Politique de confidentialité

Xamalma est une plateforme éducative utilisée principalement par des enfants et des adolescents. Nous prenons très au sérieux la protection de leurs données personnelles. Cette politique explique simplement quelles données nous collectons, pourquoi, et ce que vous pouvez faire à ce sujet.

Données Google — Politique d'utilisation des données Google Sign-In

Google Data — Google Sign-In Data Usage Policy

Lorsque vous utilisez Google Sign-In pour vous connecter à Xamalma, nous accédons à certaines données de votre compte Google. Cette section détaille de manière exhaustive notre traitement de ces données, conformément à la Google API Services User Data Policy et aux Google APIs Terms of Service.

1. Données collectées (Data Accessed)

Xamalma accède exclusivement aux données Google suivantes via les scopes OAuth standards :

Adresse e-mail (scope email) : votre adresse e-mail principale Google, utilisée pour identifier votre compte Xamalma de manière unique.
Nom complet (scope profile) : prénom et nom tels que renseignés sur votre profil Google public.
Photo de profil (scope profile) : URL de votre avatar Google, affichée dans votre interface utilisateur Xamalma.
Identifiant unique (scope openid) : identifiant technique stable (sub) utilisé pour relier de manière sécurisée votre session Xamalma à votre compte Google, sans stocker de mot de passe.

Aucune autre donnée Google n'est collectée. Xamalma n'accède pas à vos contacts, e-mails Gmail, fichiers Google Drive, calendrier, données de localisation, ni à aucune autre donnée sensible ou restreinte de votre compte Google.

2. Utilisation des données (Data Usage)

Les données Google collectées sont utilisées exclusivement aux fins suivantes :

Adresse e-mail — Création de votre compte Xamalma et authentification à chaque connexion. Envoi d'e-mails transactionnels essentiels : confirmation d'inscription, réinitialisation de mot de passe, lien de vérification de sécurité.
Nom complet — Affichage dans votre interface utilisateur (en-tête, page profil) pour personnaliser votre expérience.
Photo de profil — Affichage de votre avatar dans l'interface et le classement public (leaderboard).
Identifiant unique (sub) — Liaison sécurisée entre votre session Xamalma et votre compte Google pour l'authentification sans stockage de mot de passe Google.

Aucune donnée Google n'est utilisée à des fins de publicité, de profilage commercial, de prospection, ni d'entraînement de modèles d'intelligence artificielle.

3. Partage des données (Data Sharing)

Xamalma ne partage vos données Google avec aucun tiers, à l'exception stricte des prestataires techniques suivants, nécessaires au fonctionnement de la plateforme :

Supabase (hébergeur base de données) — stocke votre e-mail, nom, photo de profil et identifiant de manière sécurisée. Politique de confidentialité Supabase.
Vercel (hébergeur application) — aucune donnée personnelle stockée, traitement en transit uniquement. Politique de confidentialité Vercel.
Resend (service d'e-mails) — reçoit votre adresse e-mail uniquement pour l'envoi des e-mails transactionnels. Politique de confidentialité Resend.

Engagements fermes :

Nous ne vendons jamais vos données à des tiers.
Nous ne partageons jamais vos données à des fins publicitaires.
Nous ne transférons pas vos données vers des courtiers en données (data brokers).
Nous ne partageons pas vos données avec d'autres utilisateurs Xamalma au-delà de ce qui est visible dans l'interface (prénom et avatar dans le classement public).
Nous n'entraînons aucun modèle d'intelligence artificielle sur vos données personnelles.

4. Stockage et protection des données (Data Storage & Protection)

Vos données Google sont stockées et protégées selon les pratiques suivantes :

Infrastructure :

Base de données hébergée chez Supabase (serveurs situés en Europe — région EU).
Application hébergée chez Vercel (réseau mondial avec points de présence européens).
Noms de domaine gérés par Cloudflare (protection DDoS, DNS sécurisé).

