Politique de confidentialité

Dernière mise à jour : 20 mai 2026 — Version 1.0

La présente politique décrit les conditions dans lesquelles le service NeuraRythm (ci-après « le Service ») collecte, traite et conserve les données personnelles des utilisateurs, conformément au Règlement (UE) 2016/679 (« RGPD ») et à la loi française n° 78-17 du 6 janvier 1978 modifiée (« Informatique et Libertés »).

1. Responsable du traitement

Jérémy ANKRI, éditeur du site (SIRET à venir), dont les coordonnées complètes figurent sur la page mentions légales.

Contact pour toute question relative aux données : contact@neurarythm.fr.

En raison de la taille de la structure et de la nature des traitements, la désignation d'un délégué à la protection des données (DPO) n'est pas obligatoire au sens de l'article 37 du RGPD. Le responsable du traitement assure directement le point de contact RGPD.

2. Public — âge minimum

Le Service est destiné aux personnes âgées d'au moins 15 ans, ou aux personnes mineures dûment autorisées par leur représentant légal. Lors de l'inscription, l'utilisateur déclare répondre à cette condition en cochant la case prévue à cet effet.

Si nous apprenons qu'un compte appartient à une personne de moins de 15 ans sans accord des titulaires de l'autorité parentale, ce compte est désactivé et les données associées sont effacées dans les meilleurs délais. Pour signaler une telle situation, contactez contact@neurarythm.fr.

3. Données collectées et finalités

3.1 Données de compte

Adresse email — identification, authentification, communication relative au compte. Obligatoire.
Mot de passe — stocké uniquement sous forme de hash bcrypt avec sel unique par mot de passe (jamais en clair). Obligatoire.
Pseudo / prénom — affichage dans l'interface. Facultatif ; à défaut, un identifiant neutre est généré.
Horodatage des consentements (case « ≥ 15 ans » et case « acceptation CGV/PdC ») — preuve juridique des cases cochées au moment de l'inscription, conservée pour la durée du compte.

La fourniture des données marquées « obligatoires » est nécessaire à la création du compte ; à défaut, le Service ne peut être fourni (Art. 13.2.e RGPD).

3.2 Données d'usage du Service

Progression sur les niveaux et modes d'entraînement, scores, BPM atteints, historique des sessions ;
Préférences d'interface (mode d'affichage, tolérance, niveau de difficulté, etc.) ;
Dates de connexion et de session.

Ces données sont indispensables au fonctionnement pédagogique du Service (suivi adaptatif, déblocage progressif, bilans).

3.3 Données de paiement

Les paiements sont traités par le prestataire Stripe, Inc.. NeuraRythm ne reçoit et ne stocke aucune donnée bancaire (numéro de carte, date d'expiration, cryptogramme). Seuls un identifiant client Stripe et le statut de l'abonnement (actif, suspendu, résilié) sont enregistrés côté NeuraRythm pour la gestion de l'accès aux fonctionnalités payantes.

3.4 Données techniques

Adresse IP — conservée temporairement dans les journaux techniques de l'hébergeur pour la sécurité ;
Identifiant de session — cookie technique (voir article 7) ;
Type de navigateur (User-Agent) — pour le diagnostic en cas d'erreur.

4. Bases légales du traitement

Exécution du contrat (art. 6.1.b RGPD) — création de compte, suivi de la progression, gestion de l'abonnement.
Obligation légale (art. 6.1.c RGPD) — conservation des données comptables et de facturation.
Intérêt légitime (art. 6.1.f RGPD) — journaux techniques (sécurité, lutte contre la fraude), sauvegardes.

Aucun traitement n'est actuellement fondé sur le consentement. Si une telle base devait être utilisée à l'avenir (par exemple pour une newsletter optionnelle ou un outil de mesure d'audience non exempté), une demande explicite serait formulée et la présente politique mise à jour préalablement.

