- Identité du responsable de traitement
- Données que nous collectons
- Finalités du traitement
- Bases légales
- Données utilisateur Google (Google API Services)
- Sous-traitants et destinataires
- Usage des données par les modèles d'intelligence artificielle
- Données concernant des mineurs
- Durées de conservation
- Transferts hors UE
- Vos droits
- Sécurité
- Cookies et traceurs
- Modifications de la présente politique
- Contact
1. Identité du responsable de traitement
Le présent document décrit la manière dont Azy Education (ci-après « Azy ») collecte, traite, conserve et protège les données personnelles de ses utilisateurs.
Azy Education est un service édité par :
- Savvy Wizard SAS, société par actions simplifiée
- Siège social : [adresse complète]
- SIRET : [numéro SIRET]
- Email de contact : contact@azy.education
- Délégué à la protection des données (DPO) : dpo@azy.education
2. Données que nous collectons
Azy collecte uniquement les données nécessaires au fonctionnement du service et à l'amélioration de l'expérience utilisateur. Aucune donnée n'est collectée à des fins publicitaires.
2.1 Données de compte
- Adresse email principale du compte Google connecté
- Nom et prénom (lus depuis le profil Google si l'utilisateur l'autorise)
- Photo de profil Google (affichage uniquement, jamais stockée durablement)
- Identifiant unique Google (utilisé pour rattacher le compte Azy)
2.2 Données issues des API Google
Les données issues des API Google (Classroom, Drive, Calendar) sont décrites en détail dans la page Google API Data Usage. Elles sont strictement limitées à ce que l'utilisateur autorise via les scopes OAuth.
2.3 Données générées par l'usage du service
- Historique des conversations avec l'assistant Azy
- Documents et supports créés via Azy
- Métadonnées d'usage (horodatages, actions, crédits consommés)
- Logs techniques (adresse IP, navigateur, erreurs) à des fins de sécurité et de diagnostic
3. Finalités du traitement
Vos données personnelles sont traitées exclusivement pour les finalités suivantes :
- Fournir le service Azy : authentification, exécution des fonctionnalités demandées, restitution des résultats
- Améliorer le service : analyse anonymisée de l'usage pour identifier les fonctionnalités à améliorer
- Sécurité : détection d'usages frauduleux, prévention des abus, logs de sécurité
- Communication : notifications transactionnelles (facturation, alertes crédits, modifications de service)
- Conformité légale : respect des obligations comptables et fiscales
4. Bases légales du traitement
Chaque traitement repose sur une base légale RGPD identifiée :
- Exécution du contrat (art. 6.1.b RGPD) : pour fournir le service souscrit par l'utilisateur
- Consentement explicite (art. 6.1.a RGPD) : pour l'accès aux données Google API, donné via l'écran de consentement OAuth
- Intérêt légitime (art. 6.1.f RGPD) : pour la sécurité, la prévention de la fraude et l'amélioration anonymisée du service
- Obligation légale (art. 6.1.c RGPD) : pour la conservation des données nécessaires aux obligations comptables et fiscales
5. Données utilisateur Google (Google API Services)
L'utilisation et le transfert des informations reçues à partir des API Google par Azy à toute autre application respectent la Google API Services User Data Policy, y compris les exigences relatives à l'utilisation limitée.
Azy n'utilise pas les données Google de ses utilisateurs pour :
- Servir des publicités, qu'elles soient personnalisées ou non
- Entraîner des modèles d'intelligence artificielle généralistes
- Vendre, louer ou céder ces données à des tiers
- Permettre à des humains de lire ces données, sauf accord explicite de l'utilisateur, obligation légale, ou opérations de sécurité critiques
Le détail technique des 14 scopes Google demandés par Azy, des données concernées et des modalités de traitement est disponible sur la page dédiée Google API Data Usage.
6. Sous-traitants et destinataires
Azy fait appel à des sous-traitants techniques pour fournir son service. Chaque sous-traitant est lié par un contrat de sous-traitance conforme à l'article 28 du RGPD, intégrant des engagements de confidentialité et de sécurité.
| Sous-traitant | Rôle | Juridiction | Encadrement transfert |
|---|---|---|---|
| Google Firebase / Google Cloud | Authentification utilisateur et services cloud sous-jacents | États-Unis (avec services UE) | Clauses contractuelles types UE (SCC) |
| Anthropic [à confirmer] | Modèle d'intelligence artificielle utilisé pour générer les réponses | États-Unis | Clauses contractuelles types UE (SCC), engagement contractuel de non-entraînement sur les données client |
| OpenAI [à confirmer] | Modèle d'intelligence artificielle complémentaire (selon usage) | États-Unis | Clauses contractuelles types UE (SCC), engagement contractuel de non-entraînement sur les données client |
| Hébergeur français [OVH / Scaleway / autre] | Hébergement de la base de données principale et des contenus utilisateur | France | Traitement sur le territoire français exclusivement |
La liste exhaustive des sous-traitants et de leurs juridictions est tenue à jour sur la page Google API Data Usage.
7. Usage des données par les modèles d'intelligence artificielle
Azy utilise des modèles d'intelligence artificielle (LLM) fournis par des sous-traitants pour générer ses réponses et produire les contenus pédagogiques. Pour chaque interaction de l'utilisateur avec Azy :
- Les données nécessaires à la requête sont transmises au modèle d'IA via une API sécurisée chiffrée
- Le modèle traite la requête et renvoie une réponse
- Les données ne sont pas conservées par le sous-traitant IA au-delà du strict nécessaire au traitement de la requête, en application des clauses contractuelles d'engagement
- Les données ne sont jamais utilisées par le sous-traitant pour entraîner ses modèles, en application des clauses contractuelles spécifiques
Les engagements contractuels de nos sous-traitants IA concernant la non-réutilisation et la non-conservation des données client sont disponibles sur demande à l'adresse dpo@azy.education.
