Retour
OPLC

Registre des activites de traitement

Article 30 du Reglement (UE) 2016/679 (RGPD) — Mis a jour le 14/07/2026
Organisme : Outils Pour La Classe — outilspourlaclasse.fr
Responsable : M. Boisnel Anthony — Artiste-auteur
Referent protection des données : contact@outilspourlaclasse.fr
Hebergement : o2switch SARL — Clermont-Ferrand, France

Traitement n°1 — Gestion des comptes enseignants

ChampDetail
FinaliteCréer et gerer les comptes des enseignants pour accéder a la plateforme pedagogique
Base legaleExecution du contrat (Art. 6.1.b) — l'enseignant s'inscrit volontairement et accepte les CGU
Categories de personnesEnseignants du primaire (adultes)
Categories de donnéesEmail, prénom, nom, ecole, niveau principal, mot de passe (hache bcrypt), date d'inscription, dernière connexion
DestinatairesInterne uniquement (responsable du traitement). Stripe pour les paiements. o2switch pour l'hebergement.
Transferts hors UEStripe Inc. (USA) — DPA signe, SCCs, Data Privacy Framework EU-US, PCI-DSS
Duree de conservation3 ans après la dernière connexion (anonymisation automatique par cron quotidien)
Mesures de sécuritéMot de passe bcrypt, 2FA optionnel (TOTP), HTTPS, CSRF, session securisee (4h/8h timeout), rate limiting

Traitement n°2 — Gestion des profils élèves

ChampDetail
FinalitePermettre aux élèves d'accéder aux exercices interactifs et suivre leur progression pedagogique
Base legaleMission d'interet public de l'école (Art. 6.1.e) — OPLC agit comme sous-traitant (Art. 28) sur instruction de l'école responsable de traitement, dans le cadre du projet pedagogique de la classe
Categories de personnesÉlèves du primaire (mineurs de 5 a 11 ans) — personnes vulnerables
Categories de donnéesPrenom (obligatoire), nom de famille (optionnel), niveau scolaire, mot de passe personnel (hache bcrypt)
Consentement parentalAttestation de l'enseignant lors de la création de classe + fiche d'information RGPD distribuee aux parents
DestinatairesEnseignant proprietaire de la classe uniquement. o2switch pour l'hebergement.
Transferts hors UEAucun — les données élèves ne sont jamais transmises a Stripe ni a Sentry
Duree de conservationAnnee scolaire en cours + 1 an (anonymisation automatique par cron quotidien)
Mesures de sécuritéMot de passe élève bcrypt, isolation par classe (vérification propriete), HTTPS, CSRF, pas d'email/telephone collecte

Traitement n°3 — Suivi pedagogique et adaptation

ChampDetail
FinaliteEnregistrer les résultats d'exercices pour adapter le niveau et suivre la progression
Base legaleMission d'interet public de l'école (Art. 6.1.e) — OPLC agit comme sous-traitant (Art. 28) sur instruction de l'école responsable de traitement
Categories de personnesÉlèves du primaire (mineurs)
Categories de donnéesScores, nombre de bonnes reponses, temps passe, type d'exercice, niveau de difficulte, date
ProfilageAdaptation automatique du niveau (algorithme deterministe). Aucun effet juridique. Droit d'opposition via contact@outilspourlaclasse.fr
DestinatairesEnseignant proprietaire uniquement
Transferts hors UEAucun
Duree de conservationAnnee scolaire en cours + 1 an (anonymisation automatique)
Mesures de sécuritéAcces restreint par classe, requetes préparées (anti-injection SQL), 35 667 tests automatises

Traitement n°4 — Besoins educatifs particuliers

ChampDetail
FinaliteAdapter les exercices aux besoins spécifiques des élèves (dyslexie, dyscalculie, TDAH, etc.)
Base legaleArt. 9.2.g — interet public important dans le domaine de l'education (loi 2005, Code de l'education L.311-7)
Categories de personnesÉlèves du primaire signales par l'enseignant
Categories de donnéesIndicateurs : dyslexie, dyscalculie, dyspraxie, TDAH, TSA, deficience visuelle/auditive (cases a cocher facultatives)
Donnees sensiblesOUI (Art. 9) — Donnees relatives a la sante. Renseignees uniquement par l'enseignant, jamais par l'élève.
DestinatairesEnseignant proprietaire exclusivement. Jamais exposees aux élèves, API publiques ou sous-traitants.
Transferts hors UEAucun
Duree de conservationAnnee scolaire en cours (supprimable a tout moment par l'enseignant ou sur demande des parents)
Mesures de sécuritéAcces exclusif enseignant proprietaire (verification serveur), non present dans les exports élèves, non transmis aux sous-traitants

Traitement n°5 — Paiements en ligne

ChampDetail
FinaliteTraiter les achats de ressources pedagogiques premium (guides PDF)
Base legaleExecution du contrat (Art. 6.1.b) + obligation legale comptable (Art. 6.1.c)
Categories de personnesEnseignants acheteurs (adultes)
Categories de donnéesMontant, date, reference Stripe, email. Les données bancaires sont traitees exclusivement par Stripe (jamais stockees sur nos serveurs).
DestinatairesStripe Inc. (processeur de paiement PCI-DSS niveau 1)
Transferts hors UEStripe Inc. (USA) — DPA, SCCs, Data Privacy Framework, PCI-DSS
Duree de conservation10 ans (obligation legale : Code du commerce, Code general des impots)
Mesures de sécuritéStripe Checkout (redirection), webhook avec vérification signature, HTTPS

