Mentions légalesPolitique de confidentialitéCGV

Politique de confidentialité

Proof of Human capture uniquement les métadonnées comportementales nécessaires à la certification d'authenticité d'une session d'écriture. Aucun contenu visuel, aucun keylogging, aucune revente de données.

Dernière mise à jour : 22 mai 2026 · Conforme RGPD (UE 2016/679) et nouvelle Loi suisse sur la protection des données (nLPD, en vigueur depuis le 1er septembre 2023).

1. Responsable du traitement

Le responsable du traitement des données est Olivier Terrettaz, personne physique, canton de Berne, Suisse, joignable à l'adresse contact@proofofhuman.ch.

Pour toute question relative à vos données, contactez directement cette adresse. Une réponse est garantie sous 30 jours conformément au RGPD.

2. Données collectées et finalités

2.1 Compte professeur

Lors de la création d'un compte, nous collectons :

  • Adresse email (identifiant + communication)
  • Nom et prénom (personnalisation, signature des certificats)
  • Institution (libre, optionnel, pour les certificats)
  • Mot de passe (stocké sous forme de hash bcrypt, jamais en clair)

Finalité : fourniture du service, authentification, communication transactionnelle.
Base légale : exécution du contrat (art. 6.1.b RGPD).

2.2 Sessions d'écriture des étudiants

Les étudiants n'ont pas de compte. Lors d'une session, nous capturons uniquement :

  • Nom saisi par l'étudiant (identification du rendu, fourni volontairement)
  • Métadonnées comportementales : timing entre les frappes (en millisecondes), durée d'appui sur chaque touche, événements de copier-coller (longueur uniquement), changements d'onglet, instantanés périodiques du texte rédigé
  • Texte final soumis (le contenu visible par le professeur)
  • Adresse IP technique (logs serveur, conservés 30 jours pour sécurité)

Ce que nous ne collectons pas :contenu des touches individuelles (pas de keylogging), captures d'écran, vidéo, audio, géolocalisation précise, données biométriques, données de santé.

Finalité : analyse comportementale pour produire un certificat d'authenticité.
Base légale :intérêt légitime du professeur (art. 6.1.f RGPD), avec consentement éclairé de l'étudiant affiché avant chaque session.

2.3 Données de facturation

Les paiements sont entièrement traités par Stripe. Nous ne stockons jamais vos numéros de carte. Nous conservons uniquement un identifiant client Stripe et l'état de votre abonnement.

Finalité : exécution du contrat, comptabilité.
Base légale : exécution du contrat (art. 6.1.b) et obligation légale (art. 6.1.c) pour la conservation comptable.

3. Durées de conservation

  • Compte professeur : conservé tant que l'abonnement est actif, puis supprimé sur demande ou après 12 mois d'inactivité prolongée.
  • Sessions et certificats : conservés pendant 3 ans pour permettre la vérification disciplinaire d'un travail certifié, puis anonymisés.
  • Logs techniques (IP, requêtes) : 30 jours maximum.
  • Données comptables (factures Stripe) : 10 ans, conformément à l'art. 958f CO suisse.

4. Destinataires et sous-traitants

Vos données sont accessibles aux sous-traitants techniques suivants, tous engagés par contrat de sous-traitance conforme RGPD :

  • Supabase (UE) : base de données et stockage. Région Francfort, Allemagne.
  • Vercel (UE) : hébergement applicatif. Région Paris, France.
  • Stripe (UE/US) : traitement des paiements. Stripe Payments Europe, Dublin. Certifié PCI DSS niveau 1.

Aucune donnée n'est revendue, partagée à des tiers commerciaux, ni utilisée pour de la publicité.

5. Transferts hors UE / hors Suisse

Le traitement principal a lieu en Union européenne. Stripe peut traiter certaines opérations aux États-Unis, sous garantie des Clauses Contractuelles Types (CCT) approuvées par la Commission européenne et du Data Privacy Framework. Aucun transfert hors EEE / hors Suisse n'est effectué pour le contenu des sessions d'écriture.

6. Vos droits

Conformément au RGPD et à la nLPD, vous disposez des droits suivants :

  • Accès à vos données personnelles
  • Rectification des données inexactes
  • Effacement (« droit à l'oubli »)
  • Portabilité de vos données dans un format structuré
  • Opposition au traitement fondé sur intérêt légitime
  • Limitation du traitement
  • Retrait du consentement à tout moment
  • Réclamation auprès d'une autorité de contrôle (PFPDT en Suisse, CNIL en France, ou autorité de votre pays de résidence dans l'UE)

Pour exercer vos droits, écrivez à contact@proofofhuman.chen précisant votre demande et en joignant une copie d'une pièce d'identité (qui sera détruite après vérification).

7. Cookies

Le site utilise uniquement des cookies strictement nécessaires au fonctionnement du service :

  • Cookies de session Supabase (authentification professeur) — durée : durée de la session
  • Préférence de thème (clair/sombre) — durée : 1 an, stockage local sans serveur

Aucun cookie publicitaire, aucun pixel de traçage tiers, aucun outil d'analyse comportementale (type Google Analytics) n'est utilisé. Le consentement n'est donc pas requis pour ces cookies techniques.

8. Sécurité

Nous mettons en œuvre les mesures techniques et organisationnelles suivantes :

  • Connexions chiffrées TLS/HTTPS sur l'ensemble du service
  • Mots de passe hachés (bcrypt) — jamais en clair
  • Row-Level Security (RLS) côté base de données : un professeur ne peut accéder qu'à ses propres cours et soumissions
  • Signature cryptographique Ed25519 des certificats, vérifiable publiquement
  • Hash SHA-256 du texte soumis, garantissant l'intégrité
  • Sauvegardes chiffrées de la base de données

9. Mineurs

Le service est destiné à un usage encadré par un enseignant. Les étudiants mineurs y accèdent dans le cadre scolaire sous la responsabilité de leur enseignant et de leur établissement. Le traitement repose sur l'intérêt légitime pédagogique. Les responsables légaux peuvent exercer les droits décrits à l'article 6 pour leur enfant.

10. Modifications de la présente politique

Cette politique peut être mise à jour pour refléter des évolutions du service ou de la législation. La date de dernière mise à jour figure en haut de cette page. En cas de changement substantiel, les utilisateurs disposant d'un compte sont informés par email au moins 30 jours avant l'entrée en vigueur.

11. Contact et réclamation

Pour toute question, demande d'exercice de droits, ou signalement d'incident :