Politique de Confidentialité
Dernière mise à jour : 7 avril 2026
1. Responsable du traitement
Gradia SAS est le responsable du traitement de vos données personnelles. Pour toute question relative à cette politique, contactez-nous à : contact@gradia.fr.
2. Données collectées
Dans le cadre de la fourniture du service, nous collectons :
- Données d'identification : adresse email, prénom et nom, rôle (élève ou parent)
- Identifiants ENT (Pronote ou EcoleDirecte) : stockés exclusivement sous forme chiffrée AES-256 sur nos serveurs — jamais en clair, jamais transmis à des tiers. Gradia n'est affilié ni à Index Éducation (Pronote) ni à Aplim SAS (EcoleDirecte)
- Données scolaires issues de votre ENT : notes, moyennes, emploi du temps, absences, devoirs — synchronisées à la demande de l'utilisateur et mises en cache temporairement
- Données de paiement : traitées directement par notre prestataire Stripe — nous ne stockons pas vos données bancaires
Données que nous ne collectons PAS :
- Les conversations avec l'assistant IA ne sont pas stockées sur nos serveurs
- Aucune donnée de géolocalisation
- Aucun cookie tiers ou outil d'analytics
3. Rôle de Gradia — Mandataire technique
Concernant les données Pronote, Gradia agit en qualité de mandataire technique de l'utilisateur. C'est l'utilisateur qui, en fournissant volontairement ses propres identifiants, autorise Gradia à accéder à son espace Pronote en son nom. Gradia ne prend aucune initiative d'accès sans action explicite de l'utilisateur.
Les données scolaires restent la propriété de l'utilisateur et de son établissement.
4. Finalités du traitement
- Fourniture et amélioration du service Gradia (affichage des notes, emploi du temps, planning)
- Personnalisation de l'assistant IA et du planning de révision
- Gestion de votre abonnement et facturation
- Communication avec vous (alertes, notifications de service)
- Sécurité et prévention de la fraude
- Envoi de notifications push relatives aux événements scolaires
Synchronisation automatique et notifications :
- Une synchronisation automatique quotidienne (7h00, heure de Paris) des données Pronote est effectuée pour détecter les changements et déclencher les alertes correspondantes
- Les notifications push sont acheminées via le service Expo Push (sous-traitant : Expo/React Native) — seul le token de notification et le contenu de l'alerte sont transmis
- Le consentement aux notifications est distinct du consentement au mandat technique Pronote — l'utilisateur peut accepter l'un sans l'autre
- L'utilisateur peut désactiver les notifications à tout moment sans affecter le fonctionnement de l'application ni la synchronisation de ses données
5. Base légale
- Exécution du contrat : traitement nécessaire à la fourniture du service (données d'identification, données Pronote, gestion de l'abonnement)
- Consentement : l'utilisateur consent explicitement à la connexion Pronote lors de la saisie de ses identifiants
- Intérêt légitime : amélioration du service, sécurité
- Obligation légale : conservation des données comptables et fiscales
6. Utilisateurs mineurs
Conformément à la loi Informatique et Libertés (art. 7-1), les mineurs de 15 ans et plus peuvent consentir au traitement de leurs données dans le cadre de l'utilisation de Gradia.
Pour les moins de 15 ans, le consentement d'un parent ou tuteur légal est requis.
Lorsqu'un parent connecte son Espace Parents Pronote, il exerce son autorité parentale et consent au traitement des données scolaires de son enfant. Ce consentement couvre l'ensemble des fonctionnalités de Gradia (consultation des notes, emploi du temps, absences, et utilisation de l'assistant IA dans un cadre pédagogique).
7. Durée de conservation
| Données de compte (email, nom) |
Jusqu'à suppression du compte + 30 jours |
| Identifiants Pronote chiffrés |
Jusqu'à déconnexion ou suppression du compte |
| Données scolaires (cache) |
Actualisées à chaque connexion — supprimées après 12 mois d'inactivité |
| Conversations IA |
Non stockées sur nos serveurs — session uniquement |
| Tokens de notification push |
Jusqu'à déconnexion ou désactivation — finalité : envoi des alertes scolaires |
| Données comptables |
10 ans (obligation légale) |
8. Sous-traitants et destinataires
Vos données peuvent être transmises aux sous-traitants suivants, dans le strict cadre de leurs missions :
- Scaleway SAS (France, Paris — région fr-par) : hébergement et infrastructure — données stockées en France, chiffrées en transit et au repos, pas de transfert hors UE pour cet hébergement
- Anthropic (États-Unis) : traitement des requêtes de l'assistant IA. Les conversations ne sont pas utilisées pour entraîner les modèles. Les données sont envoyées ponctuellement par requête et non stockées.
- Stripe (États-Unis) : traitement sécurisé des paiements — certifié PCI-DSS
- Expo (Expo Application Services) (États-Unis) : acheminement des notifications push. Les tokens de notification transitent par les serveurs d'Expo (US) sous le EU-US Data Privacy Framework.
Nous ne vendons jamais vos données à des tiers.
Les transferts hors UE vers les sous-traitants américains sont encadrés par le EU-US Data Privacy Framework et/ou des clauses contractuelles types (CCT) approuvées par la Commission européenne.
9. Vos droits RGPD
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès : obtenir une copie de vos données
- Droit de rectification : corriger des données inexactes
- Droit à l'effacement : demander la suppression de vos données
- Droit à la limitation : restreindre le traitement dans certains cas
- Droit à la portabilité : recevoir vos données dans un format structuré
- Droit d'opposition : vous opposer à certains traitements fondés sur l'intérêt légitime
- Droit de retrait du consentement : retirer à tout moment votre consentement à la connexion Pronote
Pour exercer ces droits : contact@gradia.fr. Nous nous engageons à répondre sous un mois.
Vous pouvez également introduire une réclamation auprès de la CNIL : www.cnil.fr
10. Cookies et stockage local
Gradia n'utilise aucun cookie tiers à des fins publicitaires ou de suivi. Nous utilisons exclusivement le stockage local du navigateur (localStorage) et SecureStore sur mobile pour le fonctionnement technique du service (authentification, préférences). Ces données restent sur votre appareil.
Aucun outil d'analytics tiers n'est utilisé.
11. Sécurité
Nous mettons en oeuvre les mesures suivantes :
- Chiffrement en transit (HTTPS/TLS)
- Chiffrement au repos des données sensibles (identifiants Pronote)
- Contrôle d'accès strict aux systèmes
- Aucun stockage des données bancaires (délégué à Stripe)
- Aucun stockage des conversations IA sur serveur
En cas de violation de données, nous vous notifierons dans les 72h conformément au RGPD.
12. Contact
Pour toute question relative à la protection de vos données :
Email : contact@gradia.fr