Politique de confidentialité

Peritiq – Politique de confidentialité

Date d'entrée en vigueur : 27 décembre 2025

1. Introduction et champ d'application

La présente Politique de confidentialité décrit la manière dont Escola Amarela Servicos LTDA (ci-après le « Prestataire », « nous », « notre » ou « nos ») collecte, utilise et protège les données personnelles dans le cadre de votre utilisation de notre service Peritiq (ci-après le « Service »).

Cette politique s'applique à toutes les personnes qui interagissent avec le Service, y compris les visiteurs du site web, les utilisateurs en période d'essai et les utilisateurs autorisés d'un client payant (ci-après le « Client », « vous », « votre »).

En accédant au Service ou en l'utilisant, vous reconnaissez et acceptez les pratiques décrites dans la présente Politique de confidentialité. Cette politique est incorporée par référence dans nos Conditions générales d'utilisation.

2. Notre rôle : responsable du traitement et sous-traitant

Nous agissons en deux qualités distinctes au sens du Règlement général sur la protection des données (RGPD) de l'UE et de la Lei Geral de Proteção de Dados (LGPD) brésilienne :

  • Responsable du traitement : Nous agissons en qualité de responsable du traitement pour les données personnelles que nous collectons directement auprès de vous afin de créer et gérer votre compte et de traiter les paiements. Cela comprend les Informations de compte, les Informations de paiement et les Données de surveillance de sécurité. Nous déterminons les finalités et les moyens du traitement de ces données.
  • Sous-traitant : Nous agissons en qualité de sous-traitant pour les données que vous nous fournissez aux fins de traitement par le Service. Cela comprend le « Contenu téléversé » et le « Contenu généré » qui en découle. Vous êtes le responsable du traitement de ces données. Nous les traitons uniquement pour votre compte et conformément à vos instructions documentées (telles qu'énoncées dans nos Conditions générales d'utilisation et la présente politique).

3. Données que nous traitons en qualité de responsable du traitement

Nous collectons et contrôlons les données suivantes :

3.1. Informations de compte

  • Votre nom, adresse électronique, nom d'entreprise et fonction (le cas échéant)
  • Votre mot de passe haché (nous ne stockons jamais les mots de passe en clair)
  • Vos préférences de langue et de communication
  • Date de création du compte, horodatage de la dernière connexion et statut du compte

3.2. Informations de paiement et de facturation

  • Lorsque vous souscrivez une formule payante, notre prestataire de paiement tiers, Stripe, collecte vos coordonnées de paiement (par exemple, numéro de carte bancaire, adresse de facturation).
  • Nous ne collectons ni ne stockons vos coordonnées bancaires complètes.
  • Nous recevons et conservons uniquement un identifiant Stripe unique (jeton), les quatre derniers chiffres de votre carte, la date d'expiration de la carte et le pays de facturation aux fins de gestion de l'abonnement.

3.3. Données techniques de journalisation

  • Adresse IP (hachée pour la protection de la vie privée)
  • Type de navigateur, système d'exploitation et type d'appareil
  • URL de référence et pages consultées
  • Horodatage des requêtes

3.4. Données de sécurité des appareils et sessions

  • Empreintes d'appareil (un hash dérivé des caractéristiques du navigateur et de l'appareil) pour détecter les tentatives d'accès non autorisé
  • Jetons de session et jetons CSRF pour la sécurité
  • Ces données nous aident à prévenir le détournement de compte, à détecter les schémas de connexion suspects et à protéger votre compte.

3.5. Données de surveillance de sécurité

  • Tentatives de connexion échouées (y compris hash IP, agent utilisateur et horodatage)
  • Événements de limitation de débit (suivi des requêtes API excessives pour prévenir les abus)
  • Historique des connexions réussies pour audit de sécurité
  • Ces données sont utilisées exclusivement à des fins de prévention de la fraude, de détection des abus et de sécurité du compte.

3.6. Métadonnées d'utilisation

  • Suivi de la consommation de crédits (quels contenus vous consultez)
  • Historique des téléchargements de contenu
  • Schémas d'utilisation des fonctionnalités pour l'amélioration du service
  • Nous ne sauvegardons ni n'enregistrons le contenu de vos messages de conversation.

3.7. Données d'évaluation et de questionnaire

  • Lorsque vous remplissez des évaluations ou des questionnaires via le Service, nous conservons vos réponses en association avec votre compte utilisateur.
  • Ces données sont utilisées pour générer des résultats d'analyse personnalisés pour vous.
  • Vos réponses peuvent contribuer à des référentiels anonymisés et agrégés (aucune identification individuelle n'est possible).
  • Les métadonnées de session d'évaluation (heure de début, heure de fin, statut) sont conservées pour le fonctionnement du service.

