Politique de Confidentialité - Ed.ai
Politique de Confidentialité - Ed.ai
Dernière mise à jour : 6 avril 2026
1. Introduction
La société ED.AI SAS (ci-après "Ed.ai", "nous", "notre") s'engage à protéger la vie privée des utilisateurs de ses services. La présente politique de confidentialité décrit la manière dont nous collectons, utilisons, stockons et protégeons les données à caractère personnel dans le cadre de notre assistant pédagogique d'aide à la correction, au suivi et à la remédiation.
Ed.ai est un assistant pédagogique destiné aux enseignants du secondaire (collège et lycée). Notre service traite des données dans deux contextes distincts :
Via le GAR (Gestionnaire d'Accès aux Ressources) : Ed.ai agit en qualité de sous-traitant au sens du RGPD. Le responsable de traitement est le Ministère de l'Éducation nationale. Les conditions de traitement des données dans ce cadre sont régies par le GAR. Pour plus d'informations : gar.education.fr/mentions-informatives-rgpd/.
Hors GAR (accès direct, École Directe) : Ed.ai agit en qualité de responsable de traitement pour les données des comptes enseignants, et de sous-traitant pour les données des élèves traitées pour le compte de l'enseignant ou de l'établissement.
La présente politique couvre principalement le contexte hors GAR. Pour le contexte GAR, les utilisateurs sont invités à consulter les mentions informatives du GAR.
La présente politique est conforme au Règlement Général sur la Protection des Données (UE) 2016/679 (RGPD), à la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, et au Règlement européen sur l'Intelligence Artificielle (UE) 2024/1689.
2. Identité du responsable de traitement
ED.AI SAS
30 rue Chevreul
69007 Lyon
SIRET : 93258008700017
RCS : Lyon
Délégué à la Protection des Données (DPO) :
Jonathan Banon
Email : dpo@ed.ai
Numéro de déclaration CNIL : DPO-157103
3. Données collectées et finalités
3.1 Données des enseignants (compte utilisateur)
Identité
Exemples : Nom, prénom, adresse email professionnelle
Finalité : Création et gestion du compte
Base légale : Exécution du contrat (art. 6.1.b RGPD)
Authentification
Exemples : Mot de passe (haché SHA-512)
Finalité : Authentification et sécurité du compte
Base légale : Exécution du contrat (art. 6.1.b RGPD)
Données professionnelles
Exemples : Établissement, matière(s) enseignée(s), rôle(s), cycle d'enseignement
Finalité : Personnalisation du service
Base légale : Exécution du contrat (art. 6.1.b RGPD)
Données de connexion
Exemples : Adresse IP, horodatage, logs d'accès
Finalité : Sécurité et journalisation
Base légale : Intérêt légitime (art. 6.1.f RGPD)
Données d'usage
Exemples : Actions réalisées dans l'application, préférences
Finalité : Amélioration du service
Base légale : Intérêt légitime (art. 6.1.f RGPD)
3.2 Données des élèves
Identité scolaire
Exemples : Nom, prénom, classe (ou identifiant pseudonymisé via le GAR)
Finalité : Restitution des résultats à l'enseignant
Base légale : Mission d'intérêt public (art. 6.1.e) via le GAR / Intérêt légitime hors GAR
Copies et productions
Exemples : Photos ou scans de copies d'élèves uploadées par l'enseignant
Finalité : Correction augmentée par IA
Base légale : Mission d'intérêt public (art. 6.1.e) via le GAR / Intérêt légitime hors GAR
Résultats et évaluations
Exemples : Notes, annotations, analyse des compétences
Finalité : Analyse des apprentissages et remédiation
Base légale : Mission d'intérêt public (art. 6.1.e) via le GAR / Intérêt légitime hors GAR
Précision importante : Ed.ai ne collecte jamais de données directement auprès des élèves. Toutes les données élèves sont transmises par l'enseignant dans le cadre de son activité professionnelle. Les élèves peuvent accéder à leurs rendus (corrections, analyses) via l'ENT/GAR dans les établissements ayant souscrit à cette fonctionnalité, mais ils n'interagissent pas directement avec la plateforme Ed.ai au-delà de cette consultation.
