Politique de confidentialité

01Responsable du traitement

Le responsable du traitement au sens du Règlement général sur la protection des données (RGPD) et des autres lois nationales sur la protection des données est :

02Aperçu des traitements

Asla est une application d'apprentissage pour les langues arabes du patrimoine, centrée sur le dialecte tunisien. Nous traitons uniquement les données nécessaires au fonctionnement de l'application et au suivi de votre progression :

• Données de compte : adresse e-mail et — en cas d'inscription par e-mail — mot de passe chiffré
• Données de profil : dialecte choisi, préférence d'écriture, niveau de difficulté, langue de l'application (DE/EN/FR)
• Progression d'apprentissage : paquets de vocabulaire, résultats des révisions, paramètres de répétition espacée, XP cumulés, niveau
• Données techniques : données d'appareil et de connexion qui apparaissent inévitablement lors de l'accès à nos serveurs (par ex. adresse IP, horodatage)

Nous ne traitons aucune catégorie particulière de données personnelles (art. 9 RGPD).

03Inscription et authentification

L'utilisation de l'application requiert un compte. L'authentification est assurée par Supabase Auth. Les méthodes de connexion suivantes sont disponibles :

• E-mail et mot de passe : nous stockons l'adresse e-mail et un hachage chiffré du mot de passe (bcrypt). Le mot de passe lui-même n'est jamais visible pour nous.
• Se connecter avec Apple (iOS) : Apple nous transmet un jeton d'identité ainsi que — sauf si vous choisissez « Masquer mon e-mail » — votre adresse e-mail. Une adresse de relais privée est traitée comme un e-mail ordinaire.
• Se connecter avec Google (iOS et Android) : Google nous transmet un jeton d'identité, votre adresse e-mail et le nom de votre profil public.

Base juridique : art. 6, par. 1, point b) RGPD (exécution du contrat).

04Traitement durant l'utilisation

Pendant l'utilisation, nous enregistrons votre progression afin que vous retrouviez le même état sur tous vos appareils et que vos révisions arrivent au bon moment. Concrètement :

• vocabulaire et paquets ajoutés
• résultats des révisions (correct / incorrect / difficulté)
• intervalles SRS, facteurs de facilité et prochaines échéances
• statistiques agrégées (XP, niveau, série)

Ces données sont nécessaires à l'algorithme d'apprentissage et à l'affichage de votre progression. Elles sont liées uniquement à votre compte et ne sont pas visibles par d'autres utilisateurs. Base juridique : art. 6, par. 1, point b) RGPD.

05Hébergement et prestataires techniques

a) Base de données et backend (Supabase)

Toutes les données personnelles sont stockées dans une base de données PostgreSQL exploitée par Supabase Inc. Les serveurs se trouvent dans la région AWS eu-central-1 (Francfort, Allemagne). Aucun transfert vers un pays tiers n'a lieu en fonctionnement normal.

Nous utilisons la Row Level Security (RLS), de sorte que chaque utilisateur n'accède techniquement qu'à ses propres données. Un contrat de sous-traitance (art. 28 RGPD) est en place avec Supabase.

b) Fournisseurs d'authentification

Lors de l'utilisation de « Se connecter avec Apple » ou « Se connecter avec Google », Apple ou Google reçoivent l'information que vous vous connectez à Asla. Les politiques de confidentialité d'Apple Inc. et de Google LLC s'appliquent. Un transfert vers les États-Unis est possible ; les deux prestataires sont certifiés au titre du EU-US Data Privacy Framework.

c) Stockage local sur votre appareil

Sur les appareils natifs (iOS, Android), des paramètres non personnels (par ex. choix de langue, cartes-tutoriel masquées) sont stockés localement à l'aide de la bibliothèque chiffrée MMKV. Sur le web, nous utilisons localStorage à cette fin. Aucun cookie de suivi n'est déposé.

