Préparez vos concours avec des exercices ciblés
La présente politique s’applique à l’application mobile Exam Arena (iOS et Android) et au service web v2.examarena.com, édités par ARENA, SIREN 934 277 344, dont le siège social est situé 229 rue de Solférino, 59000 Lille, France.
Le responsable du traitement au sens du RGPD est ARENA.
Pour toute question relative à vos données personnelles :
Email : contact@examarena.com
Courrier : ARENA, 229 rue de Solférino, 59000 Lille, France
Article 1 – Quelles données collectons-nous ?
Nous collectons uniquement les données nécessaires au fonctionnement du service et à l’amélioration de votre expérience. Aucune donnée n’est revendue à des tiers.
1.1 Données d’identité et de contact
Prénom, nom (renseignés à l’inscription ou via Apple Sign In / Google).
Adresse email.
Photo de profil (avatar, optionnel).
1.2 Données d’authentification
Mot de passe (stocké chiffré et salé par Supabase, jamais accessible en clair).
Identifiant Apple / Google si vous utilisez Sign In with Apple ou Google.
1.3 Identifiants techniques
Identifiant utilisateur interne (UUID généré aléatoirement à l’inscription).
Token d’appareil pour notifications push (Firebase Cloud Messaging), uniquement si vous acceptez les notifications.
1.4 Données d’usage du service
Tentatives d’exercices (questions, réponses, scores, temps passé).
Leçons consultées et progression.
Séances de sport réalisées.
Préparation suivie, matières prioritaires, date d’examen renseignée à l’onboarding.
1.5 Données de paiement
Statut d’abonnement (gratuit, premium, dates d’expiration).
Identifiants techniques Stripe (web) ou RevenueCat (iOS / Android).
Historique des paiements (montant, devise, date, statut, pays de facturation).
Les numéros de carte bancaire ne sont jamais stockés sur nos serveurs. Ils sont traités directement par Stripe ou par Apple / Google selon le canal de paiement.
1.6 Données de préférences
Langue choisie.
Notifications email activées / désactivées.
1.7 Données marketing et d’attribution
Source d’acquisition (paramètres UTM : utm_source, utm_medium, utm_campaign, utm_term, utm_content).
Page de destination, referrer.
Identifiants de clic publicitaires : gclid (Google Ads), gbraid / wbraid (Google iOS).
Attribution Apple Search Ads (identifiants de campagne et d’annonce, sans identifiant utilisateur Apple).
Article 2 – Pourquoi collectons-nous ces données ?
Email, prénom, nom, mot de passe : création du compte, authentification. Base légale : exécution du contrat.
Identifiant utilisateur, identifiants Apple / Google : rattachement de vos données à votre compte. Base légale : exécution du contrat.
Données d’usage (exercices, leçons, sport) : sauvegarder et afficher votre progression. Base légale : exécution du contrat.
Données de paiement : gérer votre abonnement, support, obligations comptables. Base légale : exécution du contrat et obligation légale.
Token d’appareil push : vous notifier des crédits gratuits et offres en cours. Base légale : consentement (réponse à la demande système iOS / Android).
Email et statut d’abonnement : vous envoyer des emails transactionnels (bienvenue, reçus, mot de passe oublié). Base légale : exécution du contrat.
Email et comportement de paiement : email de relance si vous avez démarré un paiement sans le finaliser. Base légale : intérêt légitime (vous aider à reprendre votre achat).
Données d’usage agrégées : comprendre comment le service est utilisé, prioriser les améliorations. Base légale : intérêt légitime.
UTM, identifiants de clic, attribution Apple Search Ads : mesurer l’efficacité de nos campagnes marketing. Base légale : intérêt légitime.
Langue, préférences : personnaliser votre interface. Base légale : exécution du contrat.
Aucune décision automatisée produisant des effets juridiques n’est prise à partir de vos données. Il n’y a pas de profilage publicitaire.
Article 3 – Avec qui partageons-nous ces données ?
Vos données sont hébergées et traitées par des prestataires sélectionnés pour leur conformité au RGPD. Chacun agit en qualité de sous-traitant au sens du RGPD, lié à nous par un accord de traitement des données (DPA).
Supabase Inc. – Base de données, authentification, stockage de fichiers. France (Paris, eu-west-3). DPA et Clauses Contractuelles Types.
Vercel Inc. – Hébergement de l’application web. États-Unis (réseau global edge). DPA et Clauses Contractuelles Types.
Stripe Payments Europe Ltd – Traitement des paiements web. Irlande et États-Unis. DPA Stripe et Clauses Contractuelles Types.
RevenueCat Inc. – Gestion des achats in-app iOS et Android. États-Unis. Clauses Contractuelles Types.
