← Retour
Politique de confidentialité
Mon Coach Tefila — version 1.2 du 27 juin 2026
La présente politique explique quelles données personnelles sont collectées
par le site et l'application Mon Coach Tefila (ci-après « le Service »),
pourquoi elles le sont, comment elles sont protégées,
et quels sont vos droits en tant qu'utilisateur ou parent d'utilisateur.
⚠️ Le Service est destiné notamment à des mineurs de moins de 15 ans.
L'inscription d'un enfant requiert l'accord d'un parent ou titulaire de l'autorité parentale,
conformément à l'article 8 du RGPD et à l'article 7-1 de la loi Informatique et Libertés.
1. Responsable du traitement
Le responsable du traitement des données personnelles est :
- Mickael Bensimhon, personne physique, éditeur du Service.
- Adresse postale : 66 avenue Aristide Briand, 92120 Montrouge
- Adresse de contact : contact@moncoachtefila.fr
Mon Coach Tefila est un service gratuit, non commercial, conçu pour les élèves
du Collège Yaguel Yaacov de Montrouge et plus largement pour quiconque souhaite préparer sa
Bar Mitsva ou progresser dans la lecture des prières.
2. Données collectées
2.1 Données d'identification (compte)
- Nom d'utilisateur choisi par l'élève (ou par son coach lors de l'inscription).
- Adresse e-mail pour les comptes coachs, administrateurs d'école et administrateurs du Service. Pour les comptes élèves, une adresse technique interne est générée automatiquement à partir du nom d'utilisateur (par exemple
prenom.mcbm@moncoachbm.fr) et n'est utilisée que pour l'authentification.
- Mot de passe, stocké de manière chiffrée par notre prestataire d'authentification (Supabase). Nous n'y avons jamais accès en clair.
- Rôle : élève, coach, administrateur d'école, administrateur.
- Rattachement éventuel à une école, une classe, un coach.
- Adresse e-mail du parent (champ
parent_email) collectée obligatoirement à l'inscription d'un élève mineur. Elle est utilisée exclusivement pour informer le parent de la création du compte, lui permettre d'exercer ses droits RGPD (accès, rectification, suppression, voir §10) et le contacter en cas de besoin pédagogique ou de sécurité. Elle n'est jamais utilisée à des fins de prospection commerciale.
2.2 Données pédagogiques
- Progression dans les prières, parachiot et haftarot (passages travaillés, statuts validés).
- Programmes assignés par le coach.
- Sessions de travail (table
work_sessions) : durée passée par l'élève sur l'application, enregistrée automatiquement en arrière-plan pour générer des statistiques de progression. Aucune analyse comportementale fine (heatmap, suivi de clics) n'est effectuée.
- Audit-trail des validations de passages : pour chaque passage validé, le Service enregistre l'identifiant du coach validateur (champ
validated_by) et l'horodatage (champ validated_at). Ces données techniques permettent de retrouver, en cas de contestation, l'auteur d'une validation. Elles concernent notamment les validations en masse qu'un coach prof d'école peut effectuer pour sa classe entière.
- Messages échangés entre l'élève et son coach via le Service.
- Enregistrements audio de l'élève (lectures, exercices) lorsque la fonctionnalité d'enregistrement est utilisée.
2.3 Données techniques
- Adresse IP et journaux techniques minimaux générés par les serveurs (à des fins de sécurité et de diagnostic).
- Rate-limiting : afin de prévenir les abus (tentatives de connexion automatisée, spam du formulaire de contact, etc.), les endpoints sensibles sont protégés par un mécanisme de limitation du nombre de requêtes par adresse IP (table
rate_limit_ips). Cette table ne stocke qu'un compteur associé à une empreinte de l'adresse IP ; aucune autre donnée personnelle n'y est consignée. Les compteurs sont purgés automatiquement.
- Aucun outil de mesure d'audience tiers (Google Analytics, Meta Pixel, etc.) n'est utilisé.
- Aucune publicité, ciblée ou non, n'est diffusée sur le Service.
2.4 Vérifications techniques liées au mot de passe (HIBP)
Pour les comptes coach et administrateur d'école
uniquement, le Service vérifie, lors de l'inscription et de toute réinitialisation, que
le mot de passe choisi n'apparaît pas dans des fuites publiques connues.
Cette vérification s'appuie sur le service Have I Been Pwned (HIBP) accessible via
l'endpoint api.pwnedpasswords.com/range/.
Elle est réalisée selon le protocole de k-anonymity : seuls les
cinq premiers caractères du hash SHA-1 du mot de passe sont envoyés au
service tiers. Le mot de passe en clair n'est jamais transmis à HIBP,
ni à aucun autre tiers. Le résultat (présent / absent des fuites) est utilisé
uniquement pour autoriser ou refuser la création du compte ; il n'est pas stocké.
