Analyse d'Impact sur la Protection des Données (AIPD)
Résumé public · Version 1.2 · Soumis à validation avocat le 16 mai 2026
1. Pourquoi une AIPD pour Gepeto ?
En application de l'article 35 du RGPD, une Analyse d'Impact sur la Protection des Données (AIPD / DPIA) est obligatoire pour tout traitement susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. Gepeto y est soumis à deux titres cumulatifs :
- Le traitement porte sur des données de personnes mineures (catégorie vulnérable)
- Il implique une surveillance systématique à grande échelle de l'activité numérique (captures d'écran régulières)
Ce document présente le résumé public de l'AIPD complète. Il vise à expliquer aux parents, aux enfants et aux autorités comment Gepeto identifie, évalue et atténue les risques liés à la vie privée. L'AIPD complète (usage interne + CNIL) est disponible sur demande motivée à dpo@gepeto.app.
2. Risques identifiés et mesures de protection
L'AIPD a identifié six catégories de risques. Pour chacun, les mesures déjà en place et leur efficacité estimée sont présentées.
Modérateur indiscret ou malhonnête
Risque : un modérateur divulgue des captures à des tiers ou les télécharge à des fins personnelles.
Mesures :
- NDA individuel signé avant premier accès
- Watermark stéganographique invisible sur chaque capture (traçabilité de la source en cas de fuite)
- Formation obligatoire protection de l'enfance + RGPD
- Accès restreint à la session en cours — pas d'accès à l'historique ni aux coordonnées de l'enfant
- Audit log de chaque accès (hash-chaîné, non falsifiable)
- Rotation aléatoire des modérateurs pour limiter la création de relations
Risque résiduel après mesures : faible
Fuite de captures (violation de données)
Risque : une attaque informatique ou une mauvaise configuration expose les captures d'écran de l'enfant.
Mesures :
- Chiffrement AES-256-GCM at-rest (clé rotative)
- Stockage dans un bucket privé (Cloudflare R2) — aucun accès public
- URLs signées temporaires (5 min) — aucune URL permanente
- TLS 1.3 en transit
- Purge automatique après 30 jours
Risque résiduel après mesures : faible
Enfant surveillé sans son consentement réel — parent abusif
Risque : un parent malveillant utilise Gepeto comme outil de contrôle abusif sur son enfant.
Mesures :
- Signature numérique de l'enfant obligatoire sur son propre appareil — non-falsifiable, horodatée
- Icône de surveillance visible et permanente sur le terminal de l'enfant
- Droit de l'enfant de 15 ans et plus à consulter ses propres alertes et à exercer ses droits RGPD directement
- Plages horaires de surveillance définies et limites configurables
Risque résiduel après mesures : faible à moyen (dépend du comportement parental réel — inhérent à la nature du service)
Tiers non consentants dans les captures
Risque : amis, camarades ou membres de la famille apparaissant sur les captures sans avoir consenti à ce traitement.
Mesures :
- Floutage automatique des visages humains (pipeline ML, précision ≥ 95%) avant transmission au modérateur
- Pseudonymisation des prénoms communs (référentiel INSEE 2024) — remplacement par des alias
- Journalisation du traitement (hash SHA-256 avant/après) dans le log immuable
- Minimisation : seul le texte pertinent est conservé après modération, pas l'image brute
Risque résiduel après mesures : faible
Conservation excessive des données
Risque : données conservées au-delà de la durée nécessaire, augmentant l'exposition en cas de fuite future.
Mesures :
- Purge automatique des captures après 30 jours (tâche planifiée vérifiée quotidiennement)
- Politique de rétention différenciée par type de données (voir Politique de confidentialité § 5)
- Droit à l'effacement accessible en self-service (Settings → Supprimer mon compte)
- Certificat de suppression signé envoyé au parent à chaque demande
Risque résiduel après mesures : très faible
Décision automatisée préjudiciable à l'enfant
Risque : un algorithme prend une décision significative sur la vie de l'enfant sans validation humaine.
Mesures :
- Zéro décision entièrement automatisée — le scoring est un outil de tri de la file de modération uniquement
- Tout verdict est validé par un modérateur humain avant transmission au parent
- Procédure d'escalade humaine déclenchée pour les scores critiques
Risque résiduel après mesures : très faible
3. Risque résiduel global et surveillance continue
Risque résiduel global : FAIBLE
Après application de l'ensemble des mesures décrites, le niveau de risque résiduel est jugé acceptable au sens de l'Art. 35 RGPD. Ce jugement est fondé sur le test de proportionnalité : les risques résiduels sont inférieurs aux bénéfices attendus pour la sécurité des mineurs.
La surveillance est continue : le DPO réalise une revue trimestrielle de l'AIPD. Toute évolution significative du service (nouveau pays de modérateurs, nouvel hébergeur, nouvelle fonctionnalité de traitement) déclenche une révision.
4. Consultation préalable de la CNIL
Si, après application de toutes les mesures, un risque résiduel élevé subsiste, l'Art. 36 RGPD impose une consultation préalable de la CNIL avant toute mise en production. Cette étape a été analysée :
- Le risque résiduel global étant jugé faible, la consultation préalable formelle n'est pas requise à ce stade.
- Le dossier AIPD complet est disponible et sera présenté à la CNIL sur demande.
- Gepeto procédera à une consultation volontaire si une nouvelle fonctionnalité fait basculer le niveau de risque résiduel vers "élevé".