Apple Inc. – Sign In with Apple, App Store, Apple Search Ads, notifications push iOS. États-Unis. DPA Apple.
Google LLC – Sign In with Google, Firebase Cloud Messaging, Google Ads, Google Play. États-Unis. Clauses Contractuelles Types.
Resend Inc. – Envoi des emails transactionnels. États-Unis. Clauses Contractuelles Types.
Umami – Analytics web sans cookies, instance self-hosted par ARENA. États-Unis (Vercel). Clauses Contractuelles Types.
Nous ne revendons jamais vos données à des tiers à des fins publicitaires.
Transferts hors Union européenne
Certains de nos prestataires sont basés aux États-Unis. Ces transferts sont encadrés par les Clauses Contractuelles Types adoptées par la Commission européenne (Décision 2021/914) et, le cas échéant, par le Data Privacy Framework UE – États-Unis pour les prestataires certifiés.
Article 4 – Combien de temps conservons-nous vos données ?
Compte actif : tant que votre compte est ouvert.
Compte supprimé : effacement définitif sous 30 jours suivant votre demande de suppression.
Données de paiement : 10 ans à compter de la facturation (obligation comptable et fiscale française).
Logs techniques (emails envoyés, push notifications) : 12 mois.
Données d’attribution marketing (UTM, click IDs) : 13 mois.
Tentatives d’exercices et progression : pendant la durée du compte, supprimées avec le compte.
Article 5 – Quels sont vos droits ?
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :
Droit d’accès : obtenir une copie de vos données. Sur demande à contact@examarena.com.
Droit de rectification : corriger vos données via Mon compte > Profil.
Droit à l’effacement : supprimer votre compte via Mon compte > Compte > Supprimer mon compte. Vos données sont alors effacées sous 30 jours, à l’exception des données conservées au titre d’obligations légales (paiements).
Droit à la portabilité : recevoir vos données dans un format structuré. Sur demande à contact@examarena.com.
Droit d’opposition : vous opposer à certains traitements fondés sur notre intérêt légitime, en nous écrivant à contact@examarena.com.
Droit à la limitation : restreindre le traitement de vos données, en nous écrivant à la même adresse.
Droit de retirer votre consentement : pour les notifications push, depuis les réglages de votre appareil. Pour les emails marketing, via Mon compte > Notifications.
Nous répondons à toute demande dans un délai d’un mois maximum.
En cas de désaccord, vous pouvez introduire une réclamation auprès de la CNIL (3 place de Fontenoy, 75007 Paris, www.cnil.fr).
Article 6 – Cookies et traceurs
Sur le site web v2.examarena.com
Cookies de session (Supabase) : strictement nécessaires à votre authentification. Dispensés de consentement selon la délibération CNIL 2020-091.
Umami Analytics : mesure d’audience anonyme, sans cookie, sans empreinte numérique, instance self-hosted par ARENA. Conforme à l’exemption CNIL pour la mesure d’audience.
Dans l’application mobile
Pas de cookies tiers. Aucun SDK publicitaire (pas de Facebook Pixel, pas de Google Analytics, pas de Hotjar).
Sur iOS, le framework AdServices d’Apple est utilisé une seule fois à l’installation pour mesurer l’efficacité de nos campagnes Apple Search Ads, de manière anonyme et sans identifiant publicitaire (IDFA).
Les notifications push sont activées uniquement avec votre consentement explicite via la demande système iOS / Android.
Nous n’utilisons aucun cookie de tracking publicitaire. Nous n’avons donc pas de bandeau de consentement cookies sur la v2.
Article 7 – Sécurité
Connexions chiffrées en HTTPS / TLS 1.3.
Mots de passe hachés et salés par Supabase Auth (algorithme bcrypt).
Authentification renforcée disponible via Sign In with Apple ou Google.
Accès aux données protégé par Row Level Security PostgreSQL.
Sauvegardes quotidiennes chiffrées chez Supabase.
En cas de violation de données présentant un risque pour vos droits, nous vous en informerons sans délai, conformément à l’article 34 du RGPD.
Article 8 – Mineurs
Le service est accessible à partir de 15 ans, âge minimal du consentement numérique en France. Pour les utilisateurs entre 15 et 18 ans, l’inscription se fait sous la responsabilité des représentants légaux.
Article 9 – Modifications
Nous pouvons faire évoluer cette politique. Toute modification substantielle vous sera notifiée par email et / ou via l’application. La date de dernière mise à jour figure en haut de cette page.
Article 10 – Contact
Pour toute question :
Email : contact@examarena.com
Courrier : ARENA, 229 rue de Solférino, 59000 Lille, France