Les comptes élèves ne sont pas soumis à cette vérification, compte tenu
de l'âge des utilisateurs (10-13 ans) et de la politique de mot de passe allégée
applicable à ces comptes (voir CGU Élève & Parent).
2.5 Liaison entre messages de contact et compte élève
Lorsqu'un message est envoyé depuis le formulaire de contact public (table
contact_messages), l'administrateur peut, depuis l'espace d'administration,
lier manuellement ce message à un compte élève existant via le champ
linked_student_id. Cette liaison est facultative, réversible, et n'a pour
finalité que de faciliter le suivi pédagogique ou la résolution d'un signalement.
Lorsqu'un message est ainsi lié à un élève dont le compte comporte une adresse
parent_email renseignée, l'administrateur dispose d'un raccourci
mailto: pré-rempli vers le parent. Aucun courrier électronique n'est
envoyé automatiquement par le Service : l'envoi reste à l'initiative de l'administrateur.
3. Pourquoi ces données ?
- Permettre à l'élève de s'authentifier et d'accéder à son espace personnel.
- Lui permettre de suivre sa progression et de revenir où il en était.
- Permettre au coach de suivre le travail de ses élèves et de leur assigner des programmes.
- Permettre l'échange de messages et d'enregistrements entre l'élève et son coach dans un cadre pédagogique.
- Générer automatiquement le programme initial de chaque élève à partir de sa date de Bar Mitsva (paracha et haftara correspondantes calculées via une API calendaire publique — voir §7).
- Conserver un audit-trail des validations de passages, notamment lorsqu'un coach prof d'école valide en masse les passages d'une classe entière.
- Permettre l'information du parent via l'adresse
parent_email et lui faciliter l'exercice de ses droits RGPD.
- Assurer la sécurité du Service (détection d'abus, journalisation minimale, rate-limiting, vérification HIBP des mots de passe coach et admin).
Les données ne sont jamais vendues, jamais cédées à des tiers à des fins
commerciales, et ne sont utilisées qu'aux fins listées ci-dessus.
4. Base légale du traitement
Conformément à l'article 6 du RGPD, les traitements reposent sur :
- Le consentement du parent ou titulaire de l'autorité parentale, pour les comptes élèves de moins de 15 ans (article 8 du RGPD).
- Le consentement de l'utilisateur lui-même, pour les comptes coachs, administrateurs d'école et utilisateurs majeurs.
- L'intérêt légitime de l'éditeur pour la sécurité et le bon fonctionnement technique du Service (journaux serveurs).
5. Mesures spécifiques aux mineurs
Le Service étant destiné à des enfants, des précautions particulières s'appliquent :
- L'inscription d'un enfant de moins de 15 ans nécessite l'accord d'un parent. Le coach ou l'école inscrivant l'enfant s'engage à avoir recueilli cet accord au préalable.
- Les données pédagogiques d'un enfant ne sont accessibles qu'à lui-même, son coach attitré, l'administrateur de son école et l'administrateur du Service.
- Les messages échangés ont une finalité strictement pédagogique.
- Un parent peut à tout moment demander l'accès, la modification ou la suppression du compte de son enfant (voir §10).
- Aucune donnée d'enfant n'est exploitée à des fins de profilage, de publicité ou de revente.
6. Qui a accès aux données ?
- L'élève a accès à ses propres données.
- Son coach a accès aux données pédagogiques et messages le concernant.
- L'administrateur de son école a accès aux données pédagogiques des élèves de son école.
- L'administrateur du Service a accès à l'ensemble des données pour assurer la maintenance et le support.
- Les prestataires techniques listés au §7 hébergent les données, mais n'y ont pas d'accès en lecture sauf nécessité technique (incident, sauvegarde).
7. Hébergement et sous-traitants
Le Service s'appuie sur les prestataires suivants, tous engagés contractuellement à respecter le RGPD :
- Netlify, Inc. — hébergement du site web et des fonctions serveur. Données potentiellement traitées sur des serveurs situés en Union européenne et/ou aux États-Unis. Politique de Netlify ↗
- Supabase, Inc. — base de données, authentification, stockage. Données hébergées dans la région configurée pour le projet (Union européenne ou États-Unis selon la région). Politique de Supabase ↗
- Cloudflare, Inc. — stockage des fichiers audio et images (Cloudflare R2) et acheminement des e-mails de contact. Politique de Cloudflare ↗
- Resend, Inc. — transmission des e-mails transactionnels du Service (accusé de réception du formulaire de contact, notification au parent lors de la création du compte d'un enfant, notifications d'administration). Seules sont transmises les adresses e-mail destinataires et le contenu du message. Politique de Resend ↗
- Have I Been Pwned (Superlative Enterprises Pty Ltd) — service consulté ponctuellement, et uniquement pour les comptes coach et administrateur d'école, lors d'une création ou d'un changement de mot de passe. Seuls les cinq premiers caractères du hash SHA-1 du mot de passe sont transmis, selon le protocole de k-anonymity (voir §2.4). Politique de HIBP ↗
- HebCal (calendrier hébraïque public) — API calendaire utilisée pour déterminer la paracha de la semaine correspondant à la date de Bar Mitsva d'un élève, lors de la génération automatique du programme initial. Aucune donnée personnelle de l'élève n'est transmise à HebCal : seul un calcul de paracha est effectué à partir d'une date.
