Politique de confidentialité

La présente politique de confidentialité s'applique à l'ensemble des services proposés par TAKISOFT 2.0 sous la marque BeeNet, notamment :

• Le site web BeeNet à l'adresse beenet.app
• L'application mobile BeeNet pour Android (distribuée via Google Play) et iOS (distribuée via l'Apple App Store)
• Le portail d'administration BeeNet à l'adresse admin.beenet.app
• Le serveur d'identité BeeNet à l'adresse identity.beenet.app

En utilisant l'un de ces services, vous acceptez les pratiques décrites dans cette politique. Si vous n'êtes pas d'accord, veuillez ne pas utiliser BeeNet.

TAKISOFT 2.0
200 rue de la Croix Nivert
75015 Paris, France

TAKISOFT 2.0 est le responsable du traitement de toutes les données personnelles traitées via les services BeeNet.

Contact confidentialité / Délégué à la protection des données (DPO) :
E-mail : [email protected]
Nous répondons à toutes les demandes relatives à la confidentialité dans un délai de 30 jours (ou 72 heures pour les notifications de violation de données).

Nous ne collectons que les données nécessaires au fonctionnement de BeeNet. Les catégories exactes dépendent du service utilisé et de votre rôle (parent, élève, enseignant, administrateur d'organisation, chauffeur).

3.1 Données de compte et d'identité

• Numéro de téléphone (format E.164) — utilisé pour l'authentification par code à usage unique (OTP) sur mobile
• Nom, adresse e-mail, photo de profil — fournis par vous ou par l'administrateur de votre organisation
• Affiliation organisationnelle — l'école, le club sportif, la crèche ou le centre communautaire auquel vous appartenez, et votre rôle en son sein
• Liens de parenté — relations entre les comptes parents et enfants, le cas échéant

3.2 Données d'authentification et de sécurité

• Identifiant d'appareil, nom d'appareil, plateforme (iOS/Android) — utilisés pour lier les jetons de rafraîchissement à votre appareil pour des raisons de sécurité
• Signaux d'attestation d'appareil — fournis par l'API Google Play Integrity (Android) et Apple App Attest (iOS) pour détecter les appareils rootés ou jailbreakés
• Historique de connexion — horodatage, adresse IP, agent utilisateur, géolocalisation approximative (dérivée de l'IP, pas du GPS) — utilisé pour la détection d'activités suspectes (voyages impossibles, tentatives de force brute)
• Empreinte d'appareil (web uniquement) — hachage des caractéristiques du navigateur, utilisé pour la prévention de la fraude sur le portail d'administration
• Paramètres d'authentification à deux facteurs — vos préférences (e-mail, TOTP, OTP par téléphone)

3.3 Données de communication et de contenu

• Messages que vous envoyez dans les canaux et les messages directs, y compris le texte, les réactions et les métadonnées (horodatage, accusés de lecture, indicateurs de saisie)
• Pièces jointes que vous téléversez — photos, documents, enregistrements vocaux, fichiers
• Appartenance aux canaux et groupes — les conversations auxquelles vous participez
• Informations de présence — statut en ligne/hors ligne, horodatage de dernière connexion (si vous l'activez)

3.4 Données scolaires et éducatives

Lorsque votre organisation est une école ou une crèche, nous traitons (pour le compte de l'établissement, selon ses instructions) :

• Registres de présence, notes de comportement, cahiers, bulletins de progression
• Devoirs, exercices, évaluations
• Itinéraires de bus scolaire, arrêts, statut d'embarquement (pour le module de transport)
• Comptes rendus journaliers, photos et fils d'activité (pour les crèches)

3.5 Données techniques et d'utilisation

• Adresse IP — utilisée pour la journalisation de sécurité (conservée 90 jours)
• Journaux serveur — chemins de requêtes HTTP, codes de statut, temps de traitement (sans corps de requêtes)
• Rapports d'erreur — traces de plantage en cas de dysfonctionnement (aucun contenu personnel inclus)
• Jetons de notifications push — jetons FCM (Android) ou APNs (iOS), utilisés exclusivement pour vous envoyer des notifications

3.6 Ce que nous ne collectons PAS

BeeNet ne collecte délibérément pas :

