📋 Registre des Activités de Traitement

Sommaire des Traitements

• TRAITEMENT-001 : Gestion des comptes parents
• TRAITEMENT-002 : Suivi éducatif des enfants
• TRAITEMENT-003 : Gestion des paiements et abonnements
• TRAITEMENT-004 : Journalisation et traçabilité (Activity Logs)
• TRAITEMENT-005 : Marketing et communication
• TRAITEMENT-006 : Exercice des droits RGPD

TRAITEMENT-001 : Gestion des comptes parents

Description : Création et gestion des comptes utilisateurs parents/tuteurs légaux permettant d'accéder à la plateforme Top Exo

1️⃣ Finalités du traitement

• Créer et gérer les comptes utilisateurs
• Authentifier les utilisateurs
• Gérer les préférences et paramètres
• Assurer le support technique

2️⃣ Base légale

Exécution du contrat (Article 6.1.b RGPD)

3️⃣ Catégories de données collectées

• Données d'identification : nom, prénom, email
• Données de connexion : mot de passe (haché), date dernière connexion
• Données de contact : téléphone (optionnel), adresse (optionnelle)
• Données techniques : adresse IP, user-agent, logs de connexion

4️⃣ Personnes concernées

• Parents
• Tuteurs légaux

5️⃣ Destinataires des données

• Équipe Top Exo (développeurs, support) - accès restreint par rôles
• Hébergeur : OVH (France) - sous-traitant RGPD Article 28
• Service de logs : top_exo_logger (interne)

6️⃣ Durée de conservation

Durée du contrat + 3 ans (prescription légale)

7️⃣ Mesures de sécurité

• Authentification JWT (JSON Web Token)
• Mots de passe hachés avec bcrypt (algorithme sécurisé)
• Chiffrement HTTPS/TLS en transit
• Accès restreint par système de rôles Drupal
• Logs d'activité avec traçabilité (top_exo_logger)
• Sauvegardes chiffrées quotidiennes

8️⃣ Droits des personnes concernées

• Droit d'accès via API /api/v1/rgpd/summary
• Droit de rectification via paramètres compte
• Droit à l'effacement via API /api/v1/rgpd/delete
• Droit à la portabilité via API /api/v1/rgpd/export

🔧 Références techniques

• backend/web/modules/custom/top_exo_user
• backend/config/sync/user.role.*.yml
• frontend/top-exo/src/app/pages/settings

TRAITEMENT-002 : Suivi éducatif des enfants

Description : Collecte et traitement des données de progression scolaire des enfants pour personnaliser l'expérience d'apprentissage

⚠️ TRAITEMENT À RISQUE - Données de mineurs - Nécessite AIPD (Analyse d'Impact)

1️⃣ Finalités du traitement

• Personnaliser les exercices selon le niveau
• Suivre la progression et les résultats
• Générer des statistiques de performance
• Adapter la difficulté des exercices
• Attribuer badges et récompenses (gamification)

2️⃣ Base légale

Consentement parental (Article 8 RGPD - mineurs)

3️⃣ Catégories de données collectées

• Données d'identification enfant : prénom, nom, genre, date de naissance
• Données scolaires : niveau scolaire (CP à CM2), classe
• Données de performance : résultats exercices, temps passé, taux de réussite
• Données de progression : badges obtenus, winpoints gagnés, séries complétées
• Données comportementales : style d'apprentissage, motivation, difficultés
• Données de préférences : matières favorites, personnages préférés

4️⃣ Personnes concernées

• Enfants (mineurs de 5 à 12 ans)

5️⃣ Destinataires des données

• Équipe Top Exo - accès restreint développeurs et support pédagogique
• Parents - accès complet aux données de leurs enfants
• Hébergeur OVH (France) - sous-traitant Article 28
• OpenAI API - génération d'exercices personnalisés (transfert hors UE)

🌍 Transferts hors Union Européenne

Données transférées : Niveau scolaire, matières, préférences pédagogiques (AUCUNE donnée identifiante)

6️⃣ Durée de conservation

Durée du contrat + 1 an (à des fins statistiques anonymisées)

7️⃣ Mesures de sécurité

• Pseudonymisation des données enfants dans les logs
• Consentement parental obligatoire via API /api/user/consentement-parent
• Accès parent uniquement - aucun accès direct enfant
• Chiffrement des données sensibles (birth_date, résultats)
• Pas de profilage marketing sur les enfants (interdit)
• Isolation des données par famille (family entity)
• Anonymisation automatique après suppression compte

