Politique de confidentialité

La présente politique décrit comment Memoratio collecte, utilise et protège vos données personnelles, conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés.

Responsable du traitement

Le responsable du traitement des données est Guillaume Gautreau, éditeur de Memoratio, joignable à contact@memoratio.app. Memoratio étant édité à titre personnel, il n'y a pas de délégué à la protection des données (DPO) désigné. Toutes les questions et demandes d'exercice de vos droits doivent être adressées à l'adresse ci-dessus.

Données collectées

Memoratio collecte uniquement les données strictement nécessaires au fonctionnement du service :

• Identité : votre adresse email (obligatoire pour créer un compte) et votre nom d'affichage (optionnel).
• Authentification : sessions actives, codes à usage unique (OTP) et liens magiques temporaires utilisés pour la connexion sans mot de passe.
• Contenu créé par vous : leçons, cartes (questions, réponses), imports de fichiers, partages que vous effectuez.
• Progression d'apprentissage : historique de vos révisions, évaluations que vous attribuez aux cartes, paramètres de planification de la répétition espacée (difficulté, stabilité, prochaine échéance).
• Préférences : paramètres d'affichage, préférences de notification, droits d'accès (entitlements) aux fonctionnalités en beta fermée.
• Audience agrégée : mesure d'usage anonyme de la landing et de l'app (voir la section « Umami Analytics » dans la liste des sous-traitants).

Memoratio ne collecte aucune donnée sensible au sens de l'article 9 du RGPD (origine ethnique, opinions politiques, convictions religieuses, santé, orientation sexuelle, données biométriques à des fins d'identification, etc.), sauf si vous choisissez délibérément d'en inclure dans vos cartes — auquel cas ces données sont traitées comme n'importe quel contenu créé par vous.

Finalités et bases légales du traitement

Chaque type de traitement est adossé à une base légale précise conformément à l'article 6 du RGPD :

• Création et gestion de votre compte (email, nom) — Exécution du contrat (art. 6.1.b).
• Stockage de vos cartes, leçons, progression de révision — Exécution du contrat (art. 6.1.b).
• Envoi de codes OTP et liens magiques pour l'authentification — Exécution du contrat (art. 6.1.b).
• Génération de flashcards par intelligence artificielle à partir d'une photo (feature en beta fermée, sur déclenchement explicite) — Exécution du contrat (art. 6.1.b).
• Synthèse vocale des cartes audio (feature en beta fermée, sur déclenchement explicite) — Exécution du contrat (art. 6.1.b).
• Mesure d'audience anonyme (Umami cookie-less) — Intérêt légitime (art. 6.1.f).
• Remontée d'erreurs applicatives pour diagnostic (Sentry) — Intérêt légitime (art. 6.1.f).

Durée de conservation

Vos données personnelles sont conservées aussi longtemps que votre compte Memoratio est actif. Memoratio ne réalise pas de sauvegarde additionnelle de votre base de données en dehors des mécanismes internes de récupération (point-in-time recovery) de notre hébergeur Neon, dont la durée de rétention varie selon le plan de service et n'excède pas 24 heures sur notre plan actuel.

Il n'existe pas actuellement de fonctionnalité de suppression de compte en libre-service dans l'application. Vous pouvez exercer votre droit à l'effacement en nous contactant par email à contact@memoratio.app. Votre demande sera traitée dans un délai maximum d'un mois, conformément à l'article 12.3 du RGPD. Toutes vos données personnelles (email, nom, cartes, progression, partages, préférences) seront alors supprimées définitivement de notre base de production, et les mécanismes de récupération internes de Neon les purgeront automatiquement sous 24 heures.

Les données agrégées d'audience (Umami) ne sont pas personnelles et peuvent être conservées indéfiniment à des fins de statistiques d'usage.