Certains de ces prestataires sont susceptibles de transférer ou de stocker des données en dehors de l'Union européenne, notamment aux États-Unis.
Ces transferts sont encadrés par les clauses contractuelles types de la Commission européenne et, lorsqu'applicable, par le
EU-US Data Privacy Framework.
8. Durée de conservation
- Comptes actifs : tant que l'utilisateur (ou son parent) ne demande pas la suppression.
- Comptes inactifs : un compte sans connexion pendant 14 mois pourra être supprimé, après notification préalable à l'adresse de contact connue.
- Messages (élève-coach et messages de contact) : automatiquement purgés au-delà de 60 jours par le traitement planifié
cleanup-rgpd.js.
- Enregistrements audio : automatiquement purgés au-delà de 60 jours par le traitement planifié
cleanup-old-audios.js, ou plus tôt sur demande de l'élève, du parent ou du coach concerné.
- Sessions de travail (
work_sessions) : conservées 36 mois au maximum afin de produire les statistiques de progression pluriannuelles, puis automatiquement purgées par le traitement cleanup-rgpd.js.
- Audit-trail des validations (
validated_by, validated_at) : conservé tant que le programme de l'élève est actif.
- Rate-limiting (
rate_limit_ips) : compteurs purgés automatiquement à courte échéance (quelques heures à quelques jours).
- Journaux techniques : conservés au maximum 12 mois.
- À la suppression d'un compte, les données associées sont effacées des bases de données dans un délai maximum de 30 jours, sous réserve des sauvegardes techniques qui sont écrasées par rotation.
9. Sécurité
- Chiffrement des échanges entre le navigateur et le Service via HTTPS/TLS.
- Chiffrement des mots de passe au stockage (assuré par Supabase Auth).
- Cloisonnement des accès aux données par règles de sécurité côté base (Row Level Security) : un élève ne peut voir que ses propres données, un coach ne voit que les siennes, etc.
- Aucun accès direct du grand public à la base de données.
- Les clés d'administration ne sont jamais exposées au navigateur ; elles ne servent qu'aux fonctions serveur.
Malgré toutes les précautions, aucun système n'est invulnérable. En cas d'incident de
sécurité affectant des données personnelles, les utilisateurs concernés seraient informés
conformément aux articles 33 et 34 du RGPD.
10. Vos droits
Conformément au RGPD, vous disposez à tout moment des droits suivants :
- Droit d'accès : obtenir une copie des données vous concernant (ou concernant votre enfant).
- Droit de rectification : faire corriger des données inexactes.
- Droit à l'effacement (« droit à l'oubli »).
- Droit à la limitation du traitement.
- Droit d'opposition au traitement.
- Droit à la portabilité : récupérer vos données dans un format lisible.
- Droit de retirer votre consentement à tout moment, sans que cela remette en cause les traitements antérieurs.
Pour exercer ces droits, écrivez à contact@moncoachtefila.fr.
Vous pouvez aussi demander la suppression directe du compte de votre enfant
par cette même adresse. Une réponse sera apportée dans un délai d'un mois au maximum.
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la
Commission nationale de l'informatique et des libertés (CNIL) :
www.cnil.fr/fr/plaintes ↗.
11. Cookies et stockage local
Le Service n'utilise aucun cookie publicitaire ni cookie de mesure d'audience.
Il utilise uniquement :
- Des cookies de session et des données stockées dans le localStorage du navigateur, strictement nécessaires à votre authentification et à la mémorisation de la dernière page consultée.
- Ces données restent sur votre appareil et ne sont transmises à personne.
- Vous pouvez les effacer à tout moment depuis les réglages de votre navigateur.
12. Modifications de la politique
La présente politique peut être mise à jour pour refléter des évolutions techniques ou
réglementaires. La date en haut de la page indique la dernière mise à jour. En cas de
modification substantielle, une information sera affichée sur le Service.
Pour toute question relative à cette politique ou à vos données personnelles :
Mon Coach Tefila — Politique de confidentialité v1.2 — 27 juin 2026