CoursPool ← Retour à l'app
Légal

Politique de confidentialité

Dernière mise à jour : 29 avril 2026
Chez CoursPool, nous prenons la protection de vos données personnelles très au sérieux. Cette politique explique quelles données nous collectons, pourquoi, et comment nous les utilisons. En utilisant CoursPool, vous acceptez les pratiques décrites ci-dessous.

1. Qui sommes-nous ?

CoursPool est une plateforme de mise en relation entre élèves et professeurs, permettant de partager le coût des cours particuliers. L'application est éditée par CoursPool, accessible à l'adresse courspool.com.

Pour toute question relative à vos données : contact@courspool.com

2. Données collectées

Nous collectons uniquement les données nécessaires au bon fonctionnement du service :

  • Données d'inscription : prénom, nom, adresse email, mot de passe (chiffré), rôle (élève ou professeur)
  • Données de profil : photo de profil, biographie, matières enseignées, statut professionnel (pour les professeurs)
  • Pièce d'identité et données biométriques : uniquement pour les professeurs, dans le cadre de la vérification d'identité (KYC). Cela inclut une photo de la pièce d'identité (carte nationale d'identité, passeport ou permis), un selfie et une analyse faciale (Face Match) traités par notre prestataire Didit (voir section 4). Pour les cours en présentiel, un diplôme et un extrait de casier judiciaire vierge peuvent également être demandés.
  • Données de cours : titre, description, lieu, date, prix, nombre de places
  • Données de réservation : historique des réservations et paiements associés
  • Messagerie : contenu des échanges entre utilisateurs sur la plateforme (messages texte, fichiers partagés)
  • Coordonnées bancaires : pour les professeurs uniquement, l'IBAN est tokenisé directement côté client et n'est jamais stocké sur nos serveurs
  • Flux audio et vidéo en visio : pendant une session de cours en visio, votre voix et votre image transitent via notre prestataire Daily.co. Ces flux sont diffusés en direct uniquement aux participants de la session et ne sont ni enregistrés ni stockés par CoursPool.
  • Données de connexion via Apple ou Google : si vous choisissez de vous connecter avec votre identifiant Apple ou Google, nous recevons votre nom et votre adresse email (ou un alias relais Apple si vous l'avez choisi). Aucun mot de passe n'est partagé.
  • Données de diagnostic : en cas d'erreur dans l'application, des informations techniques (type d'erreur, version de l'app, modèle d'appareil) sont transmises à notre outil de monitoring Sentry, accompagnées de votre identifiant utilisateur interne (UUID) afin de pouvoir investiguer en cas de bug critique. Aucun email, mot de passe, contenu de message ou donnée de paiement n'est inclus dans ces rapports.
  • Localisation : si vous activez la fonction « cours près de moi » (optionnelle), votre position GPS est lue de manière ponctuelle et envoyée à OpenStreetMap (Nominatim) pour identifier votre ville. Vos coordonnées GPS ne sont jamais stockées sur nos serveurs.
  • Partage d'écran en visio : si vous activez le partage d'écran pendant un cours, le contenu de votre écran est diffusé en direct aux autres participants via Daily.co. Aucun enregistrement n'est conservé, le flux n'existe que le temps de la session.
  • Notifications push : avec votre consentement, nous envoyons des notifications (réservations, messages, mises à jour de cours). Le jeton de notification de votre appareil (identifiant fourni par Apple ou par votre navigateur) est conservé en base pour vous adresser ces notifications. Vous pouvez vous désabonner à tout moment dans les Paramètres de l'application ou de votre appareil.
  • Authentification biométrique locale : si vous activez Face ID ou Touch ID pour vous reconnecter rapidement, la vérification est effectuée localement par iOS. Vos données biométriques ne quittent jamais votre appareil et ne sont jamais transmises à CoursPool.
  • Recherche par ville : lorsque vous saisissez une ville (création de cours, filtre de recherche), le texte est envoyé à OpenStreetMap (Nominatim) pour récupérer les coordonnées correspondantes. Aucun stockage par CoursPool ni par OpenStreetMap au-delà de la requête.

3. Utilisation des données

Vos données sont utilisées exclusivement pour :

  • Créer et gérer votre compte utilisateur
  • Permettre la mise en relation entre élèves et professeurs
  • Traiter les paiements et réservations
  • Envoyer des notifications et emails liés à votre activité sur la plateforme
  • Vérifier l'identité des professeurs avant leur première publication
  • Améliorer la qualité du service

Nous ne vendons jamais vos données à des tiers et ne les utilisons pas à des fins publicitaires.

4. Partage des données et sous-traitants

Vos données sont traitées par les sous-traitants suivants, soumis à des obligations contractuelles strictes de confidentialité et de sécurité (RGPD article 28). Aucun de ces partenaires ne peut utiliser vos données à d'autres fins que la fourniture du service à CoursPool.

