CoParentAccueil

Politique de confidentialité

Dernière mise à jour : 21 avril 2026

1. Responsable de traitement

Le responsable de traitement est CoParent, France. Contact général : contact@coparent.fr.

2. Finalité du traitement

CoParent a pour finalité unique l'organisation de la coparentalité entre parents séparés : planification de la garde, communication apaisée, suivi des dépenses partagées, traçabilité des accords et désaccords. Les données ne sont utilisées que pour faire fonctionner le Service au bénéfice direct des familles inscrites.

3. Données collectées

  • Identité : prénom, nom, adresse e-mail, mot de passe (haché), éventuel numéro de téléphone.
  • Enfants : prénom, nom, date de naissance, sexe (optionnel), notes médicales facultatives saisies par les parents.
  • Dates de garde : périodes de garde, échanges, événements du calendrier partagé.
  • Messages : contenu des messages échangés entre coparents (et leur version reformulée le cas échéant).
  • Dépenses : montants, catégories, justificatifs téléversés, statuts de validation entre parents.
  • Données techniques : journaux de connexion, adresse IP, type d'appareil — pour la sécurité du compte.

4. Base légale (RGPD)

  • Exécution du contrat (art. 6.1.b RGPD) — pour toutes les données nécessaires à la fourniture du Service : compte, calendrier, messagerie, dépenses, exports.
  • Intérêt légitime (art. 6.1.f RGPD) — pour la sécurité du Service, la prévention des abus, la traçabilité des actions (journal d'audit) et l'amélioration de l'application sur la base de statistiques agrégées et anonymisées.
  • Consentement (art. 6.1.a RGPD) — uniquement pour les données facultatives (informations médicales d'un enfant, notes sensibles) et les cookies non essentiels.
  • Obligation légale (art. 6.1.c RGPD) — pour la conservation des pièces comptables liées aux abonnements (10 ans).

5. Durée de conservation

  • Données du compte et historique d'usage (calendrier, messages, dépenses, journal d'audit) : conservées 3 ans après la fin de l'abonnement ou la suppression du compte, à des fins probatoires en cas de litige familial.
  • Données relatives aux enfants : supprimées automatiquement à la majorité de l'enfant (18 ans), sans condition d'activité du compte parent.
  • Données de facturation : conservées 10 ans (obligation comptable, art. L.123-22 du Code de commerce).
  • Sauvegardes chiffrées : effacées dans les 30 jours suivant la suppression des données actives.

6. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez à tout moment des droits suivants sur vos données personnelles :

  • Droit d'accès à vos données ;
  • Droit de rectification en cas d'inexactitude ;
  • Droit à l'effacement (« droit à l'oubli ») ;
  • Droit à la portabilité dans un format structuré (JSON / PDF) ;
  • Droit à la limitation du traitement ;
  • Droit d'opposition au traitement fondé sur l'intérêt légitime.

Pour exercer l'un de ces droits, écrivez à notre Délégué à la Protection des Données : dpo@coparent.fr. Une réponse vous sera apportée sous un mois maximum.

7. Engagements de CoParent

  • Pas de profilage commercial : aucune donnée n'est utilisée pour vous afficher de la publicité ciblée ou pour vous noter à des fins marketing.
  • Pas de revente : vos données ne sont jamais vendues, louées ou cédées à un tiers à des fins commerciales.
  • Pas de publicité ciblant les mineurs, conformément à l'article 8 du RGPD.
  • Aucun cookie publicitaire, aucun traqueur tiers commercial.

8. Hébergement & localisation des données

Les données sont hébergées par Supabase Inc. sur l'infrastructure régionale Union européenne (Francfort, Allemagne). Elles ne quittent pas l'UE en exploitation courante. Les sous-traitants techniques pouvant traiter ponctuellement des données hors UE (par exemple le prestataire de paiement Paddle) le font sous encadrement par les Clauses Contractuelles Types de la Commission européenne et un Data Privacy Framework valide. Aucune donnée relative à un enfant ne transite hors UE.

9. Sous-traitants

  • Supabase Inc. — hébergement base de données et stockage (région UE — Francfort).
  • Paddle — traitement des paiements et facturation.
  • Lovable AI — reformulation optionnelle des messages (sans conservation).
  • Avocats partenaires — uniquement après acceptation explicite et nominative du parent.

