Politique de confidentialité

Conforme au Règlement Général sur la Protection des Données (RGPD, UE 2016/679) et à la Loi Informatique et Libertés.

Qui sommes-nous

Préau est édité par Judicaël Goelzer (auto-entreprise française). Responsable du traitement : Judicaël Goelzer. Contact protection des données : dpo@preau.school.

Ce que nous collectons

Pour un élève qui utilise Préau

• Un pseudo aléatoire généré par nous (ex. RenardSongeur47). Pas votre nom.
• Un mot de passe que vous choisissez. Stocké de manière chiffrée (hash argon2/pbkdf2), nous ne pouvons pas le lire.
• Le contenu des messages que vous écrivez à l'équipe Préau de votre établissement. Lisible uniquement par les membres de cette équipe.
• L'établissement auquel vous êtes rattaché·e (via le code d'inscription).
• Des dates d'activité (date d'inscription, dernière connexion) pour la sécurité du compte.

Nous ne collectons pas : votre nom, prénom, date de naissance, email, numéro de téléphone, adresse IP, géolocalisation.

Pour un membre d'équipe Préau (adulte de l'établissement)

• Un pseudo professionnel visible des élèves (ex. M. Martin).
• Un email professionnel pour la connexion et les notifications.
• Une fonction (CPE, prof, infirmier·e, etc.).
• Un mot de passe chiffré.
• Les messages que vous écrivez (réponses aux élèves, discussions internes équipe).

Base légale du traitement

L'utilisation de Préau s'inscrit dans la politique de lutte contre le harcèlement scolaire de l'établissement (programme pHARe). La base légale est l'intérêt légitime de l'établissement à protéger ses élèves dans le cadre de sa mission éducative (article 6.1.f du RGPD).

Pour les élèves mineurs de moins de 15 ans, l'établissement informe les familles en début d'année, via le règlement intérieur ou la charte numérique. Les parents conservent un droit d'opposition.

Combien de temps gardons-nous les données

• Comptes élèves actifs : pendant la durée de votre scolarité dans l'établissement.
• Comptes élèves inactifs (pas de connexion depuis 12 mois) : suppression automatique des comptes inactifs après 18 mois.
• Messages : conservés tant que le signalement est en cours. Une fois clos, conservés 12 mois maximum puis anonymisés ou supprimés.
• Comptes équipe Préau : tant que la personne fait partie de l'établissement.

Qui peut accéder aux données

• Le contenu de vos messages est lisible uniquement par les membres actifs de l'équipe Préau de votre établissement.
• Les administrateurs de l'établissement (proviseur, principal) qui ne sont pas dans l'équipe Préau n'ont aucun accès aux messages.
• L'équipe Préau (l'éditeur) n'a accès qu'aux métadonnées agrégées (nombre d'établissements, nombre de signalements par catégorie) pour le pilotage de la plateforme. Aucun accès au contenu des messages.
• Aucune donnée n'est transmise à des tiers à des fins commerciales.

Où sont stockées les données

Données hébergées chez Railway Corp. (États-Unis), avec préférence pour les régions européennes (à confirmer selon plan Railway). Sauvegardes chiffrées.

Vos droits

Vous disposez des droits suivants, conformément au RGPD :

• Droit d'accès : savoir ce que nous collectons à votre sujet.
• Droit de rectification : corriger une donnée inexacte.
• Droit à l'effacement (« droit à l'oubli ») : demander la suppression de vos données.
• Droit d'opposition : refuser un traitement.
• Droit à la portabilité : récupérer vos données dans un format lisible.
• Droit de réclamation auprès de la CNIL.

Pour exercer ces droits, écrivez à dpo@preau.school en précisant votre établissement et votre pseudo. Nous vous répondrons sous 30 jours.

Sécurité

• Communications chiffrées en HTTPS sur l'ensemble du site.
• Mots de passe chiffrés par hashage robuste (argon2 ou pbkdf2-sha256).
• Cookies de session sécurisés (HttpOnly, Secure, SameSite).
• Protection contre les attaques CSRF, XSS, brute force (rate limiting).
• Audit régulier du code source.

Cookies

Préau utilise un unique cookie de session, strictement nécessaire au fonctionnement de l'authentification. Aucun cookie de traçage publicitaire, aucun cookie tiers. Pas de besoin de bandeau de consentement (cf. délibération CNIL 2020-091).

Modifications

Cette politique peut évoluer. La date de dernière mise à jour est indiquée en bas de page. En cas de changement substantiel, vous serez informé·e à votre prochaine connexion.

Dernière mise à jour : juin 2026. Ce document est un draft initial, à faire relire par un avocat avant déploiement commercial.