8️⃣ Droits des personnes concernées

• Exercice des droits par les parents/tuteurs uniquement
• Droit d'accès aux données enfant
• Droit de rectification des données
• Droit à l'effacement (suppression ou anonymisation)
• Droit d'opposition au traitement
• Droit de retirer le consentement parental à tout moment

🔧 Références techniques

• backend/web/modules/custom/top_exo_user/src/Entity/ChildIdentityCard.php
• backend/web/modules/custom/top_exo_answer
• backend/web/modules/custom/top_exo_evaluation
• backend/web/modules/custom/top_exo_badge
• backend/web/modules/custom/top_exo_winpoint
• backend/web/modules/custom/top_exo_persona

TRAITEMENT-003 : Gestion des paiements et abonnements

Description : Traitement des transactions financières et gestion des abonnements via Stripe

1️⃣ Finalités du traitement

• Facturer les abonnements
• Gérer les paiements récurrents
• Suivre l'historique des transactions
• Gérer les remboursements
• Respecter obligations comptables et fiscales

2️⃣ Base légale

Exécution du contrat (Article 6.1.b) + Obligation légale (Article 6.1.c - comptabilité)

3️⃣ Catégories de données collectées

• Données de facturation : nom, prénom, adresse email
• Données transactionnelles : montant, date, statut paiement, devises
• Identifiant abonnement Stripe : subscription_id, customer_id
• Historique des paiements : succès, échecs, remboursements
• ⚠️ AUCUNE donnée bancaire stockée (CB gérée par Stripe uniquement)

4️⃣ Personnes concernées

• Parents/tuteurs payeurs

5️⃣ Destinataires des données

• Stripe Inc. - Prestataire de paiement certifié PCI-DSS Level 1
• Équipe Top Exo - comptabilité et support commercial
• Expert-comptable (si applicable)
• Services fiscaux (en cas de contrôle)

🌍 Transferts hors Union Européenne

Données transférées : Email, montant, identifiant client (aucune donnée CB stockée chez Top Exo)

6️⃣ Durée de conservation

10 ans (obligation légale comptable et fiscale)

7️⃣ Mesures de sécurité

• Aucune donnée bancaire stockée sur nos serveurs
• Tokenisation Stripe (numéro CB jamais transmis à Top Exo)
• Webhooks Stripe avec vérification de signature
• Chiffrement HTTPS pour toutes communications Stripe
• Logs d'audit des transactions
• Accès restreint au module top_exo_stripe

8️⃣ Droits des personnes concernées

• Droit d'accès à l'historique des paiements
• Droit de rectification des données de facturation
• Conservation obligatoire 10 ans (pas de suppression possible avant)

🔧 Références techniques

• backend/web/modules/custom/top_exo_stripe
• backend/config/sync/subscription*.yml

TRAITEMENT-004 : Journalisation et traçabilité (Activity Logs)

Description : Enregistrement des actions utilisateurs pour sécurité, support et conformité RGPD

1️⃣ Finalités du traitement

• Assurer la sécurité du système
• Tracer les opérations RGPD (exports, suppressions)
• Faciliter le support technique
• Détecter les activités suspectes
• Prouver la conformité RGPD

2️⃣ Base légale

Intérêt légitime (Article 6.1.f) - sécurité du système + Obligation légale RGPD (traçabilité)

3️⃣ Catégories de données collectées

• Identifiant utilisateur (uid)
• Type d'action effectuée (login, export RGPD, suppression compte...)
• Date et heure précise (timestamp)
• Adresse IP
• Contexte technique : user-agent, session_id

4️⃣ Personnes concernées

• Parents
• Tuteurs légaux
• Administrateurs système

5️⃣ Destinataires des données

• Équipe technique Top Exo - développeurs et administrateurs système
• Hébergeur OVH (stockage des logs)
• CNIL (en cas de contrôle ou demande d'investigation)

6️⃣ Durée de conservation

3 ans maximum (recommandation CNIL pour logs de sécurité)

7️⃣ Mesures de sécurité

• Logs stockés séparément de la base principale
• Accès restreint aux administrateurs système uniquement
• Chiffrement des logs sensibles
• Pseudonymisation des données utilisateur dans les logs
• Rotation automatique des logs après 3 ans

