Politique de confidentialité
Version 1.3 - Dernière mise à jour : 5 juin 2026
Notre engagement : zéro partage commercial de vos données
AssOps Solutions ne vend, ne loue, ne partage et ne transmet jamais vos données personnelles à quelque organisme tiers que ce soit à des fins commerciales, publicitaires, de prospection ou de profilage.
Cet engagement est un principe fondateur d'AssOps Solutions, pas une simple obligation réglementaire. Vos informations (nom, email, téléphone, données d'activité) sont exclusivement utilisées pour le fonctionnement du service que vous utilisez. Elles ne sont jamais monétisées, échangées ou exploitées à d'autres fins.
Les seuls tiers ayant accès à certaines données sont nos sous-traitants techniques (hébergement, envoi d'emails, paiement), strictement encadrés par des accords contractuels conformes au RGPD et listés à la section 7 ci-dessous. Aucun de ces prestataires n'utilise vos données à ses propres fins.
1. Responsable du traitement et rôle d'AssOps Solutions
Le responsable du traitement des données personnelles collectées via l'application BenevolOps est l'association utilisatrice de la plateforme. Pour toute question relative à vos données personnelles, contactez en priorité l'administrateur de votre association.
AssOps Solutions, éditeur de BenevolOps, agit en qualité de sous-traitant au sens de l'article 28 du RGPD : nous traitons les données personnelles uniquement sur instruction et pour le compte de l'association cliente. Les engagements précis qui lient AssOps Solutions à votre association sont décrits dans notre accord de sous-traitance (DPA), accepté par l'association lors de la création de son compte organisationnel.
Vous pouvez également contacter directement AssOps Solutions pour toute question relative à la protection des données : [email protected].
2. Données personnelles collectées
Dans le cadre de la gestion des bénévoles, nous collectons les données suivantes :
- Identité : prénom, nom
- Coordonnées : adresse email, numéro de téléphone (optionnel)
- Données de connexion : mot de passe (stocké sous forme chiffrée), adresse IP (dans les journaux d'audit)
- Données d'activité : créneaux assignés, pointages (arrivée/départ), disponibilités, compétences, échanges de créneaux
- Données calculées : score de fiabilité (visible uniquement par les coordinateurs et administrateurs)
- Données d'adhésion (selon configuration) : type d'adhésion, statut, documents justificatifs (certificats médicaux, autorisations parentales, droits à l'image, licences sportives)
- Données sensibles (art. 9 RGPD) : selon la configuration de votre association, certains contenus peuvent inclure des informations relatives à la santé (certificats médicaux, allergies et régimes alimentaires pour les repas partagés). Ces données ne sont collectées que sur consentement explicite et bénéficient d'un niveau de protection renforcé
- Données de paiement : montant et statut de cotisation (les coordonnées bancaires ne transitent jamais par nos serveurs - elles sont traitées exclusivement par Stripe)
- Données de paiement événementiel (cashless kermesse) : lorsque vous achetez des crédits cashless pour un événement (kermesse, fête), nous collectons votre nom, prénom, email, téléphone (facultatif) et, le cas échéant, le prénom et l'année de naissance des porteurs de bracelet de votre famille. Ces informations sont nécessaires à la gestion de votre compte cashless pendant l'événement et son après-vente (remboursement de crédits non consommés, contestation). Les coordonnées bancaires ne transitent jamais par nos serveurs - elles sont traitées exclusivement par Stripe.
Protection des mineurs (art. 8 RGPD, art. 7-1 Loi Informatique et Libertés) : en France, l'âge de la majorité numérique est fixé à 15 ans. Quand un mineur de moins de 15 ans s'inscrit lui-même sur la plateforme, son compte est créé en attente et un email est envoyé à un de ses parents pour recueillir son consentement explicite. Tant que ce consentement n'est pas validé, le compte reste inactif. Cette autorisation est tracée (date, IP du clic de validation, version des CGU en vigueur) pour répondre à l'obligation de preuve prévue par l'article 7.1 du RGPD. Pour les autres usages liés aux mineurs (covoiturage, remise sécurisée d'enfants lors d'événements, droit à l'image), le consentement parental est également recueilli et tracé.
3. Finalités du traitement
Vos données sont traitées pour les finalités suivantes :
- Gestion des comptes bénévoles et authentification
- Planification et suivi des créneaux de bénévolat
- Pointage des présences et suivi de l'activité
- Envoi de notifications opérationnelles (rappels de créneaux, alertes de remplacement)
- Production de statistiques et reporting pour l'association
- Sécurité et traçabilité des actions (journal d'audit)
4. Base légale du traitement
Le traitement de vos données repose sur :
- Votre consentement (Art. 6.1.a RGPD) : donné lors de l'inscription via la case de consentement
- L'intérêt légitime (Art. 6.1.f RGPD) de l'association pour organiser et suivre l'activité de ses bénévoles
5. Durées de conservation
Vos données sont conservées selon les durées suivantes :
| Type de données | Durée |
|---|---|
| Compte utilisateur (profil) | Jusqu'à suppression du compte ou désactivation |
| Journaux d'audit | 2 ans |
| Adresses IP (dans les journaux) | 6 mois (anonymisées au-delà) |
| Journaux de notification | 6 mois |
| Tokens de remplacement expirés | 30 jours |
| Données cashless événementiel (visiteur) | 90 jours après la fin de l'événement, puis anonymisation (nom, prénom, email et téléphone effacés ; les agrégats financiers de l'événement sont conservés sans identification possible) |
6. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès : obtenir une copie de vos données personnelles (via "Exporter mes données" dans votre profil)
- Droit de rectification : modifier vos informations personnelles (nom, prénom, téléphone) depuis votre profil
- Droit à l'effacement : supprimer votre compte et anonymiser vos données (via "Supprimer mon compte" dans votre profil)
- Droit à la portabilité : récupérer vos données dans un format lisible (JSON) via l'export de votre profil
- Droit d'opposition et de limitation : vous pouvez vous opposer au traitement en contactant l'administrateur de votre association
7. Sous-traitants ultérieurs et transferts
AssOps Solutions fait appel aux sous-traitants suivants pour exploiter le service BenevolOps. Chacun est lié par un accord de sous-traitance (DPA) conforme au RGPD. La liste complète et à jour est également reproduite dans notre accord de sous-traitance (section 2.4).
