Politique de confidentialité
Conformément au Règlement Général sur la Protection des Données (RGPD — UE 2016/679) et à la loi Informatique et Libertés n°78-17 du 6 janvier 1978.
1. Responsable du traitement
Le responsable du traitement des données personnelles collectées via VocaBag est :
SECBEC — SASU, SIRET 92486099200016
60 rue François Ier, 75008 Paris, France
Contact : Formulaire de contact
VocaBag ne dispose pas de Délégué à la Protection des Données (DPO) désigné formellement. Pour toute question relative à la protection de vos données, vous pouvez nous contacter via le formulaire de contact.
2. Données collectées et finalités
VocaBag collecte uniquement les données strictement nécessaires au fonctionnement du service. Aucune donnée de localisation, aucun numéro de téléphone, et aucune donnée sensible au sens de l'article 9 du RGPD ne sont collectés.
| Donnée | Finalité | Base légale | Conservation |
|---|---|---|---|
| Adresse e-mail | Création de compte, vérification d'identité, envoi d'emails transactionnels (confirmation d'inscription, réinitialisation de mot de passe, rappel de streak) | Exécution du contrat | Durée du compte + 30 jours après suppression |
| Nom d'utilisateur | Identification dans l'application, affichage dans le classement | Exécution du contrat | Durée du compte |
| Mot de passe (haché bcrypt) | Authentification sécurisée (comptes créés sans Google) | Exécution du contrat | Durée du compte |
| Identifiant Google (google_id, optionnel) | Authentification via le service Google Sign-In, uniquement si l'utilisateur choisit de se connecter avec son compte Google | Exécution du contrat | Durée du compte |
| Progression d'apprentissage (XP, niveau, mots vus, statuts SRS, streak, badges, missions) |
Service pédagogique, calcul du classement, personnalisation de l'expérience | Exécution du contrat | Durée du compte |
| Historique des sessions de quiz | Statistiques personnelles, suivi de progression | Exécution du contrat | Durée du compte |
| Date de dernière activité | Calcul des séries quotidiennes (streak) | Intérêt légitime | Durée du compte |
| Objectif journalier et préférences de langues | Personnalisation de l'application | Exécution du contrat | Durée du compte |
| Jeton de notification push (optionnel) | Envoi de notifications sur l'appareil de l'utilisateur (application mobile uniquement, si l'autorisation est accordée) | Consentement | Jusqu'au retrait du consentement ou suppression du compte |
| Messages du formulaire de contact | Traitement des demandes et signalements | Intérêt légitime | Durée nécessaire au traitement de la demande |
| Données d'abonnement (plan, statut, date de fin) | Gestion du plan Premium, accès aux fonctionnalités payantes | Exécution du contrat | Durée du compte + 30 jours après suppression |
| Identifiants Stripe (stripe_customer_id, stripe_subscription_id) | Liaison entre le compte VocaBag et le compte de facturation Stripe | Exécution du contrat | 10 ans (obligation légale comptable) |
3. Cookies et traceurs
VocaBag n'utilise aucun cookie publicitaire, aucun outil de tracking tiers (Google Analytics, Facebook Pixel, etc.) et aucun mécanisme de profilage commercial.
Les seuls traceurs utilisés sont strictement nécessaires au fonctionnement du service :
- PHPSESSID — cookie de session HTTP, indispensable à l'authentification. Durée : session navigateur. Attributs : HttpOnly, SameSite=Lax.
- vb_remember — cookie de connexion persistante, créé uniquement si l'utilisateur coche « Se souvenir de moi ». Token stocké sous forme hachée (SHA-256) en base de données. Durée : 30 jours. Révoqué à la déconnexion et au changement de mot de passe. Attributs : HttpOnly, Secure, SameSite=Lax.
- rgpd_ok — entrée localStorage mémorisant l'acceptation du bandeau d'information RGPD. Durée : indéterminée (stockage local, non transmis au serveur).