Un principe d'architecture : les photos ne sont jamais stockées

Lorsque vous utilisez la fonctionnalité de génération de cartes par IA à partir d'une photographie, cette photographie n'est jamais écrite sur nos serveurs ni dans notre base de données. Elle est maintenue en mémoire uniquement pendant le temps de votre requête, transmise à notre sous-traitant OpenAI pour analyse immédiate, et libérée dès que le texte extrait est retourné. Seul le texte extrait (dont vous pouvez choisir de valider la transformation en cartes) est éventuellement conservé, sous forme de cartes dans votre leçon.

Ce choix d'architecture nous engage : si cette architecture devait évoluer à l'avenir (par exemple pour permettre la relance d'une extraction en cas d'erreur), la présente politique serait mise à jour en conséquence et vous en seriez informés.

Sous-traitants (sub-processors)

Memoratio fait appel à des sous-traitants au sens de l'article 28 du RGPD pour certaines fonctions techniques. Pour chaque sous-traitant, nous indiquons précisément les données transmises et le cadre légal applicable au transfert.

Cloudflare, Inc. — hébergement du site vitrine, CDN, stockage objet, DNS

Données transmises : journaux techniques HTTP (adresse IP, user-agent, URL consultée) pour les visites du site. Pour l'application, fichiers audio générés par la synthèse vocale (stockés sur Cloudflare R2, sans identifiant utilisateur associé).
Localisation : États-Unis et réseau CDN mondial.
Cadre légal du transfert : Data Privacy Framework (certification US).

Neon, Inc. — hébergement de la base de données principale

Données transmises : l'ensemble des données applicatives (identité, contenu créé, progression d'apprentissage, préférences).
Localisation : Londres, Royaume-Uni (AWS Europe West 2).
Cadre légal du transfert : décision d'adéquation de la Commission européenne pour le Royaume-Uni. Les transferts vers le Royaume-Uni sont traités comme des transferts intra-UE.

OVH SAS — hébergement de l'API backend

Données transmises : journaux applicatifs, état des sessions en mémoire. Les données applicatives elles-mêmes restent chez Neon et ne sont pas persistées sur le VPS OVH.
Localisation : France (Roubaix).
Cadre légal du transfert : RGPD applicable nativement (sous-traitant en Union européenne).

Sentry (Functional Software, Inc.) — remontée d'erreurs applicatives

Données transmises : traces techniques d'erreurs côté navigateur et côté serveur, incluant le cas échéant l'identifiant interne de l'utilisateur connecté (userId) pour permettre le diagnostic. Aucun contenu de carte n'est transmis intentionnellement.
Localisation : États-Unis.
Cadre légal du transfert : Data Privacy Framework.

Resend, Inc. — envoi d'emails transactionnels

Données transmises : adresse email du destinataire et contenu des emails envoyés par Memoratio (codes OTP, liens magiques d'authentification, futurs rappels de révision).
Localisation : États-Unis.
Cadre légal du transfert : Data Privacy Framework.

OpenAI, Inc. — génération assistée de flashcards par IA

Données transmises : uniquement l'image que vous téléversez pour analyse, et le cas échéant une courte instruction textuelle de votre choix. Lorsque la génération a lieu dans une leçon qui contient déjà des cartes, les contenus (question et réponse) des cartes existantes sont également transmis à OpenAI en contexte, afin d'éviter la création de doublons. Aucun identifiant utilisateur (email, nom, ID interne) n'est transmis à OpenAI.
Localisation : États-Unis.
Cadre légal du transfert : Data Privacy Framework.
Garanties contractuelles : en tant que client de l'API OpenAI payante, Memoratio bénéficie de l'engagement contractuel d'OpenAI de ne pas utiliser les données transmises pour entraîner ses modèles. OpenAI conserve les données d'API pendant 30 jours à des fins de surveillance anti-abus, puis les supprime automatiquement.
Ce sous-traitant n'est sollicité que lorsque vous déclenchez explicitement une génération par IA. Cette fonctionnalité est actuellement en beta fermée, accessible sur liste d'attente.