3.8. Contenu généré par les utilisateurs

  • Si vous soumettez des témoignages, avis ou recommandations, nous conservons : votre note, titre, texte du commentaire, nom d'affichage (prénom + initiale du nom), fonction et nom d'entreprise.
  • Votre nom complet et votre adresse électronique sont conservés mais ne sont pas affichés publiquement.

3.9. Retours volontaires

  • Toute suggestion, retour d'expérience ou idée que vous nous communiquez volontairement concernant le Service.

4. Données que nous traitons en qualité de sous-traitant

Pour votre compte et en qualité de sous-traitant, nous traitons les données suivantes dont vous êtes le responsable du traitement :

  • Contenu téléversé : Tout document, fichier ou donnée que vous ou vos utilisateurs téléversez, transmettez ou fournissez de toute autre manière au Service aux fins de traitement par le système RAG.
  • Contenu généré : Les réponses et données générées par IA produites par le Service à partir de votre Contenu téléversé.

Vos obligations en tant que responsable du traitement : Vous déclarez et garantissez que vous disposez de tous les droits, consentements et d'une base juridique valable nécessaires pour fournir le Contenu téléversé au Service aux fins de traitement tel que décrit dans la présente politique et nos Conditions générales d'utilisation.

Nos obligations en tant que sous-traitant : Lors du traitement de votre Contenu téléversé et Contenu généré, nous nous engageons à : a) Traiter ces données uniquement aux fins de fourniture, de sécurisation et de surveillance du Service conformément à vos instructions ; b) Ne jamais utiliser votre Contenu téléversé ou Contenu généré pour entraîner des modèles d'IA généraux ou publics ni à toute autre fin que la fourniture directe du Service à votre intention ; c) Mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité et la confidentialité de ces données (voir article 8) ; d) Vous fournir une assistance raisonnable (à vos frais) pour vous aider à remplir vos obligations de réponse aux demandes d'exercice des droits des personnes concernées de vos utilisateurs ; et e) Veiller à ce que notre personnel autorisé à accéder à ces données soit soumis à des obligations de confidentialité strictes.

5. Base juridique du traitement (RGPD et LGPD)

Nous ne traitons vos données personnelles (en tant que responsable du traitement) que lorsque nous disposons d'une base juridique valable :

Activité de traitement Données traitées Base juridique (RGPD / LGPD)
Fourniture du Service (création, authentification, gestion de compte) Informations de compte Art. 6(1)(b) RGPD / Art. 7(V) LGPD (Exécution d'un contrat)
Traitement des paiements et gestion des abonnements Informations de paiement, Informations de compte Art. 6(1)(b) RGPD / Art. 7(V) LGPD (Exécution d'un contrat)
Sécurisation de la plateforme, prévention de la fraude et détection des abus Données techniques de journalisation, Données de sécurité des appareils et sessions, Données de surveillance de sécurité Art. 6(1)(f) RGPD / Art. 7(IX) LGPD (Intérêt légitime)
Gestion du système de crédits Métadonnées d'utilisation Art. 6(1)(b) RGPD (Exécution d'un contrat)
Génération de résultats d'évaluation personnalisés Données d'évaluation et de questionnaire Art. 6(1)(b) RGPD / Art. 7(V) LGPD (Exécution d'un contrat)
Création de référentiels anonymisés Données d'évaluation (agrégées, anonymisées) Art. 6(1)(f) RGPD / Art. 7(IX) LGPD (Intérêt légitime)
Affichage des témoignages et avis Contenu généré par les utilisateurs Art. 6(1)(a) RGPD / Art. 7(I) LGPD (Consentement)
Réponse à vos demandes et utilisation de vos retours Informations de compte, Retours Art. 6(1)(f) RGPD / Art. 7(IX) LGPD (Intérêt légitime)
Respect des obligations financières, fiscales et légales Informations de paiement, Informations de compte Art. 6(1)(c) RGPD / Art. 7(II) LGPD (Obligation légale)
Prévention des abus d'essai et application de la politique d'essai unique Hash de l'adresse électronique (prévention de la fraude) Art. 6(1)(f) RGPD / Art. 7(IX) LGPD (Intérêt légitime de prévention de la fraude)

6. Partage des données et sous-traitants ultérieurs

Nous ne vendons, ne louons ni ne cédons vos données personnelles. Nous faisons appel aux sous-traitants ultérieurs tiers suivants pour fournir le Service, et nous avons conclu des accords de traitement des données appropriés avec chacun d'eux :

  • Hostinger (UE) : Fournit l'hébergement de l'application et la gestion de la base de données utilisateurs (pour les Informations de compte) dans ses centres de données européens.
  • Cloudflare (UE/Monde) : Fournit le traitement RAG, la vectorisation et le stockage de votre Contenu téléversé et Contenu généré principalement dans des centres de données européens. Les Workers Cloudflare peuvent traiter les Métadonnées d'utilisation et les jetons de session dans leur réseau mondial pour des réponses à faible latence.
  • Stripe (États-Unis) : Notre prestataire de paiement. Vos Informations de paiement sont envoyées directement à Stripe. Stripe est certifié dans le cadre du EU-U.S. Data Privacy Framework.
  • Escola Amarela (Brésil) : En tant que société mère, notre personnel administratif, de facturation et de support au Brésil peut accéder aux Informations de compte.