5. Traitement automatisé pédagogique

Le Service ajuste automatiquement la difficulté, le rythme et l'ordre des exercices à partir de la progression de l'utilisateur (scores, BPM atteints, taux de réussite). Ce traitement constitue un profilage au sens de l'article 4.4 du RGPD, mais ne produit aucun effet juridique à l'égard de l'utilisateur et ne l'affecte pas significativement au sens de l'article 22 du RGPD : il ne sert qu'à personnaliser son apprentissage.

Transparence algorithmique. Le moteur d'adaptation est entièrement déterministe : il repose sur des règles métier explicites (seuils de réussite, machines à états documentées). Aucun système d'intelligence artificielle générative, aucun modèle d'apprentissage machine, aucun profilage prédictif ne sont employés. L'utilisateur peut, à tout moment, demander des explications sur la logique sous-jacente par email.

6. Destinataires des données (sous-traitants)

Les données ne sont communiquées qu'aux sous-traitants strictement nécessaires, sous accord de traitement (Art. 28 RGPD) :

Railway Corp. (États-Unis) — hébergement applicatif et base de données. Certifié EU-U.S. Data Privacy Framework, SOC 2 Type II. Politique Railway.
Stripe, Inc. (États-Unis) — traitement des paiements et facturation. Certifié EU-U.S. Data Privacy Framework, PCI-DSS niveau 1. Politique Stripe.
Plus Five Five, Inc. (Resend, États-Unis) — envoi d'emails transactionnels (vérification de compte, réinitialisation de mot de passe, accusés de réception, factures). Certifié EU-U.S. Data Privacy Framework et UK Extension, conforme SOC 2 et RGPD. Politique Resend.
Functional Software, Inc. (Sentry, Union européenne — Frankfurt) — collecte des erreurs applicatives (stack traces, URL de la requête, identifiant de version du code, identifiant numérique de l'utilisateur si connecté) à des fins de diagnostic et de correction des bugs. Résidence des données : Union européenne (pas de transfert hors UE). Adresse IP et email volontairement non transmis (configuration send_default_pii=False). Conforme SOC 2 Type II et RGPD. Politique Sentry.

Aucune autre communication. Les données ne sont jamais vendues, louées ni cédées à des tiers à des fins commerciales ou de prospection.

6.1 Transferts hors Union européenne

Certaines données sont transférées vers les États-Unis chez Railway, Stripe et Resend. Ces transferts s'appuient en premier lieu sur la décision d'adéquation du 10 juillet 2023 de la Commission européenne (« EU-U.S. Data Privacy Framework »), à laquelle ces trois prestataires ont adhéré et sont certifiés actifs (liste officielle : dataprivacyframework.gov).

À titre subsidiaire, des Clauses Contractuelles Types de la Commission européenne (décision d'exécution 2021/914) restent en place dans les contrats de sous-traitance, en cas d'évolution du cadre du DPF. Une copie des garanties applicables peut être demandée à contact@neurarythm.fr.

7. Cookies et traceurs

NeuraRythm utilise uniquement des cookies strictement nécessaires au fonctionnement du Service, exemptés de consentement au titre de l'article 82 de la loi Informatique et Libertés et des lignes directrices CNIL.

Cookie	Émetteur	Finalité	Durée
Session Flask	NeuraRythm	Maintien de session connectée	Session
Jeton CSRF	NeuraRythm	Protection contre la falsification de requête	Session
`__stripe_mid`	Stripe (page paiement)	Identification anti-fraude, sécurité du paiement	1 an
`__stripe_sid`	Stripe (page paiement)	Session de paiement, anti-fraude	30 minutes

Les cookies Stripe sont strictement nécessaires à la sécurisation du paiement et sont exemptés de consentement. Voir la politique cookies de Stripe.

Aucun cookie publicitaire, analytique ou de profilage n'est utilisé. Aucun consentement n'est donc requis à ce jour, et aucune bannière cookies n'est affichée.

8. Mesure d'audience

À ce jour : aucune mesure d'audience. Le Service ne collecte aucune donnée d'audience à des fins statistiques.