06Analyse des erreurs (Sentry)

Pour détecter et corriger les erreurs et plantages techniques, nous utilisons le service Sentry de Functional Software, Inc. d/b/a Sentry, 45 Fremont Street, 8th Floor, San Francisco, CA 94105, États-Unis. Le traitement s'effectue sur l'infrastructure européenne de Sentry (de.sentry.io) ; les données d'événement sont stockées au sein de l'Union européenne.

Quelles données sont traitées ? En cas de plantage ou d'erreur inattendue, l'application transmet automatiquement un rapport d'erreur à Sentry. Celui-ci contient :

• des informations techniques sur l'erreur (trace d'exécution, message d'erreur, version de l'application)
• le contexte de l'appareil (modèle, version du système, version de l'application, langue, mémoire disponible, niveau de batterie, type de réseau, orientation de l'écran)
• un identifiant utilisateur pseudonyme (l'UUID technique de votre compte Supabase, sans e-mail ni données de profil)
• les chemins parcourus dans l'application avant l'erreur et les codes de statut HTTP (sans contenu de requête ou de réponse)

Que ne transmettons-nous pas ? L'adresse e-mail, le nom, le dialecte choisi, les contenus d'apprentissage, les jetons d'authentification ainsi que les en-têtes Cookie et Authorization sont techniquement supprimés avant l'envoi. Dans les versions de développement de l'application, Sentry est entièrement désactivé.

Adresse IP : À la réception d'un rapport d'erreur sur les serveurs de Sentry, votre adresse IP est nécessairement présente au niveau réseau. Nous avons configuré Sentry de manière à ne pas enregistrer activement l'adresse IP dans le rapport d'erreur ; un bref traitement côté serveur lors de la réception ne peut toutefois être exclu techniquement.

Base juridique : art. 6, par. 1, point f) RGPD. Notre intérêt légitime réside dans la stabilité, la sécurité et le bon fonctionnement de l'application. Aucun traitement à des fins de marketing, de profilage ou de personnalisation n'a lieu.

Transferts vers des pays tiers : La société mère Functional Software, Inc. est établie aux États-Unis. Sentry est certifié au titre du EU-US Data Privacy Framework ; en complément, les clauses contractuelles types de la Commission européenne s'appliquent. Un contrat de sous-traitance (art. 28 RGPD) est en place avec Sentry.

07Ce que nous ne faisons PAS

• Nous n'utilisons aucun outil tiers d'analyse produit, de publicité ou de personnalisation. L'analyse des erreurs via Sentry (voir section précédente) ne traite aucune donnée d'apprentissage ou de profil.
• Nous n'affichons aucune publicité et ne partageons aucune donnée avec des régies.
• Nous ne vendons aucune donnée à des tiers.
• Nous ne créons aucun profil à des fins marketing.

08Durée de conservation

Vos données sont conservées tant que votre compte existe. Lorsque vous supprimez votre compte (« Profil → Supprimer le compte » dans l'application), l'ensemble de vos données personnelles et de votre progression est supprimé sans délai et irrévocablement. Les obligations légales de conservation restent réservées.

09Vos droits

Vous disposez à tout moment du droit :

Vous pouvez exercer ces droits à tout moment par e-mail à kontakt@getasla.com. Vous avez également le droit d'introduire une réclamation auprès d'une autorité de contrôle (art. 77 RGPD).

10Sécurité des données

Les échanges entre l'application et le serveur s'effectuent exclusivement via des connexions chiffrées TLS. Les mots de passe ne sont jamais stockés en clair. Les accès à la base de données sont liés à l'identité authentifiée par la Row Level Security.

11Modifications de cette politique

Nous nous réservons le droit de modifier cette politique en cas d'évolution juridique ou de nouvelles fonctionnalités. La version en vigueur est toujours accessible à l'adresse getasla.com/privacy. En cas de modifications substantielles, nous vous informerons en plus dans l'application.