit via analytics anonymes (PostHog)
Intérêt légitime, désactivable depuis Réglages → Confidentialité
art. 6.1.f RGPD
Envoyer la newsletter (parent uniquement, opt-in explicite)
Consentement
art. 6.1.a RGPD

Sous-traitants & transferts internationaux

Liste exhaustive des prestataires qui traitent une partie de tes données pour notre compte. Un accord de traitement (DPA) conforme RGPD est signé avec chacun. Pour les prestataires basés hors UE, la décision d'adéquation EU-US Data Privacy Framework (DPF) du 10 juillet 2023 est invoquée — chaque prestataire listé ci-dessous est certifié DPF.

Supabase Inc. Siège : San Francisco, USA · Traitement : UE — Frankfurt (eu-central-1)

Base de données Postgres + authentification + Realtime

Garantie : Données utilisateurs hébergées exclusivement en UE. Aucun transfert hors UE.

Apple Inc. Siège : Cupertino, USA · Traitement : USA (avec relais UE)

Validation entitlement FamilyControls, distribution App Store, paiements In-App

Garantie : Décision d'adéquation EU-US Data Privacy Framework (DPF) active. Apple est certifié DPF.

RevenueCat Inc. Siège : San Francisco, USA · Traitement : USA

Gestion technique des abonnements (reçus App Store / Play, événements de renouvellement)

Garantie : Décision d'adéquation EU-US Data Privacy Framework (DPF). DPA signé.

Resend Inc. Siège : San Francisco, USA · Traitement : USA

Envoi d'emails transactionnels (création de compte, factures, alertes)

Garantie : Décision d'adéquation EU-US Data Privacy Framework (DPF). DPA signé.

Functional Software, Inc. (Sentry) Siège : San Francisco, USA · Traitement : USA

Crash reporting & monitoring

Garantie : Décision d'adéquation EU-US DPF. PII strippée côté client avant envoi (scrubbing regex).

PostHog Inc. Siège : San Francisco, USA · Traitement : USA — bascule UE prévue v2 (self-hosted ou région eu-cloud)

Analytics produit (événements anonymes, pas de fingerprinting)

Garantie : Décision d'adéquation EU-US DPF. Bascule vers PostHog Cloud EU ou self-hosted EU prévue Sprint 22.

Vercel Inc. Siège : San Francisco, USA · Traitement : UE — Paris (cdg1) pour les requêtes EU

Hébergement du site web rebloq.fr (transitoire)

Garantie : Décision d'adéquation EU-US DPF. Migration vers Cloudflare prévue T3 2026 — pages statiques + edge fonctions UE.

Cette liste évolue avec le produit ; tout ajout substantiel fait l'objet d'une notification 30 jours avant entrée en vigueur (voir « Modifications »).

Durées de conservation

Compte parent (actif)
Durée de l'abonnement + 30 jours de grâce après clôture
Profil enfant
Tant que le parent garde le profil actif · suppression immédiate sur demande parent
Activité pédagogique (scores, exercices)
12 mois glissants en clair, puis anonymisation (suppression de tout identifiant de profil)
Activité applicative (durées d'usage)
12 mois glissants en clair, puis agrégation anonyme
Logs de sécurité (anti-fraude)
12 mois (art. R10-13 et L34-1 CPCE pour les opérateurs ; appliqué par analogie)
Pièces comptables (factures)
10 ans (art. L.123-22 Code de commerce) — archivage légal, accès restreint
Sauvegardes chiffrées
Rotation 35 jours · supprimées automatiquement au-delà

Sécurité des données

  • Chiffrement TLS 1.3 obligatoire pour toute communication client ↔ serveur.
  • Chiffrement au repos (AES-256) côté Supabase, sauvegardes chiffrées.
  • Mots de passe hachés via bcrypt (cost factor 12) — jamais stockés en clair.
  • Multi-tenant strict : isolation des données par famille via Row-Level Security (RLS) Postgres ; un parent ne peut accéder qu'aux profils de sa propre famille.
  • Audit des accès admin, alertes sur lectures anormales.
  • Notification de violation de données sous 72 h à la CNIL en cas d'incident (art. 33 RGPD).
  • Pen-test annuel externe (premier audit prévu Sprint 24, post-launch beta privée).

Tes droits RGPD

Tu disposes des droits suivants sur tes propres données et sur celles de tes enfants dont tu détiens l'autorité parentale :

Accès (art. 15)
Obtenir une copie de toutes les données te concernant ainsi que celles de tes enfants.
Rectification (art. 16)
Corriger une donnée inexacte (email, prénom, niveau scolaire, etc.).
Effacement (art. 17)
Supprimer ton compte et tous les profils enfants associés. La suppression est gratuite, immédiate et définitive (hors obligations légales comptables).
Portabilité (art. 20)
Récupérer tes données en format JSON structuré, lisible par machine.
Limitation (art. 18)
Geler le traitement de certaines données contestées, le temps d'instruction.
Opposition (art. 21)
T'opposer à un traitement fondé sur l'intérêt légitime (analytics, anti-fraude marketing).
Retrait du consentement (art. 7)
Retirer à tout moment ton consentement à la newsletter ou aux analytics, sans incidence sur les traitements antérieurs.

Comment exercer tes droits (modèle prêt à l'envoi)

Pour toute demande, écris à dpo@rebloq.fr depuis l'adresse email associée à ton compte (preuve d'identité simplifiée). Nous te répondons sous 30 jours maximum (art. 12 RGPD), avec extension possible de 2 mois pour les demandes complexes, sur notification motivée. Notre réponse est gratuite, sauf demande manifestement abusive.

Ouvrir un email pré-rempli

Si notre réponse ne te satisfait pas, tu peux à tout moment déposer une réclamation auprès de la CNIL (cnil.fr/fr/plaintes) — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.

Cookies

Rebloq utilise uniquement des cookies strictement nécessaires au fonctionnement du Service (session d'authentification, préférence de thème clair / sombre, jeton anti-CSRF). Aucun cookie tiers, aucun pixel publicitaire, aucun bandeau anxiogène : c'est pour ça qu'il n'y a pas de pop-up de consentement cookie. L'article 82 de la loi Informatique et Libertés exempte explicitement les cookies strictement nécessaires d'un consentement préalable.

Modifications de cette politique

Cette politique peut évoluer. Pour tout changement substantiel (nouveau sous-traitant, nouvelle finalité, allongement de durée de conservation, transfert hors UE), nous t'avertirons par email au moins 30 jours avant entrée en vigueur. La date de mise à jour figure en tête de ce document. L'historique des versions est consultable sur demande.

Contact & réclamation

Demandes RGPD & vie privée : dpo@rebloq.fr

Support produit : hello@rebloq.fr

Autorité de contrôle : CNIL · 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 · cnil.fr

Voir aussi : Conditions d'utilisation · Conditions de vente · Mentions légales.