10. Sécurité

  • Chiffrement TLS 1.3 en transit, AES-256 au repos.
  • Authentification par mot de passe haché (bcrypt) et OAuth Google.
  • Journal d'audit chaîné par hachage SHA-256, horodaté et exportable avec empreinte de vérification.
  • Cloisonnement strict des données par famille (Row-Level Security).

11. Intégrité des messages

Pour garantir la valeur probante des échanges entre coparents (utilisable devant un juge ou un avocat), chaque message fait l'objet d'une signature cryptographique au moment de son enregistrement, selon la méthode suivante :

  1. Hachage SHA-256 calculé sur la concaténation des champs immuables du message : id_message | id_expéditeur | id_destinataire | contenu | created_at_iso.
  2. HMAC-SHA256 de ce hachage à l'aide d'une clé secrète serveur (MESSAGE_SIGNING_KEY) — jamais exposée au client, stockée dans un coffre de secrets isolé.
  3. La signature complète (256 bits, hexadécimal) est stockée dans la colonne signature.
  4. Un code court d'authentification de 16 caractères (Base32 RFC 4648, alphabet A-Z / 2-7) est extrait des 80 premiers bits de la signature et stocké dans la colonne auth_code. Affiché au format XXXX-XXXX-XXXX-XXXX, il permet une vérification visuelle rapide par un tiers (avocat, magistrat).
  5. Immuabilité garantie : un déclencheur base de données empêche toute modification ultérieure du contenu, de la signature ou du code d'authentification. Les règles d'accès interdisent tout UPDATE ou DELETE sur la table des messages — seul un super-administrateur peut intervenir, exclusivement dans le cadre d'une obligation légale (ex. réquisition judiciaire) et avec traçabilité complète dans le journal d'audit.
  6. Vérification publique : toute personne disposant d'un export PDF peut contrôler l'authenticité d'un message via la page /verifier-document(saisie du contenu + comparaison HMAC côté serveur) ou en scannant le QR code présent en fin d'export.

Cette méthode garantit qu'un message exporté ne peut être falsifié sans que la vérification échoue, et qu'aucun acteur (y compris Coparent) ne peut produire un faux message a posteriori sans accès à la clé serveur.

12. Coffre-fort de documents

Le Coffre-fort de documents permet aux deux parents de centraliser les pièces officielles (jugements, ordonnances JAF, certificats médicaux, attestations scolaires, contrats d'assurance, pièces d'identité, etc.) dans un espace sécurisé et partagé.

  • Stockage chiffré : les fichiers sont déposés dans un espace de stockage privé (bucket non public, chiffrement AES-256 au repos, TLS 1.3 en transit).
  • Empreinte SHA-256 : chaque fichier est haché côté navigateur avant envoi. L'empreinte est conservée à côté du document et permet à tout moment de vérifier qu'il n'a pas été altéré.
  • Cloisonnement par famille : les règles d'accès (Row-Level Security) garantissent qu'un parent ne peut consulter que les documents de sa propre famille. Aucune fuite croisée n'est techniquement possible.
  • Visibilité fine : pour chaque document, l'auteur choisit s'il est visible par l'autre parent, par l'avocat (lecture seule) et/ou par l'enfant (compte enfant uniquement).
  • Suppression contrôlée : seul le parent qui a déposé le document peut le supprimer. Toute suppression entraîne la disparition immédiate du fichier dans le stockage.
  • Traçabilité : chaque ajout est consigné dans le Journal de médiation — visible par les deux parents et par l'avocat — au format « {Prénom} a ajouté le document {titre}({catégorie}) ». L'avocat est ainsi informé en temps réel sans accéder au contenu si le document n'est pas marqué comme partagé avec lui.
  • Rappels d'expiration : carte d'identité, passeport, attestation… une date d'expiration peut être renseignée pour recevoir un rappel avant échéance.

13. Cookies

Voir notre politique cookies. Aucun cookie publicitaire, aucun cookie de tracking tiers.

14. Délégué à la Protection des Données (DPO) & réclamations

Pour toute question relative à vos données personnelles, contactez notre DPO : dpo@coparent.fr.

Vous pouvez à tout moment introduire une réclamation auprès de la CNIL : www.cnil.fr — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.

15. Mise à jour

Dernière mise à jour : 21 avril 2026. Toute modification substantielle vous sera notifiée par e-mail au moins 30 jours avant son entrée en vigueur.