• Vos contacts, journaux d'appels ou SMS
• Les identifiants publicitaires (AAID, IDFA)
• Les données de suivi comportemental à des fins marketing
• Les données biométriques (votre empreinte digitale ou Face ID ne quittent jamais votre appareil — elles sont gérées par votre système d'exploitation uniquement pour le déverrouillage de l'application)
• Votre historique de navigation en dehors de BeeNet

L'application mobile BeeNet ne demande que les autorisations strictement nécessaires à ses fonctionnalités. Chaque autorisation est facultative dans la mesure du possible — la refuser désactivera uniquement la fonctionnalité spécifique qui en a besoin.

Vous pouvez révoquer toute autorisation à tout moment dans les paramètres de votre appareil.

Nous utilisons vos données personnelles uniquement aux fins suivantes :

• Fourniture du service — créer votre compte, vous authentifier, afficher vos messages, livrer les notifications, suivre les bus
• Sécurité — détecter les connexions suspectes, prévenir les attaques par force brute, vérifier l'intégrité des appareils, protéger contre les abus
• Support — répondre à vos demandes et résoudre les problèmes
• Conformité légale — conserver les enregistrements requis par la loi (facturation, journaux d'audit)
• Amélioration du service — métriques de performance agrégées et anonymisées (aucun suivi individuel)

Nous n'utilisons pas vos données à des fins publicitaires, de profilage ou de vente à des tiers. Nous n'utilisons pas vos messages ou contenus pour entraîner des modèles d'intelligence artificielle.

En vertu du Règlement général sur la protection des données (RGPD), chaque activité de traitement repose sur une base légale :

• Exécution du contrat (Art. 6, §1, b) — traitement nécessaire pour fournir le service BeeNet auquel vous ou votre organisation avez souscrit
• Intérêt légitime (Art. 6, §1, f) — surveillance de la sécurité, prévention de la fraude, administration système et amélioration agrégée du service
• Consentement (Art. 6, §1, a) — fonctionnalités optionnelles telles que le partage de localisation pour les chauffeurs, les communications marketing et les cookies non essentiels sur le site web
• Obligation légale (Art. 6, §1, c) — conservation des registres de facturation, déclarations fiscales, réponses aux réquisitions légales des autorités
• Intérêts vitaux (Art. 6, §1, d) — notifications de sécurité des enfants (alertes de présence, rapports d'incident) pour les écoles et les crèches

Nous nous appuyons sur un nombre limité de sous-traitants soigneusement sélectionnés pour exploiter BeeNet. Chacun est lié par un Accord de traitement des données (DPA) conforme à l'article 28 du RGPD.

Nous n'utilisons aucun SDK d'analyse ou de publicité tiers dans l'application mobile. Voir la section 16 pour plus de détails.

Vos données sont principalement stockées dans l'Union européenne (région Azure Europe Centrale), avec une réplication de reprise d'activité vers Azure Europe du Nord (Irlande). Les deux se trouvent au sein de l'UE/EEE et sont soumises au RGPD.

Certains sous-traitants listés en section 7 sont basés aux États-Unis (Cloudflare, Twilio, Google, Apple, hCaptcha). Lorsque vos données sont transférées à ces prestataires, nous nous appuyons sur :

• Les clauses contractuelles types (CCT) approuvées par la Commission européenne (Décision 2021/914)
• Des mesures techniques supplémentaires — chiffrement TLS 1.2+ en transit, chiffrement au repos
• La minimisation des données — nous envoyons le minimum de données nécessaires (par exemple, Twilio ne reçoit que le numéro de téléphone et le code OTP, pas le contenu de votre compte)

Pour les utilisateurs au Royaume-Uni, nous utilisons l'addendum de transfert international de données du Royaume-Uni. Pour les utilisateurs en Suisse, nous appliquons la nLPD révisée.

