Politique de confidentialité & RGPD
Dernière mise à jour : 03/06/2026
LectoRaptor s'engage à protéger les données personnelles de ses utilisateurs et des personnes suivies par ces utilisateurs. Cette politique détaille les traitements mis en œuvre, vos droits au titre du RGPD, et les mesures techniques et organisationnelles en place.
1. Responsable de traitement
Le responsable de traitement pour les données de compte (email, profil utilisateur) est l'éditeur de LectoRaptor, dont les coordonnées figurent dans les mentions légales.
Pour les données patients saisies par l'utilisateur (orthophoniste, enseignant…), c'est l'utilisateur qui agit comme responsable de traitement vis-à-vis de ses patients ; LectoRaptor agit comme sous-traitant technique au sens de l'article 28 du RGPD.
2. Données collectées
Données de compte utilisateur
- Nom, prénom, adresse email
- Adresse postale et téléphone (facultatifs)
- Mot de passe (haché bcrypt) ou identifiant Othalys (lien SSO)
- Date d'inscription, date de dernière modification
Données patients (saisies par l'utilisateur)
- Prénom, nom, âge, tags personnalisés
- Listes de mots associées
- Sessions de lecture (mots lus, justesse, temps de lecture)
- Statistiques de progression
- Collection de cadeaux virtuels gagnés
Données techniques
- Adresse IP et user-agent lors des connexions (logs de sécurité)
- Tentatives de connexion échouées (rate limiting, conservées 24h)
- Feedback envoyés volontairement (type, message, capture d'écran optionnelle)
3. Finalités et bases légales
- Fourniture du service (gestion du compte, sessions de lecture, statistiques) — base : exécution du contrat (article 6.1.b RGPD).
- Sécurité (rate limit, audit log impersonation) — base : intérêt légitime (article 6.1.f).
- Notifications email (vérification d'email, feedback admin) — base : exécution du contrat.
- Génération IA optionnelle de listes de mots — base : consentement explicite à l'usage de l'IA.
- SSO Othalys optionnel — base : consentement explicite lors du clic « Continuer avec Othalys ».
4. Destinataires des données
- Personnel de l'éditeur : un nombre restreint d'administrateurs ayant un besoin technique d'accès, dans le strict cadre du support et de la maintenance.
- Hébergeur : OVH SAS (France), pour le stockage et la disponibilité.
- Mistral AI (France, Union européenne) — uniquement si l'utilisateur active la génération IA. Aucune donnée identifiante patient n'est transmise (seuls les critères de génération et thèmes). Mistral étant établi dans l'UE, aucun transfert hors UE n'est en cause.
- Othalys (France) — uniquement si l'utilisateur utilise le SSO Othalys, pour valider son identité (échange d'un jeton, pas de partage de données patients).
Aucune donnée n'est revendue ni cédée à des tiers à des fins commerciales.
5. Durée de conservation
- Compte utilisateur : tant que le compte est actif. Suppression à tout moment depuis votre Profil > Mes données > Supprimer mon compte (cascade complète immédiate), ou sur simple demande email à contact@lectoraptor.fr.
- Données patients : tant que l'utilisateur les conserve. Effacement définitif à la suppression du patient ou du compte (cascade SQL).
- Logs de tentatives de connexion : 24 heures (purge automatique côté base).
- Logs de sécurité applicatifs : conservés sur le serveur web le temps nécessaire au diagnostic, sans rétention au-delà de ce qui est utile à la sécurité.
- Feedback utilisateur : conservation pendant la durée du traitement, archivage possible par l'administrateur, suppression sur demande.
6. Localisation des données
Les données sont stockées sur des serveurs situés en France chez OVH SAS. Les éventuelles requêtes IA passent par Mistral AI, également hébergé en France. Aucun transfert de données hors Union européenne n'a lieu dans le fonctionnement courant.
7. Sécurité
- Chiffrement des échanges via HTTPS / TLS, headers HSTS.
- Mots de passe hachés avec bcrypt — jamais stockés en clair.
- Authentification par jeton JWT signé.
- Limitation des tentatives de connexion (5 essais / 15 min par email et par IP).
- Cloisonnement strict par utilisateur : chaque praticien n'accède qu'à ses propres patients et sessions ; vérifications côté serveur sur toutes les ressources.
- Headers de sécurité : X-Frame-Options DENY, X-Content-Type-Options nosniff, Referrer-Policy strict-origin.
- Sauvegardes régulières de la base de données.
- Code source revu, requêtes SQL préparées, validation stricte des entrées.
8. Cookies et stockage local
LectoRaptor utilise uniquement le localStorage du navigateur pour stocker le jeton d'authentification et les préférences utilisateur (thème clair/sombre). Aucun cookie tiers de mesure d'audience, de tracking publicitaire ou de profilage n'est posé.
Pour plus de détails : voir la page Cookies.
9. Vos droits
Conformément au RGPD, vous disposez des droits suivants sur vos données :
- Accès : obtenir une copie des données vous concernant.
- Rectification : corriger des données inexactes (modifiable depuis votre profil).
- Effacement : demander la suppression de votre compte et de vos données.
- Limitation : restreindre temporairement le traitement.
- Opposition : vous opposer à un traitement fondé sur l'intérêt légitime.
- Portabilité : recevoir vos données dans un format structuré et lisible.
- Retrait du consentement : à tout moment pour les traitements fondés sur le consentement (IA, SSO).
Pour exercer ces droits, deux moyens :
- Directement depuis l'application (depuis votre Profil) : exporter vos données au format JSON (portabilité) et supprimer votre compte (effacement définitif).
- Par email à contact@lectoraptor.fr pour toute autre demande (rectification d'une donnée non modifiable, limitation, opposition). Une réponse vous sera apportée sous un mois (article 12 du RGPD).
10. Réclamation auprès de la CNIL
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr/fr/plaintes.
11. Contact
Pour toute question relative à la protection de vos données : contact@lectoraptor.fr.