S’applique lors de l’utilisation de la plateforme Tutlio.
1. Dispositions générales
La présente politique de confidentialité (ci-après la Politique) précise comment MB Tutlio (code d’entreprise 307617263), exploitant la plateforme Tutlio (ci-après le Prestataire de services, nous), collecte, utilise et protège les données personnelles. Nous agissons conformément aux lois de la République de Lituanie : le Règlement général sur la protection des données (RGPD) (UE 2016/679), la loi de la République de Lituanie sur la protection juridique des données personnelles, les lois sur les services électroniques et les communications électroniques, ainsi que les autres textes applicables.
2. Responsable du traitement et Sous-traitant (rôles)
Dans la fourniture de services cloud B2B (business-to-business), les rôles en matière de protection des données sont strictement séparés conformément aux exigences du RGPD : le Tuteur / l’Organisation (client de la Plateforme) agit exclusivement comme Responsable du traitement pour toutes les données personnelles des élèves (et de leurs parents/tuteurs légaux) saisies dans la Plateforme. MB Tutlio agit exclusivement comme Sous-traitant (au sens de l’article 28 du RGPD) pour les données personnelles des élèves, en les traitant uniquement selon les instructions du Client. MB Tutlio agit comme Responsable du traitement uniquement pour les données d’inscription et de facturation des Tuteurs/Organisations eux-mêmes (ses clients B2B directs).
2.1. Le Tuteur/l’Organisation, en tant que Responsable du traitement, est responsable de :
- Base juridique : Disposer d’une base juridique pour le traitement de toutes les données personnelles des élèves saisies dans la Plateforme (consentement, contrat, intérêt légitime).
- Information : Informer les élèves et leurs parents/tuteurs légaux du traitement des données dans la Plateforme et fournir un lien vers la présente Politique de confidentialité.
- Exactitude des données : Garantir que les données saisies dans la Plateforme sont exactes, à jour et limitées à ce qui est nécessaire (minimisation des données).
- Droits des personnes concernées : Répondre aux demandes des élèves concernant leurs données (accès, suppression, rectification, portabilité), de manière autonome en utilisant les fonctionnalités de la Plateforme.
2.2. MB Tutlio, en tant que Sous-traitant, traite les données des élèves aux fins suivantes :
- Fourniture de la Plateforme : Assurer le fonctionnement de l’infrastructure de la Plateforme, le support technique et la fourniture de services cloud conformément au contrat B2B.
- Sécurité : Sécurité technique des données et mise en œuvre de mesures de sécurité (chiffrement, sauvegardes).
- Processus automatiques : Envoi de notifications automatiques (rappels de leçons, paiements) strictement selon les paramètres du Tuteur/de l’Organisation.
- Traitement des paiements : Support technique des processus de paiement, en agissant comme agent commercial autorisé.
3. Quelles données nous collectons
- Données d’inscription et de compte (Clients) : e-mail, prénom et nom, numéro de téléphone, mot de passe (conservé sous forme chiffrée, c’est-à-dire sous forme de hash).
- Données de paiement : historique des paiements, statut de paiement des sessions. Les données de carte de paiement ou bancaires sont traitées uniquement par des partenaires agréés (Stripe ou UAB Perlas Finance). MB Tutlio ne voit pas et ne conserve pas les données complètes de cartes de paiement ou d’identifiants bancaires.
- Données d’abonnement : plan d’abonnement, date d’expiration, utilisation de l’essai.
- Données de leçons et de calendrier : horaires des leçons, sujets, notes, annulations, envoi de rappels.
- Données des élèves (saisies par le Tuteur) : noms des élèves, e-mails, téléphones, données du payeur (parents/tuteurs légaux).
- Données techniques : adresse IP, type de navigateur, heures de connexion, aux fins d’intérêts légitimes (sécurité du système, prévention des abus).
4. Utilisation des données Google API (Google API Limited Use Policy)
Pour assurer une gestion pratique des calendriers, la Plateforme permet aux utilisateurs de lier leur compte à Google Calendar (au moyen de l’authentification OAuth). Nous demandons l’accès uniquement à vos événements Google Calendar (droits de lecture et d’écriture) afin de synchroniser les leçons planifiées dans la Plateforme avec votre calendrier personnel.