  • Supabase (hébergement de la base de données et de l'authentification) — serveurs en Europe (Francfort). Politique de confidentialité Supabase.
  • Resend (envoi des emails transactionnels : confirmation de réservation, réinitialisation de mot de passe, etc.) — serveurs en Europe. Politique de confidentialité Resend.
  • Stripe (traitement sécurisé des paiements et virements aux professeurs via Stripe Connect) — prestataire certifié PCI-DSS niveau 1. Les coordonnées bancaires complètes ne nous sont jamais transmises. Politique de confidentialité Stripe.
  • Didit (vérification d'identité KYC : analyse de pièce d'identité, selfie, biométrie faciale) — uniquement pour les professeurs avant leur première publication. Les données sont traitées en Europe. La décision de vérification est conservée 90 jours puis automatiquement anonymisée. Politique de confidentialité Didit.
  • Daily.co (visioconférence temps réel pour les cours en ligne) — flux audio et vidéo diffusés en direct entre participants, non enregistrés. Les serveurs Daily.co sont situés aux États-Unis avec des clauses contractuelles types (CCT) pour le transfert de données hors UE. Politique de confidentialité Daily.co.
  • Sentry (monitoring des erreurs techniques) — collecte de rapports d'erreurs anonymisés. Les en-têtes d'authentification et le contenu des requêtes sont systématiquement supprimés avant envoi. Serveurs en Europe (Francfort). Politique de confidentialité Sentry.
  • Capgo (mises à jour à chaud de l'application iOS, sans passer par l'App Store) — collecte uniquement un identifiant d'appareil anonymisé pour appliquer les bonnes versions du bundle. Politique de confidentialité Capgo.
  • Apple Sign In et Google Sign In (connexion via votre compte Apple ou Google, optionnel) — si vous choisissez ces méthodes, Apple ou Google nous transmettent uniquement votre nom et votre email (ou un alias relais Apple). Apple · Google.
  • OpenStreetMap (Nominatim) (reverse-geocoding pour la fonction « cours près de moi », optionnel) — vos coordonnées GPS sont envoyées de manière ponctuelle pour récupérer le nom de votre ville. Aucune donnée n'est conservée par OpenStreetMap au-delà du temps strictement nécessaire à la requête. Service opéré par la fondation OpenStreetMap (Royaume-Uni). Politique d'utilisation Nominatim.
  • Railway et Vercel (hébergement du backend et du frontend de CoursPool) — infrastructure cloud. Aucune donnée utilisateur n'est stockée durablement chez ces hébergeurs (passage transit uniquement).
  • Google Fonts (chargement de la police de caractères de l'interface) — uniquement votre adresse IP est transmise à Google lors du chargement initial de la police. Aucune donnée personnelle n'est partagée. Politique de confidentialité Google.

Nous ne vendons, n'échangeons et ne louons jamais vos données à des tiers à des fins commerciales ou publicitaires.

5. Conservation des données

Vos données sont conservées aussi longtemps que votre compte est actif. En cas de suppression de votre compte (depuis l'app ou sur demande), vos données personnelles sont effacées dans un délai de 30 jours.

Exceptions liées à des obligations légales ou de sécurité :

  • Données comptables et factures : conservées 10 ans (article L123-22 du Code de commerce).
  • Pièce d'identité et justificatifs (diplôme, casier) : conservés 7 ans après suppression du compte pour répondre à d'éventuels litiges (responsabilité civile et pénale).
  • Décision de vérification d'identité Didit : conservée 90 jours après la vérification, puis automatiquement anonymisée (suppression du résultat détaillé, conservation uniquement de l'état "vérifié / non-vérifié").
  • Logs techniques et journaux de sécurité : conservés 12 mois maximum, puis purgés automatiquement.
  • Sauvegardes : nos sauvegardes peuvent contenir vos données pendant 30 jours supplémentaires après la suppression de votre compte, le temps de leur rotation.

6. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données :

  • Chiffrement des mots de passe
  • Connexions HTTPS sécurisées
  • Accès restreint aux données sensibles
  • Tokenisation des coordonnées bancaires (jamais stockées en clair)

6 bis. Bases légales du traitement (RGPD Art. 6)

Conformément à l'article 6 du RGPD, chaque traitement de vos données repose sur une base légale identifiée :

  • Création de compte, réservations, paiements — Exécution du contrat (Art. 6.1.b)
  • Vérification d'identité KYC (Didit) — Obligation légale (lutte anti-fraude) et intérêt légitime (qualité et sécurité de la plateforme)
  • Sécurité, anti-fraude, journaux applicatifs (Sentry, logs serveur) — Intérêt légitime
  • Notifications push, géolocalisation — Consentement (Art. 6.1.a) — révocable à tout moment depuis les Réglages de votre appareil ou de l'app
  • Emails transactionnels (confirmation, annulation, rappels) — Exécution du contrat
  • Communications marketing (le cas échéant) — Consentement (Art. 6.1.a) — révocable via le lien de désinscription présent dans chaque email

7. Vos droits (RGPD)

Conformément au Règlement Général sur la Protection des Données (RGPD), vous disposez des droits suivants :

  • Droit d'accès : obtenir une copie de vos données personnelles
  • Droit de rectification : corriger des données inexactes
  • Droit à l'effacement : demander la suppression de vos données
  • Droit à la portabilité : recevoir vos données dans un format structuré
  • Droit d'opposition : vous opposer au traitement de vos données

Pour exercer ces droits, contactez-nous à contact@courspool.com. Nous répondons dans un délai de 30 jours.

7 bis. Réclamation auprès de la CNIL

Si vous estimez, après nous avoir contactés, que vos droits sur vos données personnelles ne sont pas respectés, vous disposez du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

8. Cookies

CoursPool n'utilise pas de cookies de tracking ou publicitaires. Nous utilisons uniquement le stockage local du navigateur (localStorage) pour maintenir votre session et vos préférences, sans transmettre ces informations à des tiers.

9. Mineurs

CoursPool est destiné aux personnes âgées de 16 ans et plus. Si vous avez moins de 16 ans, vous devez obtenir le consentement de votre représentant légal avant d'utiliser le service.

10. Modifications

Nous pouvons mettre à jour cette politique de confidentialité. En cas de modification substantielle, vous serez notifié par email. La date de dernière mise à jour est indiquée en haut de cette page.

Des questions sur vos données ?

Contactez-nous à contact@courspool.com

CoursPool — Paris, France