3.3 Données collectées via le GAR
Lorsque l'accès à Ed.ai se fait via le Gestionnaire d'Accès aux Ressources (GAR), les données d'identification transmises sont pseudonymisées par le GAR. Ed.ai reçoit uniquement les données strictement nécessaires à la fourniture du service, conformément au cadre défini par le Ministère de l'Éducation nationale.
3.4 Données de prospection commerciale
Coordonnées professionnelles
Exemples : Email, établissement
Finalité : Envoi de newsletters, informations produit
Base légale : Consentement (art. 6.1.a RGPD)
4. Utilisation de l'intelligence artificielle
Ed.ai utilise des technologies d'intelligence artificielle pour fournir ses services de correction augmentée, d'analyse des apprentissages et de remédiation. Nous souhaitons être pleinement transparents sur ce traitement.
4.1 Fonctionnement
L'enseignant uploade une photo ou un scan de copie d'élève.
L'IA analyse le contenu de la copie au regard du barème et des critères définis par l'enseignant.
L'IA produit une proposition de correction, d'annotation et d'analyse que l'enseignant revoit, modifie et valide avant toute restitution à l'élève.
L'enseignant garde le contrôle total : aucun résultat n'est communiqué à un élève sans validation préalable de l'enseignant.
4.2 Engagements relatifs à l'IA
Non-utilisation pour l'entraînement : Les copies des élèves et les données pédagogiques ne sont jamais utilisées pour entraîner ou améliorer nos modèles d'IA, ni ceux de nos fournisseurs.
Non-rétention par les fournisseurs : Nos fournisseurs d'IA s'engagent contractuellement à ne pas conserver les données transmises au-delà du temps strictement nécessaire au traitement de la requête.
Pas de décision automatisée : L'IA formule des propositions. L'enseignant prend toutes les décisions finales. Aucune note, évaluation ou orientation n'est attribuée de manière automatisée sans intervention humaine.
Pseudonymisation systématique : Avant toute transmission aux modèles d'IA, les données identifiantes des élèves (noms, prénoms) présentes sur les copies sont systématiquement masquées par un processus automatique de pseudonymisation par pixels blancs. Ce masquage intervient directement sur l'image, avant toute transcription ou analyse. Le détail de ce processus est décrit dans notre page dédiée : ed.ai/data-privacy-fr/pseudonymisation.
4.3 Conformité au Règlement européen sur l'IA
Ed.ai est conscient que les systèmes d'IA utilisés dans le domaine de l'éducation peuvent être classés comme systèmes à "haut risque" au sens du Règlement (UE) 2024/1689. Nous nous engageons à respecter les obligations applicables, notamment en matière de transparence, de supervision humaine et de documentation technique.
5. Destinataires des données
Les données personnelles collectées peuvent être communiquées aux catégories de destinataires suivantes :
Personnel habilité d'Ed.ai : uniquement les personnes dont les fonctions le justifient (support technique, développement, direction).
Sous-traitants techniques : voir la liste complète et à jour dans notre document "Liste des sous-traitants" disponible sur ed.ai/data-privacy-fr/sous-traitants.
Établissements scolaires : restitution des résultats aux enseignants et, le cas échéant, aux chefs d'établissement dans le cadre de leur mission.
Ed.ai ne vend, ne loue et ne transmet jamais de données personnelles à des tiers à des fins commerciales, publicitaires ou de prospection.
6. Transferts de données hors UE
Aucun transfert de données hors de l'Union européenne n'a lieu. Toutes les données sont hébergées et traitées en France et en Europe (Microsoft Azure, région France Central / Europe). Tous les fournisseurs de services d'IA (Azure OpenAI, Azure Claude, Azure Mistral) opèrent exclusivement en région UE.