ElevenLabs, Inc. — synthèse vocale (text-to-speech)

Données transmises : le texte de la carte à vocaliser (limité à 4 096 caractères par requête) et le choix du modèle de voix. Aucun identifiant utilisateur n'est transmis à ElevenLabs. Grâce à un mécanisme de cache par empreinte cryptographique du texte, les demandes identiques ne provoquent qu'un seul appel au service.
Localisation : États-Unis.
Cadre légal du transfert : Data Privacy Framework.
Garanties contractuelles : ElevenLabs s'engage à ne pas utiliser les données d'entrée de son API pour entraîner ses modèles vocaux.
Ce sous-traitant n'est sollicité que lorsque vous créez ou consultez une carte avec lecture audio. Cette fonctionnalité est actuellement en beta fermée.

Umami Analytics — mesure d'audience anonyme (auto-hébergé)

Memoratio utilise Umami pour mesurer l'audience de la landing et de l'application. Umami est auto-hébergé sur notre propre infrastructure (VPS OVH en France). Il ne s'agit donc pas, techniquement, d'un sous-traitant externe : aucune donnée ne quitte notre infrastructure à des fins d'analyse d'audience.

Umami est configuré en mode sans cookie. Il mesure les visites à partir d'un hachage journalier et non persistant (combinaison d'adresse IP, user-agent et date), ce qui ne permet pas d'identifier les visiteurs ni de les suivre entre sessions. Cette configuration est reconnue par la CNIL comme dispensée de consentement préalable au titre de l'article 82 de la loi Informatique et Libertés.

Vos droits

Conformément au RGPD, vous disposez des droits suivants sur les données personnelles vous concernant :

• Droit d'accès (art. 15) : obtenir la confirmation que nous traitons des données vous concernant et en obtenir une copie.
• Droit de rectification (art. 16) : corriger des données inexactes ou incomplètes.
• Droit à l'effacement (art. 17) : demander la suppression de vos données (« droit à l'oubli »).
• Droit à la limitation du traitement (art. 18) : demander que vos données soient conservées mais ne soient plus activement traitées.
• Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré et couramment utilisé.
• Droit d'opposition (art. 21) : vous opposer au traitement de vos données, notamment pour ceux fondés sur l'intérêt légitime.
• Droit d'introduire une réclamation auprès d'une autorité de contrôle, en France la Commission Nationale de l'Informatique et des Libertés (CNIL), www.cnil.fr.

Pour exercer l'un de ces droits, contactez-nous à contact@memoratio.app. Nous vous répondrons dans un délai maximum d'un mois à compter de la réception de votre demande.

Sécurité

Memoratio met en œuvre des mesures techniques et organisationnelles raisonnables pour protéger vos données contre tout accès non autorisé, altération, divulgation ou destruction :

• Connexion chiffrée (HTTPS/TLS) entre votre navigateur et nos serveurs
• Authentification sans mot de passe par code à usage unique (OTP) ou lien magique, limitant la surface d'attaque liée aux mots de passe
• Mises à jour de sécurité régulières sur l'infrastructure
• Séparation stricte des environnements de développement et de production
• Accès administratifs restreints au seul éditeur

Malgré ces mesures, aucune transmission de données sur internet ni aucun système de stockage ne peut être garanti comme étant 100 % sécurisé. Nous nous engageons à vous informer dans les meilleurs délais en cas d'incident de sécurité susceptible d'affecter vos données personnelles, conformément à l'article 34 du RGPD.

Mise à jour de cette politique

La présente politique de confidentialité a été mise à jour le 11 avril 2026. Elle peut être modifiée à tout moment pour refléter les évolutions du service ou de nos sous-traitants. En cas de modification substantielle, vous serez informés par email ou par une notification dans l'application avant l'entrée en vigueur des nouvelles dispositions.

Pour toute question, contactez-nous à contact@memoratio.app.