Mesures de sécurité :

Chiffrement en transit (TLS/HTTPS sur toutes les connexions).
Chiffrement au repos (données chiffrées dans la base de données).
Authentification sécurisée via Supabase Auth (tokens JWT, sessions sécurisées).
Accès administrateur restreint par liste blanche d'e-mails.
Aucun mot de passe Google n'est jamais stocké par Xamalma — l'authentification passe exclusivement par le protocole OAuth 2.0 de Google.
Row-Level Security (RLS) activée sur toutes les tables sensibles : chaque utilisateur ne peut accéder qu'à ses propres données.

5. Conservation et suppression des données (Data Retention & Deletion)

Durée de conservation : vos données Google sont conservées tant que votre compte Xamalma est actif. Aucune donnée n'est conservée au-delà de la durée nécessaire à la fourniture du service.

Suppression des données : vous pouvez demander la suppression complète de votre compte et de toutes vos données à tout moment en contactant :

E-mail : support@xamalma.org
Objet : Demande de suppression de compte

Nous nous engageons à :

Accuser réception de votre demande sous 48 heures.
Supprimer l'intégralité de vos données personnelles (y compris les données Google) sous 30 jours suivant la confirmation de votre demande.
Vous envoyer une confirmation une fois la suppression effectuée.

Vos droits : conformément au Règlement Général sur la Protection des Données (RGPD) européen et à la loi sénégalaise n° 2008-12 sur la protection des données à caractère personnel, vous disposez des droits suivants :

Droit d'accès : obtenir une copie de toutes les données que nous détenons sur vous.
Droit de rectification : corriger des données inexactes.
Droit à l'effacement : demander la suppression de votre compte et de vos données.
Droit à la portabilité : recevoir vos données dans un format structuré et lisible.
Droit de retrait du consentement : révoquer l'accès Google Sign-In à tout moment depuis les paramètres de votre compte Google (myaccount.google.com/permissions) et continuer à utiliser Xamalma via une connexion par e-mail et mot de passe.

Pour exercer l'un de ces droits, contactez-nous à support@xamalma.org.

1. Qui sommes-nous ?

Xamalma est édité par NEEKOCODE, une initiative basée au Sénégal. Nous sommes responsables du traitement de vos données personnelles au sens de la loi sénégalaise n° 2008-12 du 25 janvier 2008 sur la protection des données à caractère personnel, et du Règlement Général sur la Protection des Données (RGPD) européen.

Contact : contact@xamalma.org

2. Quelles données nous collectons

2.1 Données que vous nous donnez directement

À l'inscription : votre adresse email, votre prénom, votre classe scolaire (CI à Terminale)
Si vous vous inscrivez avec Google : votre nom, votre photo de profil et votre adresse email Google
Pour un abonnement Premium : une capture d'écran de votre paiement Wave ou Orange Money (que nous supprimons après vérification)

2.2 Données générées par votre activité sur Xamalma

Les leçons que vous avez consultées et terminées
Vos résultats aux quiz (réponses, score, temps passé)
Vos points d'expérience (XP), niveaux, badges et streaks
Les notifications que vous avez reçues

2.3 Données techniques

Votre adresse IP (pour la sécurité et la lutte contre la fraude)
Le type d'appareil et de navigateur que vous utilisez
La langue de votre navigateur

Ce que nous ne collectons pas : nous ne demandons jamais votre numéro de téléphone, votre adresse postale, votre date de naissance complète, ou des informations bancaires (les paiements passent uniquement par Wave et Orange Money, qui ont leurs propres politiques de confidentialité).

3. Pourquoi nous collectons ces données

Nous utilisons vos données uniquement pour :

Vous fournir le service : afficher les leçons adaptées à votre classe, sauvegarder votre progression, vous envoyer vos résultats de quiz
Améliorer Xamalma : comprendre quelles leçons sont les plus utiles, identifier les bugs, optimiser les performances
Vous communiquer : vous envoyer un email de confirmation, un rappel d'apprentissage, une notification importante
Garantir la sécurité : détecter les comportements suspects (tentatives de triche, piratage de compte)
Respecter nos obligations légales : conserver certaines données quand la loi nous l'impose

Nous ne vendons jamais vos données. Nous ne les utilisons pas pour de la publicité ciblée. Nous ne les partageons pas avec des annonceurs.