- Cache Service Worker — l'application utilise un Service Worker (PWA) qui met en cache les fichiers statiques (CSS, JS) pour un accès hors ligne partiel. Ce cache ne contient aucune donnée personnelle.
4. Services tiers
4.1 Hébergement — Hostinger
Le site et ses données sont hébergés sur un serveur VPS opéré par Hostinger International Ltd, 61 Lordou Vironos Street, 6023 Larnaca, Chypre. Hostinger est un sous-traitant au sens du RGPD. Les données sont stockées dans des centres de données situés dans l'Union Européenne. Pour plus d'informations : Politique de confidentialité Hostinger.
4.2 Envoi d'emails — API Gmail (Google)
VocaBag utilise l'API Gmail de Google LLC pour envoyer des emails transactionnels (vérification d'adresse email, réinitialisation de mot de passe, rappels liés à l'activité de l'utilisateur). Cette intégration repose sur le protocole OAuth 2.0 appliqué à un compte d'envoi appartenant à l'application ; elle ne permet en aucun cas à VocaBag d'accéder aux données des comptes Gmail des utilisateurs.
Les emails transactionnels envoyés transitent par les serveurs de Google. Cette transmission est encadrée par les règles de confidentialité de Google et les clauses contractuelles applicables aux partenaires de l'API.
L'API Gmail est uniquement utilisée pour l'envoi d'emails transactionnels au nom de l'application. Elle ne permet pas à VocaBag d'accéder aux boîtes mail ou aux données personnelles des utilisateurs.
4.3 Connexion sociale — Google Sign-In
VocaBag propose une connexion via Google Sign-In (service de Google LLC), accessible depuis les pages de connexion et d'inscription. Ce mécanisme est strictement optionnel : l'inscription par email et mot de passe reste disponible et aucune donnée Google n'est collectée pour les utilisateurs qui ne l'utilisent pas.
Lorsqu'un utilisateur choisit de se connecter avec Google, VocaBag accède aux données suivantes, transmises par Google après consentement explicite :
- Adresse email associée au compte Google ;
- Prénom et/ou nom d'affichage (utilisé pour générer un pseudo initial) ;
- Identifiant unique Google (« google_id »), stocké en base de données afin d'associer le compte Google au compte VocaBag correspondant.
VocaBag ne reçoit ni n'accède à votre mot de passe Google, à vos emails, à vos contacts, ni à aucune autre donnée de votre compte Google au-delà des informations de profil de base. L'utilisation de Google Sign-In est encadrée par les règles de confidentialité de Google et ses conditions d'utilisation.
4.4 Audio — gTTS (Google Text-to-Speech)
Les fichiers audio associés aux mots du vocabulaire sont générés en amont via la bibliothèque gTTS (Google Text-to-Speech) et stockés statiquement sur le serveur de VocaBag sous forme de fichiers MP3. Aucune requête audio n'est envoyée à Google en temps réel lors de l'utilisation de l'application. La synthèse vocale en temps réel pour certaines langues utilise l'API Web Speech du navigateur, traitée localement sur l'appareil de l'utilisateur.
4.5 Paiement — Stripe
Le paiement de l'abonnement Premium est traité par Stripe Inc., 510 Townsend Street, San Francisco, CA 94103, États-Unis. VocaBag ne stocke jamais vos données de carte bancaire — celles-ci sont saisies et traitées directement sur les serveurs de Stripe, certifié PCI DSS niveau 1 (standard de sécurité le plus strict du secteur).
VocaBag conserve uniquement un identifiant client Stripe (stripe_customer_id)
et un identifiant d'abonnement (stripe_subscription_id) pour gérer l'état
de votre abonnement. Aucune donnée financière n'est stockée côté VocaBag.
Pour plus d'informations : Politique de confidentialité Stripe.
5. Transferts internationaux de données
Les données personnelles sont hébergées dans l'Union Européenne (Hostinger, Chypre). Deux intégrations impliquent un transfert de données vers les serveurs de Google LLC, dont certains peuvent être localisés hors UE :
- API Gmail : l'adresse email de l'utilisateur destinataire est transmise lors de l'envoi d'emails transactionnels ;
- Google Sign-In : lorsque l'utilisateur choisit de se connecter avec Google, son adresse email et son identifiant Google sont échangés dans le cadre du protocole OAuth 2.0.