Nous ne conservons les données personnelles que le temps nécessaire :

• Comptes actifs — pendant toute la durée du contrat de service entre BeeNet et votre organisation
• Comptes supprimés — 30 jours après la demande de suppression (période de grâce pour la récupération), puis effacement permanent
• Messages et contenus — conservés selon la politique de votre organisation (généralement alignée sur la durée du compte)
• Registres de facturation — 7 ans (obligation du code de commerce français)
• Journaux de sécurité et d'audit — 90 jours en stockage actif, archivés jusqu'à 7 ans en production (à des fins légales et de conformité)
• Journaux serveur — 90 jours
• Codes OTP — hachés et supprimés après 5 minutes ou après la première utilisation
• Jetons de notifications push — supprimés lorsque vous vous déconnectez ou désinstallez l'application

En vertu du RGPD (UE, Royaume-Uni, Suisse, Norvège, Islande, Liechtenstein)

• Accès — obtenir une copie de vos données personnelles
• Rectification — corriger les données inexactes ou incomplètes
• Effacement (« droit à l'oubli ») — demander la suppression de vos données, sous réserve des obligations légales de conservation
• Limitation — limiter la manière dont nous traitons vos données
• Portabilité — recevoir vos données dans un format structuré et lisible par machine (JSON)
• Opposition — vous opposer au traitement fondé sur l'intérêt légitime
• Retrait du consentement — pour les traitements fondés sur le consentement, à tout moment, sans affecter les traitements passés
• Réclamation — auprès d'une autorité de contrôle, notamment la CNIL française (cnil.fr)

En vertu des lois PDPL d'Arabie Saoudite, des EAU et d'autres pays du CCG

Les résidents d'Arabie Saoudite, des Émirats arabes unis, du Qatar, de Bahreïn, du Koweït et d'Oman disposent de droits équivalents en vertu de leurs lois respectives sur la protection des données personnelles, notamment le droit de savoir, d'accéder, de corriger et de demander la destruction de leurs données personnelles.

Comment exercer vos droits

Contactez [email protected]. Nous répondrons dans un délai de 30 jours. Vous pouvez également exercer la plupart des droits directement dans l'application BeeNet, dans Paramètres → Confidentialité, ou demander la suppression de votre compte sur beenet.app/fr/account-deletion.

BeeNet est expressément conçu pour les organisations éducatives et destinées aux jeunes, notamment les écoles, les crèches et les clubs sportifs où les enfants de moins de 13 ans sont des utilisateurs principaux.

Exception de l'école en vertu du COPPA (États-Unis)

Lorsque BeeNet est fourni à une école ou à une crèche, l'établissement éducatif agit en qualité de représentant autorisé des parents, conformément à l'« exception de l'école » du Children's Online Privacy Protection Act (COPPA). L'école obtient et conserve le consentement parental dans le cadre de son contrat d'inscription. BeeNet collecte les données personnelles des enfants uniquement sur instruction de l'école et seulement à des fins éducatives légitimes. Nous n'utilisons pas les données des enfants à des fins commerciales, de publicité comportementale ou de profilage.

RGPD-K (Article 8 - Union européenne)

Pour les enfants de l'UE/EEE n'ayant pas atteint l'âge du consentement numérique (13 à 16 ans selon l'État membre), le consentement parental est requis. Nous nous appuyons sur l'école ou l'organisation pour obtenir et documenter ce consentement dans le cadre de son processus d'inscription.

Droits parentaux

Les parents d'un enfant inscrit dans une organisation connectée à BeeNet peuvent, à tout moment :

• Demander à consulter les données personnelles collectées concernant leur enfant
• Demander la rectification ou la suppression des données de l'enfant
• Refuser toute collecte ultérieure
• Demander une copie des données dans un format portable

Pour exercer ces droits, contactez d'abord l'administrateur de votre école (qui maintient la relation principale en vertu du COPPA), ou envoyez directement un e-mail à [email protected].

Pas de collecte directe auprès des enfants

BeeNet ne permet pas aux enfants de créer des comptes par eux-mêmes. Tous les comptes d'utilisateurs mineurs sont créés par un administrateur d'organisation autorisé, un parent ou un tuteur légal.