4. Avec qui nous partageons vos données

Pour faire fonctionner Xamalma, nous utilisons quelques services tiers de confiance. Tous sont conformes au RGPD et ont signé des accords de traitement de données avec nous :

Supabase (base de données et authentification) — héberge vos données dans un datacenter sécurisé
Vercel (hébergement de l'application web)
Resend (envoi des emails transactionnels)
Google Cloud (génération de l'audio pour les leçons des plus jeunes, et connexion via Google Sign-In si vous choisissez cette option)
Cloudflare (protection contre les attaques et CDN)

Aucun de ces partenaires ne peut utiliser vos données pour ses propres fins. Ils agissent uniquement comme des sous-traitants techniques.

Nous ne transmettons jamais vos données à des tiers à des fins commerciales, et nous ne les vendons à personne.

5. Combien de temps nous conservons vos données

Compte actif : tant que vous utilisez Xamalma
Compte inactif : 24 mois après votre dernière connexion, puis suppression automatique
Données de paiement (capture d'écran) : supprimées dès la vérification (généralement sous 24h)
Données techniques (logs serveur) : 90 jours maximum
Données obligatoires légalement (factures par exemple) : 5 ans

6. Vos droits

Conformément à la loi sénégalaise et au RGPD, vous avez plusieurs droits sur vos données personnelles :

Droit d'accès : savoir quelles données nous avons sur vous
Droit de rectification : corriger des informations inexactes
Droit à l'effacement : demander la suppression de votre compte et de toutes vos données
Droit d'opposition : vous opposer à certains traitements
Droit à la portabilité : récupérer vos données dans un format lisible
Droit de limitation : demander que nous limitions certains traitements

Pour exercer un de ces droits, écrivez-nous à contact@xamalma.org. Nous vous répondrons sous 30 jours maximum.

Si vous estimez que nous ne respectons pas vos droits, vous pouvez déposer une plainte auprès de la Commission de Protection des Données Personnelles (CDP) du Sénégal, ou auprès de l'autorité de protection des données de votre pays si vous résidez en dehors du Sénégal.

7. Protection particulière des mineurs

Xamalma est conçu pour les élèves de la CI à la Terminale, donc principalement pour des mineurs. Nous prenons des mesures supplémentaires pour les protéger :

Nous collectons le minimum de données nécessaire au fonctionnement du service
Nous ne demandons jamais d'informations sensibles (origine, religion, santé, opinions politiques)
Nous n'affichons aucune publicité
Nous ne permettons pas aux utilisateurs d'envoyer des messages publics ou privés à d'autres utilisateurs
Le classement (leaderboard) utilise uniquement les prénoms, pas les noms de famille complets
Nous supprimons définitivement toutes les données d'un compte sur simple demande d'un parent ou tuteur

Pour les parents : si vous souhaitez accéder, modifier ou supprimer les données de votre enfant, écrivez-nous à contact@xamalma.org. Nous traiterons votre demande en priorité.

8. Sécurité des données

Nous mettons en place des mesures techniques et organisationnelles pour protéger vos données :

Chiffrement HTTPS sur toutes les pages
Mots de passe stockés de manière sécurisée (jamais en clair)
Accès aux données limité aux personnes autorisées
Sauvegardes régulières de la base de données
Surveillance contre les tentatives d'intrusion

En cas de violation de données affectant vos informations, nous vous en informerons dans les 72 heures et notifierons les autorités compétentes comme la loi l'exige.

9. Cookies et technologies similaires

Xamalma utilise un nombre minimal de cookies, uniquement pour faire fonctionner le service :

Cookies de session : pour vous garder connecté
Cookies de préférences : pour mémoriser votre classe et vos paramètres

Nous n'utilisons aucun cookie publicitaire et aucun cookie de tracking tiers.

10. Modifications de cette politique

Nous pouvons modifier cette politique de temps en temps pour refléter des évolutions légales ou techniques. En cas de changement important, nous vous en informerons par email ou via une notification dans l'application.

11. Contact

Pour toute question sur cette politique de confidentialité ou sur la manière dont nous gérons vos données, écrivez-nous à :

contact@xamalma.org

Nous nous engageons à vous répondre rapidement et de manière transparente.