- Stripe : lors d'un paiement ou de la gestion d'un abonnement Premium, les données nécessaires à la facturation (email, montant, devise) sont transmises aux serveurs de Stripe Inc., localisés aux États-Unis.
Ces transferts sont encadrés par les mécanismes légaux appropriés (clauses contractuelles types — SCCs — et/ou le Data Privacy Framework UE–États-Unis, décision d'adéquation en vigueur depuis juillet 2023).
6. Sécurité des données
VocaBag met en œuvre les mesures techniques et organisationnelles suivantes :
- Chiffrement de toutes les communications via HTTPS/TLS ;
- Stockage des mots de passe exclusivement sous forme hachée (bcrypt, facteur de coût élevé) ;
- Tokens de vérification email et de réinitialisation générés de façon cryptographiquement sûre (SHA-256), à usage unique et à durée de validité limitée (1 heure) ;
- Protection contre les attaques CSRF sur tous les formulaires (tokens CSRF) ;
- Protection contre les injections SQL via requêtes préparées (PDO) ;
- Cookies d'authentification avec attributs HttpOnly, Secure et SameSite=Lax.
Malgré ces mesures, aucun système informatique ne peut offrir une sécurité absolue. En cas de violation de données susceptible d'engendrer un risque élevé pour vos droits et libertés, vous en serez informé dans les meilleurs délais conformément à l'article 34 du RGPD.
7. Durées de conservation
Les données personnelles sont conservées pendant toute la durée de vie du compte utilisateur. En cas de suppression du compte, les données sont effacées dans un délai de 30 jours, à l'exception des données pouvant être requises pour répondre à des obligations légales. Les logs techniques éventuels sont conservés pour une durée maximale de 12 mois.
8. Vos droits
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès (art. 15) — obtenir la confirmation que des données vous concernant sont traitées, et en recevoir une copie ;
- Droit de rectification (art. 16) — faire corriger des données inexactes ou incomplètes ;
- Droit à l'effacement (art. 17) — demander la suppression de vos données — ou, plus simplement, supprimer votre compte directement depuis votre espace membre ;
- Droit à la portabilité (art. 20) — recevoir vos données dans un format structuré et lisible par machine ;
- Droit d'opposition (art. 21) — vous opposer à un traitement fondé sur l'intérêt légitime ;
- Droit à la limitation du traitement (art. 18) — demander une limitation temporaire du traitement de vos données ;
- Droit de retirer votre consentement — à tout moment, pour les traitements fondés sur le consentement (ex. notifications push).
Pour exercer l'un de ces droits, contactez-nous via le formulaire de contact. Nous nous engageons à répondre dans un délai maximum de 30 jours à compter de la réception de votre demande. Une preuve d'identité pourra être demandée.
9. Suppression du compte
Vous pouvez supprimer votre compte à tout moment directement depuis votre espace membre (section Compte). Cette action entraîne l'effacement immédiat et irréversible de toutes vos données personnelles : adresse email, nom d'utilisateur, progression, historique de quiz, classement, badges et préférences.
10. Réclamation auprès de la CNIL
Si vous estimez que vos droits ne sont pas respectés, vous avez la possibilité d'introduire une réclamation auprès de l'autorité de contrôle compétente :
Commission Nationale de l'Informatique et des Libertés (CNIL)
3 Place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
www.cnil.fr
11. Modifications de la présente politique
Cette politique de confidentialité peut être mise à jour à tout moment afin de refléter des évolutions légales, réglementaires ou techniques. En cas de modification substantielle affectant vos droits, vous en serez informé par email. La date de dernière mise à jour est indiquée ci-dessous. L'utilisation continue du service après notification vaut acceptation des nouvelles conditions.
Dernière mise à jour : mai 2026