Si un outil de mesure d'audience était déployé à l'avenir, il serait choisi parmi les solutions exemptées de consentement par la CNIL (par exemple Plausible, Umami ou Matomo en configuration cookieless) : fonctionnement sans cookie, sans identifiant persistant, données strictement agrégées et anonymes, aucun suivi inter-sites ni profilage individuel. La présente politique serait mise à jour préalablement au déploiement.

9. Durée de conservation

Compte actif : tant que le compte n'est pas supprimé (base : exécution du contrat).
Compte inactif : 3 ans à compter de la dernière connexion, puis anonymisation (suppression de l'email et du pseudo, conservation d'agrégats statistiques anonymes) — base : intérêt légitime.
Données de facturation : 10 ans à compter de l'émission, obligation comptable (article L.123-22 du Code de commerce).
Journaux techniques : 12 mois maximum (délibération CNIL n° 2007-026).

10. Sécurité

L'Éditeur met en œuvre des mesures techniques et organisationnelles appropriées (Art. 32 RGPD) pour protéger les données :

Chiffrement TLS 1.2+ sur tous les échanges (HTTPS imposé) ;
Mots de passe hashés via bcrypt (algorithme à coût adaptatif, sel unique par mot de passe) ;
Cookies de session marqués HttpOnly, Secure, SameSite=Lax ;
Protection contre les attaques CSRF par jeton dédié ;
Authentification renforcée à deux facteurs pour les accès administrateur ;
Sous-traitants certifiés SOC 2 Type II (Railway) et PCI-DSS niveau 1 (Stripe) ;
Sauvegardes régulières de la base de données ;
Accès aux données restreint au responsable du traitement.

Notification de violation. Conformément aux articles 33 et 34 du RGPD, en cas d'incident de sécurité susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, la CNIL est notifiée dans un délai de soixante-douze (72) heures. En cas de risque élevé, les utilisateurs sont informés directement par email.

11. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :

Accès — obtenir copie des données vous concernant ;
Rectification — corriger des données inexactes ou incomplètes ;
Effacement (« droit à l'oubli ») — sous réserve des obligations légales de conservation ;
Limitation du traitement ;
Portabilité — recevoir vos données dans un format structuré et couramment utilisé ;
Opposition aux traitements fondés sur l'intérêt légitime ;
Définir des directives relatives au sort de vos données après votre décès (article 85 de la loi Informatique et Libertés).

Ces droits s'exercent par email à contact@neurarythm.fr, accompagnés le cas échéant d'un justificatif d'identité. Une réponse est apportée dans un délai d'un mois maximum, prolongeable de deux mois supplémentaires en cas de demande complexe (article 12.3 RGPD), avec notification préalable de la prolongation.

Export self-service. Pour le droit à la portabilité (article 20 RGPD), une fonctionnalité en ligne est mise à disposition dans l'espace personnel : le lien « Mes données ↓ » télécharge instantanément un fichier JSON contenant l'intégralité des données personnelles associées au compte.

Vous pouvez également introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr, 3 place de Fontenoy — TSA 80715 — 75334 PARIS CEDEX 07.

12. Suppression de compte

Vous pouvez supprimer votre compte à tout moment depuis votre espace personnel ou par email à contact@neurarythm.fr. La suppression entraîne l'effacement définitif des données d'usage et de profil. Les données comptables liées aux abonnements payés sont conservées au titre des obligations légales (10 ans).

13. Registre des traitements

Un registre des activités de traitement est tenu conformément à l'article 30 du RGPD et peut être communiqué à la CNIL sur demande, dans le cadre de ses pouvoirs de contrôle.

14. Modification de la politique

La présente politique peut être modifiée pour s'adapter à l'évolution du Service ou de la réglementation. Les utilisateurs sont informés par email de toute modification substantielle. La date de mise à jour figurant en haut de cette page fait foi de la version en vigueur.