Nous protégeons vos données avec des garanties techniques et organisationnelles à plusieurs niveaux :

Chiffrement

• En transit — TLS 1.2 ou supérieur pour toutes les connexions, HSTS preload activé, Certificate Transparency surveillé
• Au repos — Transparent Data Encryption (TDE) d'Azure SQL, chiffrement d'Azure Blob Storage, gestion de clés par Azure Key Vault avec HSM
• Codes OTP — hachage SHA-256 avec sel et comparaison en temps constant

Avis important concernant le chiffrement des messages : Les messages BeeNet sont chiffrés au repos dans la base de données et en transit sur le réseau. Cependant, BeeNet ne propose pas actuellement de chiffrement de bout en bout. Les administrateurs autorisés de votre organisation (et, dans des scénarios de support limités, les administrateurs système BeeNet selon une procédure d'accès auditée — voir section 13) peuvent techniquement accéder au contenu des messages pour des raisons de modération, de conformité ou d'obligations légales.

Contrôles d'accès

• Contrôle d'accès basé sur les rôles (RBAC) sur toutes les données
• Identités managées pour l'authentification service à service (pas de mots de passe partagés)
• Points de terminaison réseau privés pour tous les magasins de données (pas d'accès Internet public aux bases de données)
• Authentification multi-facteurs obligatoire pour les administrateurs
• Verrouillage progressif en cas de tentatives de connexion échouées

Sécurité mobile

• Jetons de rafraîchissement liés à l'appareil (inutilisables depuis un autre appareil)
• Attestation d'intégrité de l'appareil (Play Integrity / App Attest)
• Stockage sécurisé via Android Keystore et iOS Keychain
• Expiration automatique de session

Sécurité opérationnelle

• Audits de sécurité réguliers et analyse des vulnérabilités des dépendances
• Journaux d'audit immuables pour toutes les actions administratives
• Procédures de réponse aux incidents alignées sur les exigences de notification du RGPD

Dans des circonstances strictement limitées — telles que le support technique, le débogage d'un problème signalé ou la conformité à une demande légale — les administrateurs système BeeNet autorisés peuvent temporairement accéder aux données de votre organisation ou agir au nom d'un compte utilisateur via une procédure sécurisée d'échange de jetons (RFC 8693). Tout accès de ce type est :

• Enregistré dans un journal d'audit immuable
• Accessible à l'administrateur de votre organisation sur demande
• Limité à la portée minimale nécessaire
• Interdit pour les comptes utilisateurs ayant des privilèges SuperAdmin

Par ailleurs, les administrateurs au sein de votre propre organisation (comme le directeur de votre école ou le responsable de votre club) peuvent accéder aux messages des membres, aux registres de présence et à d'autres données requises par leur rôle. Cet accès est régi par les politiques internes de votre organisation, et non par BeeNet.

BeeNet n'utilise pas de prise de décision automatisée ni de profilage produisant des effets juridiques vous concernant ou vous affectant de manière significative similaire (Article 22 du RGPD). La plateforme contient des fonctionnalités automatisées (filtrage du spam, détection de connexions suspectes, escalade de verrouillage), mais celles-ci ne prennent pas de décisions finales sans intervention humaine lorsque des droits légaux sont en jeu.

BeeNet n'utilise pas vos messages, pièces jointes ou données personnelles pour entraîner des modèles d'intelligence artificielle ou d'apprentissage automatique.

Les comptes BeeNet sont créés et gérés par l'organisation qui vous a invité(e) (votre école, club sportif, crèche ou centre communautaire). La suppression du compte passe donc normalement par l'administrateur de votre organisation.

Étape 1 — Contactez l'administrateur de votre organisation (recommandé) : votre directeur d'école, responsable de club, directrice de crèche ou le membre du personnel qui vous a invité(e). Cette personne peut supprimer votre compte directement depuis le portail d'administration BeeNet en quelques minutes.

Étape 2 — Contactez BeeNet directement (voie de recours) : si votre organisation ne répond pas, refuse une demande légitime sans base légale valable, ou n'existe plus, vous pouvez soumettre une demande de suppression directement à BeeNet :

• Formulaire web — visitez beenet.app/fr/account-deletion (aucune connexion requise)
• E-mail — envoyez votre demande à [email protected] avec l'objet « Demande de suppression de compte — recours direct »
• Courrier postal — écrivez à TAKISOFT 2.0 à l'adresse indiquée en section 2

En tant que responsable du traitement, BeeNet est tenue de répondre aux recours directs en vertu de l'article 12, paragraphe 3 du RGPD, indépendamment de l'implication de l'organisation.