7. Transferts internationaux de données

Votre Contenu téléversé et Contenu généré sont traités et stockés exclusivement au sein de l'Union européenne (UE) par nos sous-traitants ultérieurs.

Vos Informations de compte et Informations de paiement peuvent être transférées à l'international comme suit :

  • Vers le Brésil : Vos Informations de compte peuvent être consultées depuis le Brésil par notre société mère à des fins administratives et de support. Ce transfert est encadré par l'application des Clauses contractuelles types (CCT) de la Commission européenne.
  • Vers les États-Unis : Vos Informations de paiement sont traitées par Stripe, une société américaine. Ce transfert est encadré par les Clauses contractuelles types (CCT) et le EU-U.S. Data Privacy Framework, garantissant un niveau de protection des données adéquat.

8. Sécurité des données

Nous mettons en œuvre et maintenons des mesures techniques et organisationnelles appropriées (MTO) pour protéger toutes les données personnelles contre tout accès, divulgation, altération, destruction ou perte non autorisés. Ces mesures comprennent :

  • Chiffrement : Les mots de passe sont hachés de manière sécurisée à l'aide de bcrypt. Toutes les données sont chiffrées en transit (TLS 1.2 ou supérieur) et au repos (AES-256). Les champs sensibles tels que les adresses électroniques sont chiffrés au niveau de la base de données.
  • Pseudonymisation : Les adresses électroniques sont hachées à des fins de recherche, réduisant l'exposition en cas de violation de la base de données.
  • Séparation des données : Votre Contenu téléversé et Contenu généré sont séparés de manière logique et sécurisée dans leur propre espace de noms dédié.
  • Contrôle d'accès : L'accès aux données personnelles est strictement limité au personnel autorisé selon le principe du besoin d'en connaître, et l'accès administratif requiert une authentification multifacteur.
  • Surveillance de sécurité : Nous utilisons des systèmes automatisés pour détecter et répondre aux activités suspectes, y compris les tentatives de connexion par force brute et les schémas d'accès inhabituels.
  • Protection CSRF : Toutes les opérations modifiant l'état requièrent des jetons CSRF valides pour prévenir les attaques de type cross-site request forgery.
  • Limitation de débit : Les points de terminaison API sont soumis à des limitations de débit pour prévenir les abus et les attaques par déni de service.

9. Conservation des données

Nous ne conservons les données personnelles que pendant la durée nécessaire aux finalités pour lesquelles elles ont été collectées.

Catégorie de données Durée de conservation Fondement
Informations de compte Durée de l'abonnement + 7 ans Obligation légale (documents fiscaux/financiers)
Données de paiement et de facturation 10 ans à compter de la date de transaction Obligation légale (documents fiscaux/financiers)
Contenu téléversé et Contenu généré Durée de l'abonnement actif + 30 jours Exécution du contrat
Données d'évaluation et de questionnaire Durée de l'abonnement actif + 30 jours Exécution du contrat
Données techniques de journalisation 90 jours (glissants) Intérêt légitime (sécurité/débogage)
Données de surveillance de sécurité (tentatives de connexion, limitations de débit) 30 jours Intérêt légitime (sécurité)
Hash de l'adresse électronique (prévention de la fraude) Indéfiniment Intérêt légitime (prévention de la fraude)
Contenu généré par les utilisateurs (témoignages) Jusqu'au retrait du consentement ou à la suppression du compte Consentement
Messages de conversation NON CONSERVÉS Sans objet

Conservation des sauvegardes : Les données contenues dans les sauvegardes d'infrastructure de routine seront supprimées conformément à nos cycles de conservation des sauvegardes standard (généralement pas plus de 180 jours) et resteront chiffrées et inaccessibles jusqu'à leur écrasement.

Données de prévention de la fraude : Pour faire appliquer notre politique d'essai unique et prévenir les abus, nous conservons un hash cryptographique unidirectionnel sécurisé de votre adresse électronique même après la suppression du compte. Nous traitons ces données exclusivement à des fins de prévention de la fraude, comme autorisé par le RGPD (Art. 6(1)(f) ; Art. 17(3)(e)) et la LGPD (Art. 7, IX ; Art. 16, II).