Traitement n°6 — Monitoring et sécurité

ChampDetail
FinaliteDetecter et corriger les erreurs techniques, prevenir les intrusions et abus
Base legaleInteret legitime sécurité (Art. 6.1.f)
Categories de personnesTous les utilisateurs (enseignants et élèves)
Categories de donnéesLogs de sécurité (IP, action, date), erreurs JS anonymisees (type navigateur, URL, message d'erreur)
DestinatairesSentry (monitoring erreurs — données anonymisees, serveurs UE, DPA signe)
Transferts hors UEAucun (Sentry serveurs UE)
Duree de conservationLogs sécurité : 1 an. Erreurs Sentry : 90 jours. Purge automatique (cron quotidien).
Mesures de sécuritéFiltrage des erreurs (pas de données personnelles envoyées a Sentry), rate limiting, detection brute-force

Traitement n°7 — Cookies et sessions

ChampDetail
FinaliteMaintenir la session de connexion et les préférences utilisateur
Base legaleCookies strictement nécessaires (exemptes de consentement — directive ePrivacy Art. 5.3)
Categories de personnesTous les utilisateurs
Categories de donnéesIdentifiant de session (PHPSESSID), préférence de theme (dark/light)
Cookies tiersAucun. Pas de cookie publicitaire, pas de Google Analytics, pas de tracking tiers.
DestinatairesInterne uniquement
Duree de conservationSession : fermeture navigateur ou 8h d'inactivite. Theme : localStorage persistant.
Mesures de sécuritéRegénération ID de session, fingerprinting, HttpOnly, Secure flag en production

Traitement n°8 — Météo des émotions (climat de classe)

ChampDetail
FinalitePermettre a l'élève de declarer son ressenti du jour (soleil, eclaircie, nuages, pluie, orage) pour que l'enseignant suive le climat de classe et repere un élève en difficulte
Base legaleInteret legitime educatif (Art. 6.1.f) — rituel de classe declaratif et facultatif, dans le cadre du projet pedagogique
Categories de personnesÉlèves du primaire (mineurs) — personnes vulnerables
Categories de donnéesMeteo declaree par l'élève (5 valeurs symboliques), date. Aucun texte libre, aucun motif collecte.
VigilanceDonnee de ressenti declaratif d'un mineur (non medicale, non Art. 9, mais traitee avec les garanties des données sensibles par precaution). Les meteos preoccupantes sont signalees a l'enseignant seul.
DestinatairesEnseignant proprietaire de la classe exclusivement. Jamais visible des autres élèves ni des parents.
Transferts hors UEAucun
Duree de conservation60 jours (purge automatique quotidienne par cron), independamment de la retention generale « annee + 1 »
Mesures de sécuritéEcriture strictement liee a la session de l'élève (impossible de declarer pour un autre), acces lecture restreint a l'enseignant proprietaire, purge automatique

Traitement n°9 — Fonds de carte des jeux de géographie (traitement supprimé le 12/07/2026)

ChampDetail
StatutTraitement supprimé le 12 juillet 2026. Les fonds de carte des jeux de géographie (France, Europe, monde) étaient auparavant chargés depuis un fournisseur tiers (CARTO, Espagne — l'adresse IP du navigateur lui était transmise au chargement des tuiles). Ils sont désormais entièrement hébergés sur nos propres serveurs (fond vectoriel self-hosté) : le chargement d'une carte ne transmet plus aucune donnée, pas même l'adresse IP, à un service tiers. L'entrée est conservée ici au titre de l'historique du registre.

Traitement n°10 — Connexion Google (SSO enseignant)

ChampDetail
FinalitePermettre a l'enseignant de s'authentifier via son compte Google (« Se connecter avec Google »)
Base legaleExecution du contrat (Art. 6.1.b) — moyen d'authentification choisi volontairement par l'enseignant
Categories de personnesEnseignants (adultes) ayant opte pour la connexion Google
Categories de donnéesIdentifiant Google (scope openid), adresse email, nom/prénom et photo de profil (scopes email, profile). Aucune donnee d'élève.
DestinatairesGoogle LLC (fournisseur d'identite OAuth 2.0 / OpenID Connect)
Transferts hors UEGoogle LLC (USA) — Clauses Contractuelles Standard (SCCs), Data Privacy Framework EU-US. Aucune donnee élève concernee.
Duree de conservationAucune conservation supplementaire cote OPLC : l'email retourne alimente le compte enseignant (cf. traitement n°1). Le jeton d'acces n'est pas conserve.
Mesures de sécuritéFlux OAuth 2.0 / OpenID Connect, verification du state anti-CSRF, HTTPS, scopes limites au strict necessaire (openid, email, profile)

Traitement n°11 — Notifications push (Firebase Cloud Messaging)

ChampDetail
FinaliteAcheminer les notifications push (Web Push / application) vers le navigateur ou l'appareil de l'enseignant qui les a activees
Base legaleInteret legitime (Art. 6.1.f) — information de l'enseignant sur l'activite de son compte, activation optionnelle
Categories de personnesEnseignants (adultes) ayant active les notifications push
Categories de donnéesIdentifiant technique d'abonnement (endpoint push) associe au compte enseignant, contenu de la notification. Aucune donnee d'élève.
DestinatairesGoogle LLC (Firebase Cloud Messaging — service d'acheminement des notifications)
Transferts hors UEGoogle LLC (USA) — Clauses Contractuelles Standard (SCCs), Data Privacy Framework EU-US. Aucune donnee élève concernee.
Duree de conservationEndpoint conserve tant que l'enseignant garde les notifications activees ; supprime a la desactivation ou a la suppression du compte
Mesures de sécuritéAbonnement lie au compte enseignant, revocable a tout moment, HTTPS, aucune donnee élève transmise