Politique de Confidentialité

Dernière mise à jour : 18 mars 2026

Tomathe s'engage à protéger la vie privée de ses utilisateurs. Cette politique de confidentialité décrit comment nous collectons, utilisons et protégeons vos données personnelles conformément au Règlement Général sur la Protection des Données (RGPD).

1. Responsable du traitement

Octave Romer Entrepreneur Individuel (Tomathe)
11 Rue du Bijou, 79000 Niort, France
SIRET : 100 237 494 00016
Email : contact@tomathe.fr

2. Données collectées

Nous collectons les données suivantes :

2.1 Données d'identification

Nom et prénom
Adresse email
Numéro de téléphone
Mot de passe (chiffré)
Photo de profil (optionnelle)

2.2 Données de localisation

Adresse postale (pour les cours à domicile)
Code postal et ville

2.3 Données professionnelles (professeurs uniquement)

SIRET
Statut professionnel (micro-entrepreneur)
Tarifs proposés
Disponibilités
Justificatifs d'identité (pour la vérification KYC via Stripe Connect)

2.4 Données de paiement

Informations de carte bancaire (stockées et traitées exclusivement par Stripe, certifié PCI DSS)
Historique des transactions
Achats de boosts de visibilité (montant, durée, méthode de paiement)
Factures

2.5 Données d'utilisation

Historique des réservations
Messages échangés sur la plateforme
Évaluations et commentaires
Programme de fidélité et récompenses
Statistiques d'utilisation (connexions, sessions)

2.6 Données liées aux programmes de récompenses

Cagnotte professeur : solde accumulé, historique des primes reçues, demandes de versement (montant, méthode, date)
Parrainage : code de parrainage, identité des filleuls, nombre de cours payés par filleul, paliers atteints
Série de fidélité (parents) : nombre de semaines consécutives, dernière semaine validée, palier de réduction actif
Classement (professeurs) : chiffre d'affaires par période, position dans le classement
Boosts de visibilité : historique d'achat, durée, méthode de paiement, statut

3. Finalités du traitement

Vos données sont collectées pour les finalités suivantes :

Gestion de votre compte : création, authentification, profil utilisateur
Mise en relation : entre parents et professeurs de mathématiques
Gestion des réservations : planification, confirmation, notifications
Facturation et paiement : traitement des paiements, émission des factures, achats de boosts de visibilité
Programme de fidélité : calcul et attribution des récompenses
Communication : notifications, emails de service, SMS de vérification, SMS de service, communications marketing (avec consentement), support client
Sécurité : prévention de la fraude, authentification
Amélioration du service : statistiques, analyses anonymisées
Obligations légales : comptabilité, fiscalité, archivage légal

4. Base légale du traitement

Le traitement de vos données repose sur :

Exécution du contrat : pour la fourniture du service (art. 6.1.b RGPD)
Obligation légale : pour la facturation, la comptabilité, l'archivage fiscal (art. 6.1.c RGPD)
Intérêt légitime : pour la sécurité, la prévention de la fraude, l'amélioration du service (art. 6.1.f RGPD)
Consentement : pour l'envoi de communications marketing (optionnel, révocable à tout moment)

5. Protection des mineurs

Tomathe ne collecte pas directement de données personnelles auprès de mineurs. Seuls les parents ou représentants légaux peuvent créer un compte et réserver des cours pour leurs enfants. Les informations concernant l'élève (nom, niveau scolaire) sont fournies par le parent dans le cadre de la gestion de la réservation.

6. Destinataires des données

Vos données peuvent être transmises aux destinataires suivants :

Stripe Inc. : traitement des paiements, vérification KYC (processeur de paiement certifié PCI DSS)
Supabase Inc. : hébergement de la base de données (conformité RGPD, serveurs UE)
Vercel Inc. : hébergement de l'application web
Jitsi (8x8 Inc.) : service de visioconférence intégré — flux audio/vidéo en temps réel (aucun enregistrement, données non conservées après la session)
Google LLC (Gemini AI) : assistant IA pédagogique pour les professeurs — les questions et images d'exercices soumises sont traitées par l'API Google Gemini pour générer des réponses. Les données sont traitées conformément aux conditions d'utilisation de Google AI
Tremendous Inc. : émission et distribution de cartes cadeaux pour les primes des professeurs — l'email et le nom du professeur sont transmis pour la livraison du lien de choix de carte cadeau. Les données sont traitées conformément à la politique de confidentialité de Tremendous
Twilio Inc. : envoi des SMS de vérification (OTP) et des SMS de notification liés au service. Seul votre numéro de téléphone et le contenu du message sont transmis. Données traitées conformément à la politique de confidentialité de Twilio. Twilio est certifié SOC 2 Type II et conforme au RGPD (DPA disponible sur demande).
Resend Inc. : envoi des emails transactionnels et de service (bienvenue, confirmations, notifications). Seuls votre adresse email et le contenu du message sont transmis. Données traitées conformément à la politique de confidentialité de Resend.
Professeurs : les parents voient le profil des professeurs et vice-versa dans le cadre de la mise en relation

Aucune donnée n'est vendue ou cédée à des tiers à des fins commerciales ou marketing.