Vos données Google Calendar sont utilisées exclusivement pour assurer la synchronisation bidirectionnelle des calendriers. Nous ne transmettons, ne vendons ni ne partageons vos données utilisateur Google avec aucun tiers (y compris les réseaux publicitaires ou autres partenaires commerciaux).
L’utilisation et le transfert par Tutlio des informations reçues des API Google vers toute autre application respectent strictement la Google API Services User Data Policy, y compris les exigences d’utilisation limitée (Limited Use).
5. Finalités et base juridique (article 6 du RGPD)
Nous traitons les données afin d’exécuter le contrat (administration des comptes, leçons et paiements), de poursuivre des intérêts légitimes (sécurité de la plateforme, règlements), sur la base de votre consentement (lorsque la loi l’exige) et pour respecter la législation (comptabilité). Nous utilisons l’e-mail pour les informations relatives aux paiements et aux annulations ; les règles d’annulation sont décrites dans les Règles internes de la Plateforme.
6. Conservation et sécurité des données
Nous conservons les données uniquement pendant la durée nécessaire à l’exécution du contrat et au respect de la législation (par exemple comptable). Nous utilisons des mesures techniques et organisationnelles appropriées (chiffrement des données en transit et au repos, contrôle d’accès, sauvegardes automatiques) afin de protéger les données contre l’accès non autorisé, la perte ou l’abus.
6.1. Sous-traitants ultérieurs
MB Tutlio recourt à des sous-traitants ultérieurs soigneusement sélectionnés et conformes aux exigences du RGPD pour assurer l’infrastructure cloud et de paiement :
- Supabase Inc. : Hébergement et gestion de la base de données (données conservées dans la région UE, sur des serveurs AWS).
- Stripe, Inc. : Traitement des paiements et gestion des abonnements sur les marchés internationaux.
- UAB Perlas Finance : Services de collecte de paiements par open banking sur le marché local.
- Resend (Zernonia, Inc.) : Service d’envoi d’e-mails transactionnels (rappels, invitations, notifications).
Tous les sous-traitants ultérieurs s’engagent à traiter les données personnelles uniquement selon nos instructions, en appliquant les normes de sécurité les plus strictes (y compris les clauses contractuelles types, SCC, lors du transfert de données hors de l’UE).
7. Vos droits (RGPD)
Pour exercer vos droits en matière de données, contactez-nous par e-mail : info@tutlio.lt.
Précisions importantes :
- Si vous êtes un élève (ou le parent/tuteur légal d’un élève) : Pour les données saisies dans la Plateforme par votre tuteur ou votre école, contactez-les d’abord directement. Ils sont votre Responsable du traitement. Nous aiderons techniquement le Responsable du traitement à exercer vos droits, mais la personne principalement responsable est votre tuteur/organisation.
- Si vous êtes un tuteur/une organisation : Vous pouvez gérer, corriger, supprimer ou exporter de manière autonome les données des élèves via les paramètres de la Plateforme. En cas de besoin technique, nous vous aiderons à exercer les droits des personnes concernées.
7.1. Notification des violations de sécurité des données
En cas de violation de sécurité des données, nous informerons le Responsable du traitement (Tuteur/Organisation) au plus tard dans les 72 heures suivant la découverte de la violation. Le Responsable du traitement est chargé d’informer ensuite les personnes concernées ou les autorités de contrôle (VDAI), comme l’exige le RGPD.
8. Cookies et analytique
Nous utilisons uniquement des cookies nécessaires (techniques), requis pour la connexion des utilisateurs (maintien de session) et le fonctionnement sécurisé de la plateforme. Nous n’utilisons pas de cookies marketing tiers à l’intérieur de la Plateforme sans consentement séparé.
9. Modifications
La présente Politique peut être mise à jour lors de l’amélioration des services. Nous informerons les clients existants des changements importants par e-mail ou par notification dans la plateforme. En continuant à utiliser les services après la publication des modifications, vous acceptez la Politique de confidentialité mise à jour. Les clients B2B sont également soumis à l’Accord de traitement des données (DPA).