8. Données concernant des mineurs
Azy Education est susceptible de traiter des données concernant des élèves mineurs, dans le cadre de l'usage de Google Classroom par un enseignant utilisateur d'Azy. Ce traitement est encadré par les règles spécifiques de l'article 8 du RGPD et fait l'objet d'une vigilance particulière.
8.1 Cadre juridique
Lorsqu'un enseignant utilise Azy en lien avec ses élèves mineurs, l'enseignant agit pour le compte de son établissement scolaire, qui est le responsable de traitement au sens RGPD. Azy intervient alors en qualité de sous-traitant au sens de l'article 28 RGPD. Un Data Processing Agreement (DPA) dédié, signable par l'établissement, formalise cette relation.
8.2 Données concernées
- Identifiants d'élèves au sein de Google Classroom (nom, email scolaire, classe)
- Travaux et rendus d'élèves (contenu des devoirs, fichiers joints)
- Notes et appréciations
- Métadonnées de participation (dates de rendu, statut de complétion)
8.3 Engagements spécifiques
- Aucune donnée d'élève mineur n'est utilisée à des fins publicitaires ou commerciales
- Aucune donnée d'élève mineur n'est utilisée pour l'entraînement de modèles IA
- Les durées de conservation sont alignées sur l'année scolaire : effacement automatique 12 mois après la fin de l'année scolaire concernée, sauf demande explicite de conservation par l'établissement
- Les droits d'accès, de rectification et d'effacement peuvent être exercés par l'élève majeur, par ses représentants légaux ou par l'établissement
9. Durées de conservation
| Catégorie de données | Durée de conservation |
|---|---|
| Données de compte utilisateur | Jusqu'à suppression du compte, puis 30 jours en archives techniques |
| Historique des conversations Azy | 12 mois glissants, puis suppression automatique sauf demande explicite de conservation |
| Documents créés via Azy | Conservés tant que l'utilisateur n'en demande pas la suppression |
| Métadonnées d'usage (anonymisées) | 36 mois pour analyse statistique |
| Logs techniques et sécurité | 12 mois |
| Données issues des API Google (cache temporaire) | 72 heures maximum, sauf si l'utilisateur demande une indexation longue durée pour la recherche |
| Données d'élèves mineurs (Classroom) | 12 mois après la fin de l'année scolaire concernée |
| Données comptables et facturation | 10 ans (obligation légale) |
10. Transferts hors UE
Certains de nos sous-traitants sont situés hors de l'Union Européenne, notamment aux États-Unis (Google, Anthropic, OpenAI). Ces transferts sont encadrés par :
- Les Clauses Contractuelles Types (SCC) adoptées par la Commission Européenne
- Les analyses d'impact sur les transferts (TIA) lorsque pertinentes
- Des mesures techniques supplémentaires (chiffrement en transit, minimisation des données)
Azy s'engage à étudier le passage à des alternatives européennes pour ses sous-traitants IA dès que celles-ci atteignent un niveau de performance équivalent.
11. Vos droits
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès : obtenir une copie de vos données
- Droit de rectification : corriger les données inexactes
- Droit à l'effacement (« droit à l'oubli ») : faire supprimer vos données — voir la page Suppression des données
- Droit à la limitation du traitement
- Droit à la portabilité : récupérer vos données dans un format structuré
- Droit d'opposition : refuser certains traitements
- Droit de retirer son consentement à tout moment, sans affecter la légalité du traitement antérieur
- Droit d'introduire une réclamation auprès de la CNIL (cnil.fr)
Pour exercer ces droits : dpo@azy.education. Délai de réponse : 30 jours maximum.
12. Sécurité
Azy met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données :
- Chiffrement en transit (TLS 1.3) pour toutes les communications
- Chiffrement au repos des données sensibles
- Authentification forte des utilisateurs via OAuth 2.0 / OpenID Connect
- Stockage chiffré des tokens d'accès Google et rotation régulière
- Contrôle d'accès strict aux infrastructures (IAM, MFA pour les administrateurs)
- Logs de sécurité conservés et analysés pour détecter les usages anormaux
- Tests de sécurité réguliers et procédures de réponse aux incidents
13. Cookies et traceurs
Azy utilise uniquement des cookies strictement nécessaires au fonctionnement du service :
- Cookies de session pour maintenir l'authentification de l'utilisateur
- Cookies techniques pour mémoriser les préférences (langue, thème)
Aucun cookie publicitaire, de profilage ou de mesure d'audience tiers n'est utilisé. Aucun consentement préalable n'est donc requis au sens de l'article 82 de la loi Informatique et Libertés.
14. Modifications de la présente politique
Azy peut être amené à modifier la présente politique pour refléter des évolutions légales, techniques ou fonctionnelles. Toute modification substantielle est notifiée à l'utilisateur par email au moins 30 jours avant son entrée en vigueur. La date de dernière mise à jour est indiquée en haut de cette page.
15. Contact
Pour toute question relative à la présente politique de confidentialité ou au traitement de vos données personnelles :
- Email général : contact@azy.education
- Délégué à la protection des données : dpo@azy.education
- Courrier : Savvy Wizard SAS, [adresse postale complète]