8️⃣ Droits des personnes concernées

• Droit d'accès aux logs via API /api/v1/rgpd/logs
• Limitation de l'effacement (conservation nécessaire pour sécurité)

🔧 Références techniques

• backend/web/modules/custom/top_exo_logger
• backend/web/modules/custom/top_exo_rgpd/src/Service/RgpdLogger.php

TRAITEMENT-005 : Marketing et communication

Description : Envoi de newsletters, promotions et communications marketing aux utilisateurs consentants

⚠️ Consentement séparé du consentement d'utilisation de la plateforme

1️⃣ Finalités du traitement

• Envoyer la newsletter Top Exo
• Informer des nouveautés et fonctionnalités
• Communiquer sur les promotions et offres spéciales
• Envoyer des recommandations personnalisées
• Réaliser des enquêtes de satisfaction

2️⃣ Base légale

Consentement explicite (Article 6.1.a RGPD) - opt-in obligatoire

3️⃣ Catégories de données collectées

• Email
• Prénom (pour personnalisation)
• Préférences marketing (sujets d'intérêt)
• Historique d'ouverture des emails
• Date d'inscription à la newsletter
• Statut abonnement (actif/inactif)

4️⃣ Personnes concernées

• Parents consentants uniquement
• ⚠️ JAMAIS d'envoi aux enfants (interdit)

5️⃣ Destinataires des données

• Équipe marketing Top Exo
• Plateforme d'emailing : à définir (ex: Brevo, Mailchimp, Sendinblue)
• Outil d'analyse marketing (si utilisé)

🌍 Transferts hors Union Européenne

Données transférées : Email, prénom, préférences

6️⃣ Durée de conservation

Jusqu'au retrait du consentement + 3 ans pour preuve du consentement

7️⃣ Mesures de sécurité

• Opt-in obligatoire (double opt-in recommandé)
• Lien de désinscription dans chaque email
• Respect LCEN (Loi Confiance Économie Numérique)
• Pas de spam - fréquence raisonnable
• Gestion des préférences accessible
• Logs de consentement conservés (preuve)

8️⃣ Droits des personnes concernées

• Droit de retirer le consentement à tout moment
• Droit d'opposition au marketing
• Droit d'accès aux données marketing
• Désinscription facile en un clic

🔧 Références techniques

• backend/web/modules/custom/top_exo_marketing
• backend/config/sync/rest.resource.marketing*.yml

TRAITEMENT-006 : Exercice des droits RGPD

Description : Système permettant aux utilisateurs d'exercer leurs droits RGPD (accès, portabilité, effacement)

✅ Système déjà implémenté et fonctionnel

1️⃣ Finalités du traitement

• Permettre l'export des données personnelles
• Permettre la suppression ou anonymisation du compte
• Fournir un résumé des données collectées
• Tracer les demandes d'exercice des droits

2️⃣ Base légale

Obligation légale (Article 15, 17, 20 RGPD)

3️⃣ Catégories de données collectées

• Toutes les données personnelles de l'utilisateur
• Logs des demandes RGPD (export, suppression)
• Date et heure des opérations RGPD

4️⃣ Personnes concernées

• Tous les utilisateurs (parents, enfants via parents)

5️⃣ Destinataires des données

• L'utilisateur lui-même (export JSON)
• Équipe technique Top Exo (support et validation)
• CNIL (preuve de conformité si contrôle)

6️⃣ Durée de conservation

Logs des demandes : 3 ans (preuve de conformité)

7️⃣ Mesures de sécurité

• Authentification obligatoire JWT
• Vérification identité avant export/suppression
• Export chiffré en JSON structuré
• Suppression irréversible avec confirmation
• Logs d'audit de toutes les opérations RGPD
• Option anonymisation (conservation stats anonymes)

8️⃣ Droits des personnes concernées

• API /api/v1/rgpd/summary - résumé des données
• API /api/v1/rgpd/export - export complet JSON
• API /api/v1/rgpd/delete - suppression compte
• API /api/v1/rgpd/logs - historique opérations

🔧 Références techniques

• backend/web/modules/custom/top_exo_rgpd
• frontend/top-exo/src/app/pages/settings/services/rgpd.service.ts

Document généré automatiquement le 26/10/2025 à 21:16:38

Ce registre doit être mis à jour régulièrement et tenu à disposition de la CNIL en cas de contrôle.