6 bis. Communications par email et SMS

6 bis.1 — Numéro de téléphone et vérification par SMS

Votre numéro de téléphone mobile est collecté obligatoirement lors de la création du compte. Il est utilisé pour vous envoyer un code OTP à 6 chiffres (One-Time Password) afin de vérifier votre identité. Ce code est valable 10 minutes et est envoyé via Twilio Inc.

Les codes OTP sont stockés sous forme chiffrée dans notre base de données et supprimés automatiquement après utilisation ou expiration. Votre numéro de téléphone est conservé dans votre profil tant que votre compte est actif.

6 bis.2 — SMS et emails de service

Les communications de service (confirmations de cours, annulations, notifications de paiement, alertes de série) sont envoyées sur la base juridique de l'exécution du contrat (art. 6.1.b RGPD). Elles ne peuvent pas faire l'objet d'une désinscription sans affecter le fonctionnement normal du service.

6 bis.3 — Communications marketing

Les emails et SMS à caractère commercial (offres, conseils, nouvelles fonctionnalités) sont envoyés uniquement avec votre consentement préalable (art. 6.1.a RGPD), recueilli lors de l'inscription ou ultérieurement.

Droit d'opposition et désinscription :

Par email : lien de désinscription présent en bas de chaque email marketing, ou demande par email à contact@tomathe.fr ;
Par SMS : répondre STOP à n'importe quel SMS marketing de Tomathe. Vous recevrez une confirmation de désinscription. Pour obtenir de l'aide, répondez AIDE.

La désinscription est prise en compte dans un délai maximum de 48 heures ouvrées. Elle ne concerne que les communications marketing et non les communications de service.

6 bis.4 — Fréquence des messages

Les SMS de vérification sont envoyés uniquement à la demande. Les SMS de service sont envoyés en fonction de votre activité (maximum un SMS par événement : réservation, annulation, etc.). Les SMS marketing sont envoyés au maximum 2 fois par semaine.

La fréquence des messages peut varier. Des frais de messagerie mobile peuvent s'appliquer selon votre opérateur téléphonique.

7. Durée de conservation

Compte actif : pendant toute la durée d'utilisation du service
Compte supprimé : 30 jours après la demande de suppression
Factures et données comptables : 10 ans (obligation légale)
Données de connexion et logs de sécurité : 12 mois

8. Vos droits (RGPD)

Conformément au RGPD, vous disposez des droits suivants :

Droit d'accès : obtenir une copie de vos données personnelles
Droit de rectification : corriger des données inexactes ou incomplètes
Droit à l'effacement : demander la suppression de vos données (sous réserve des obligations légales)
Droit à la portabilité : recevoir vos données dans un format structuré et lisible
Droit d'opposition : refuser le traitement de vos données pour certaines finalités
Droit à la limitation : demander la limitation du traitement dans certains cas
Droit de retirer votre consentement : à tout moment, pour les traitements basés sur le consentement

Pour exercer vos droits, contactez-nous à : contact@tomathe.fr

Vous pouvez également introduire une réclamation auprès de la CNIL : www.cnil.fr

9. Sécurité des données

Nous mettons en œuvre les mesures techniques et organisationnelles suivantes :

Chiffrement HTTPS/TLS : pour toutes les communications entre votre navigateur et nos serveurs
Chiffrement des mots de passe : algorithmes de hachage sécurisés (bcrypt)
Certification PCI DSS : pour le traitement des paiements via Stripe
Authentification forte : sécurisation de l'accès aux comptes
Sauvegardes régulières : protection contre la perte de données
Contrôle d'accès : limitation de l'accès aux données aux personnes autorisées uniquement

10. Transferts hors de l'Union Européenne

Certains de nos sous-traitants (Stripe, Vercel, Supabase, Google Gemini AI, Jitsi/8x8) peuvent transférer des données hors de l'UE. Ces transferts sont encadrés par des clauses contractuelles types approuvées par la Commission européenne, garantissant un niveau de protection équivalent au RGPD.

11. Cookies

Tomathe utilise uniquement des cookies techniques strictement nécessaires au fonctionnement de l'application (authentification, sécurité, préférences). Aucun cookie publicitaire ou de suivi marketing n'est utilisé. Pour plus d'informations, consultez nos Mentions Légales.

12. Modifications de la politique

Nous nous réservons le droit de modifier cette politique de confidentialité. Toute modification sera notifiée aux utilisateurs par email et/ou via une notification dans l'application. La version mise à jour sera toujours accessible sur cette page avec la date de dernière modification.

13. Contact

Pour toute question concernant cette politique de confidentialité ou le traitement de vos données personnelles, contactez-nous :

Email : contact@tomathe.fr
Adresse : Octave Romer EI, 11 Rue du Bijou, 79000 Niort, France