10. Vos droits en tant que personne concernée (RGPD et LGPD)

Vos droits dépendent de notre rôle de responsable du traitement ou de sous-traitant :

10.1. Données pour lesquelles nous sommes responsable du traitement (vos données de compte)

Vous disposez des droits suivants concernant les données personnelles dont nous sommes responsables :

  • Droit d'accès : Demandez une copie de vos données personnelles. Vous pouvez exporter vos données à tout moment via les paramètres de votre compte ou en nous contactant.
  • Droit de rectification : Demandez la correction de données inexactes. Vous pouvez mettre à jour la plupart des informations directement dans les paramètres de votre compte.
  • Droit à l'effacement (« droit à l'oubli ») : Demandez la suppression de vos données, sous réserve de nos obligations légales de conservation. Veuillez noter que nous conserverons les hashs d'adresses électroniques à des fins de prévention de la fraude.
  • Droit à la limitation du traitement : Demandez que nous limitions l'utilisation de vos données dans certaines circonstances.
  • Droit à la portabilité des données : Demandez vos données dans un format structuré, couramment utilisé et lisible par machine (JSON).
  • Droit d'opposition : Opposez-vous au traitement de vos données fondé sur nos intérêts légitimes. Nous cesserons le traitement sauf si nous démontrons des motifs légitimes impérieux.
  • Droit de retirer votre consentement : Lorsque le traitement est fondé sur le consentement (par exemple, témoignages, newsletter), vous pouvez retirer votre consentement à tout moment sans affecter la licéité du traitement antérieur.
  • Droit d'introduire une réclamation : Vous avez le droit d'introduire une réclamation auprès d'une autorité de contrôle (par exemple, votre autorité locale de protection des données de l'UE ou l'ANPD brésilienne – Autoridade Nacional de Proteção de Dados).

Pour exercer ces droits, veuillez contacter notre équipe de protection des données à l'adresse privacy@peritiq.com. Nous répondrons dans un délai de 30 jours (ou selon les délais prévus par la loi applicable).

10.2. Données pour lesquelles vous êtes responsable du traitement (votre Contenu téléversé)

En tant que responsable du traitement de votre Contenu téléversé, vous êtes chargé de traiter les demandes d'exercice des droits des personnes concernées émanant de vos propres utilisateurs (par exemple, vos employés). Si nous recevons une telle demande directement, nous la transmettrons à l'Administrateur de votre compte pour traitement. Nous fournirons l'assistance raisonnable requise par la loi.

11. Cookies et technologies de suivi

Nous utilisons des cookies essentiels nécessaires au bon fonctionnement du Service :

  • Cookies de session : Utilisés pour maintenir votre état de connexion et vos jetons de sécurité. Ceux-ci sont strictement nécessaires et ne peuvent être désactivés.
  • Jetons CSRF : Utilisés pour prévenir les attaques de type cross-site request forgery.
  • Préférence linguistique : Utilisée pour mémoriser la langue que vous avez sélectionnée.

Nous n'utilisons pas de cookies de suivi tiers, de cookies publicitaires ni de cookies d'analyse qui vous suivent sur différents sites web. Nous utilisons la protection anti-bots de Cloudflare (Turnstile), qui peut déposer des cookies à des fins de sécurité.

12. Protection des données des mineurs

Le Service n'est pas destiné aux personnes âgées de moins de 16 ans (ou de l'âge applicable du consentement numérique dans votre juridiction). Nous ne collectons pas sciemment de données personnelles auprès de mineurs. Si nous apprenons que nous avons collecté des données personnelles d'un mineur sans le consentement approprié, nous prendrons des mesures pour supprimer ces informations.

13. Modifications de la présente Politique de confidentialité

Nous pouvons mettre à jour la présente Politique de confidentialité de temps à autre pour refléter les évolutions de nos pratiques ou du droit applicable. Nous vous informerons de toute modification substantielle par :

  • La publication d'un avis sur le Service
  • L'envoi d'un courriel à l'adresse associée à votre compte
  • La mise à jour de la « Date d'entrée en vigueur » en tête de la présente politique

Nous vous encourageons à consulter régulièrement la présente politique. Votre utilisation continue du Service après la date d'entrée en vigueur des modifications vaut acceptation de la politique mise à jour.

14. Nous contacter

Si vous avez des questions concernant la présente Politique de confidentialité, vos données personnelles ou souhaitez exercer vos droits, veuillez nous contacter :

  • Équipe de protection des données : privacy@peritiq.com
  • Demandes générales : hi@peritiq.com
  • Adresse postale : Escola Amarela Serviços Ltda, Rua da Paz 1313, São Paulo - SP, Brésil