Transparence sur le Cloud Act : Notre hébergeur Microsoft Azure est une société de droit américain et peut être soumis au Cloud Act (Clarifying Lawful Overseas Use of Data Act) américain. Bien que les données soient physiquement hébergées en France/UE et protégées par le RGPD, cette législation américaine pourrait théoriquement permettre aux autorités américaines de demander l'accès à des données. Microsoft s'engage toutefois à contester toute demande qui entrerait en conflit avec le droit européen. Ed.ai surveille activement cette situation juridique.
La liste des sous-traitants et leur localisation est disponible dans notre document "Liste des sous-traitants" sur ed.ai/data-privacy-fr/sous-traitants.
7. Durées de conservation
Données du compte enseignant : Durée d'utilisation du service + 12 mois après la dernière connexion
Copies d'élèves (images) : 31 décembre de l'année scolaire suivant l'upload (ex. : une copie importée en octobre 2025 sera supprimée le 31 décembre 2026)
Résultats et analyses : Durée d'utilisation du service, exportables à tout moment
Données de connexion / logs : 12 mois (conformément aux recommandations CNIL)
Données de prospection : Jusqu'au retrait du consentement, ou 3 ans après le dernier contact
Après les durées indiquées, les données sont supprimées de manière définitive ou anonymisées de manière irréversible.
8. Sécurité des données
Ed.ai met en oeuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données. Ces mesures sont détaillées dans notre page "Sécurité des données" disponible sur ed.ai/data-privacy-fr/securite.
Hébergeur : Microsoft Azure (région France Central / Europe), Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Irlande. Site : azure.microsoft.com
Parmi ces mesures :
Hébergement en France auprès de prestataires certifiés
Chiffrement des données en transit (TLS) et au repos
Contrôle d'accès strict et principe de moindre privilège
Journalisation des accès
Sauvegardes régulières
Tests de sécurité périodiques
9. Cookies et traceurs
9.1 Cookies strictement nécessaires
Des cookies techniques sont déposés automatiquement pour assurer le fonctionnement du service (session utilisateur, préférences d'affichage). Ils ne nécessitent pas de consentement.
9.2 Cookies de mesure d'audience
Des cookies de mesure d'audience peuvent être utilisés pour analyser la fréquentation du site et améliorer le service. Ces cookies ne sont déposés qu'avec votre consentement explicite et peuvent être refusés sans impact sur l'utilisation du service.
Ed.ai n'utilise aucun cookie publicitaire ni traceur à des fins de ciblage commercial.
10. Droits des personnes concernées
Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants :
Droit d'accès (art. 15 RGPD) : obtenir confirmation du traitement de vos données et en recevoir une copie.
Droit de rectification (art. 16 RGPD) : demander la correction de données inexactes ou incomplètes.
Droit à l'effacement (art. 17 RGPD) : demander la suppression de vos données dans les conditions prévues par la loi.
Droit à la limitation (art. 18 RGPD) : demander la limitation du traitement de vos données.
Droit à la portabilité (art. 20 RGPD) : recevoir vos données dans un format structuré et couramment utilisé.
Droit d'opposition (art. 21 RGPD) : vous opposer au traitement de vos données pour des motifs légitimes.
Droit de retirer votre consentement à tout moment pour les traitements fondés sur le consentement.
Droit de définir des directives relatives au sort de vos données après votre décès.
Pour les données des élèves : Les droits relatifs aux données des élèves sont exercés par les représentants légaux (parents/tuteurs) ou par l'enseignant/l'établissement qui a transmis les données, selon le contexte d'utilisation (GAR ou hors GAR).
Comment exercer vos droits
Par email : dpo@ed.ai
Par courrier : ED.AI SAS - DPO - 30 rue Chevreul, 69007 Lyon
Nous nous engageons à répondre à toute demande dans un délai d'un mois à compter de la réception.
Réclamation auprès de la CNIL
Si vous estimez que le traitement de vos données n'est pas conforme à la réglementation, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) - www.cnil.fr.
11. Modification de la présente politique
La présente politique de confidentialité peut être mise à jour à tout moment. En cas de modification substantielle, les utilisateurs en seront informés par notification dans l'application ou par email. La date de dernière mise à jour figure en haut de ce document.