Une fois une demande de suppression approuvée, votre compte entre dans une période de grâce de 30 jours. Après 30 jours, vos données personnelles sont définitivement effacées des systèmes actifs, et les copies de sauvegarde sont écrasées dans un délai de 90 jours.

Données conservées après la suppression (pour conformité légale) :

• Registres de facturation (7 ans, code de commerce français)
• Journaux de sécurité (selon les exigences des autorités de protection des données)
• Statistiques agrégées anonymisées (non rattachables à vous)

Important : les registres détenus par votre organisation (registres de présence, bulletins de notes, historique d'inscription, etc.) sont conservés par votre organisation en vertu de ses propres obligations légales et ne sont pas supprimés par BeeNet. Pour demander la suppression de ces registres, contactez directement votre organisation.

Pour la procédure complète, les délais et les cas particuliers (mineurs, organisations fermées, suppression complète de l'organisation), consultez la page de suppression de compte.

La transparence sur ce que nous ne suivons pas est tout aussi importante que sur ce que nous suivons.

Application mobile

L'application mobile BeeNet ne contient aucun SDK tiers d'analyse, de publicité ou de suivi d'utilisateur. Plus précisément, nous n'intégrons pas :

• Firebase Analytics
• Google Analytics pour Firebase
• Crashlytics
• Sentry
• Mixpanel, Amplitude, AppsFlyer, Adjust ou similaires
• Réseaux publicitaires (AdMob, Meta Audience Network, etc.)

Les seuls services Google intégrés à l'application mobile sont Firebase Cloud Messaging (pour les notifications push) et Google Play Integrity (pour l'attestation d'appareil) — tous deux nécessaires au fonctionnement principal, et aucun ne suit votre comportement.

Surveillance de performance backend

Nos serveurs utilisent Azure Application Insights pour surveiller les performances du backend (temps de réponse, taux d'erreur, santé du système). Cela collecte des métriques techniques agrégées et ne suit pas le comportement individuel des utilisateurs ni ne lie les données à votre identité.

Site web

Le site web marketing BeeNet (beenet.app) n'utilise que des cookies essentiels au fonctionnement. Aucun cookie de suivi comportemental ou publicitaire n'est utilisé. Consultez notre Politique relative aux cookies pour plus de détails.

Dans l'éventualité improbable d'une violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, nous :

• Notifierons l'autorité de contrôle compétente (CNIL en France, et autres le cas échéant) dans un délai de 72 heures après en avoir pris connaissance, conformément à l'article 33 du RGPD
• Informerons les utilisateurs concernés sans retard indu si la violation est susceptible d'engendrer un risque élevé pour leurs droits, conformément à l'article 34 du RGPD
• Documenterons la violation, ses effets et les mesures correctives prises
• Coopérerons pleinement avec les régulateurs et les organisations concernées

Vous pouvez signaler des vulnérabilités de sécurité présumées à [email protected]. Consultez également notre security.txt.

Nous pouvons mettre à jour cette politique de confidentialité de temps à autre afin de refléter les évolutions de nos services, de nos obligations légales ou des meilleures pratiques. En cas de modifications importantes, nous :

• Mettrons à jour la date « Dernière mise à jour » en haut de cette page
• Notifierons les utilisateurs actifs par e-mail ou via un avis dans l'application
• Accorderons un délai raisonnable pour examiner les changements avant leur entrée en vigueur

L'utilisation continue de BeeNet après la date d'entrée en vigueur des révisions vaut acceptation de la politique mise à jour. Si vous n'êtes pas d'accord, vous pouvez exercer votre droit de suppression de compte (voir section 15).

Pour toute question concernant cette politique ou la manière dont nous gérons vos données :

TAKISOFT 2.0
À l'attention du : Délégué à la protection des données
200 rue de la Croix Nivert
75015 Paris, France
E-mail : [email protected]

Vous pouvez également déposer une réclamation auprès de votre autorité locale de protection des données. Pour la France, il s'agit de la CNIL : www.cnil.fr.