| Sous-traitant | Service | Localisation |
|---|---|---|
| Hostinger | Hébergement VPS, base de données PostgreSQL | UE (Lituanie / France) |
| Cloudflare | CDN, DNS, protection DDoS, stockage de documents (R2) | États-Unis (CCT) |
| Resend | Envoi d'emails transactionnels | UE (Irlande) |
| Stripe | Traitement des paiements de cotisations et des paiements événementiels (cashless kermesse) via Stripe Connect | Irlande / États-Unis (CCT) |
| Twilio | Envoi de SMS de notification (plan PRO) | États-Unis (CCT) |
| Sentry | Détection d'erreurs applicatives en production | États-Unis (CCT) |
| BetterStack | Monitoring de disponibilité et logs | UE (République tchèque) |
| Google Workspace | Réception des emails entrants à [email protected] | États-Unis (CCT) |
| Crisp IM SAS | Chat de support (uniquement avec consentement cookies) | UE (Nantes, France) |
| PostHog | Analyse d'usage produit (uniquement avec consentement cookies) | UE (Francfort, Allemagne) |
Les transferts vers les États-Unis (Cloudflare, Stripe, Twilio, Sentry, Google Workspace) sont encadrés par les Clauses Contractuelles Types (CCT) approuvées par la Commission Européenne (décision 2021/914).
Aucun sous-traitant n'utilise vos données à ses propres fins commerciales. Toute évolution de cette liste fait l'objet d'une information préalable des associations clientes.
8. Cookies et stockage local
L'application utilise les technologies de stockage suivantes :
8.1. Cookies strictement nécessaires (sans consentement)
- Jeton d'authentification (JWT) et informations de session pour maintenir votre connexion (localStorage)
- Cache temporaire des données de l'application pour un fonctionnement hors ligne (PWA)
- Préférence de consentement cookies (localStorage) - pour mémoriser votre choix
Ces données sont supprimées lors de la déconnexion (sauf la préférence cookies).
8.2. Cookies tiers - Support et analyse d'usage (avec consentement)
Si vous acceptez les cookies dans la bannière de consentement, les services suivants sont activés :
Crisp (chat de support)
Crisp dépose des cookies (crisp-client/*) pour :
- Identifier votre session de chat
- Permettre à nos agents de support de vous assister en temps réel (co-navigation)
PostHog (analyse d'usage - phase beta)
Pendant la phase beta de BenevolOps, PostHog nous aide à comprendre comment vous utilisez l'application afin de corriger les frictions et améliorer l'ergonomie. Cela comprend :
- L'enregistrement de vos sessions de navigation (clics, défilement, pages visitées)
- Les champs de saisie (emails, noms, commentaires) sont masqués par défaut dans les enregistrements
- Les mots de passe ne sont jamais capturés
- Les données sont hébergées dans l'Union Européenne (Francfort, Allemagne)
Vous pouvez retirer votre consentement à tout moment via le lien "Gérer les cookies" en bas de page. Les deux services seront alors désactivés et leurs cookies supprimés.
Aucun traceur publicitaire ou de profilage n'est utilisé.
9. Assistance en temps réel (co-navigation)
Lorsque les cookies de support sont acceptés, notre équipe peut visualiser votre écran en temps réel via la fonctionnalité de co-navigation de Crisp, dans le but exclusif de vous assister. Cette fonctionnalité :
- Ne capture pas les champs sensibles (mots de passe, données bancaires) - ces champs sont techniquement masqués
- N'enregistre pas de vidéo de votre session
- Est utilisée uniquement lors d'une demande de support active, jamais pour de la surveillance passive
- Peut être désactivée à tout moment en retirant votre consentement cookies
Base légale : votre consentement (Art. 6.1.a RGPD), donné via la bannière de cookies.
10. Sécurité des données
Nous mettons en oeuvre les mesures de sécurité suivantes :
- Chiffrement des mots de passe (bcrypt)
- Communication chiffrée (HTTPS/TLS)
- Authentification par jeton (JWT) avec expiration
- Contrôle d'accès basé sur les rôles (administrateur, coordinateur, bénévole)
- Journal d'audit traçant toutes les actions
- Protection contre les attaques par force brute (limitation du nombre de tentatives de connexion)
11. Violation de données personnelles
AssOps Solutions a mis en place une procédure interne formalisée conforme aux articles 33 et 34 du RGPD pour traiter toute violation de données personnelles. En cas d'incident affectant la confidentialité, l'intégrité ou la disponibilité de vos données :
- L'association responsable de traitement est notifiée sans délai injustifié et au plus tard sous 72 heures après que nous en avons pris connaissance
- L'association notifie à son tour la CNIL dans le même délai si la violation présente un risque pour vos droits et libertés
- Si la violation est susceptible d'engendrer un risque élevé pour vous (par exemple : fuite de certificats médicaux, de données de mineurs, ou d'identifiants), vous êtes informé(e) directement et dans un langage clair, avec indication des mesures à prendre
Vous pouvez signaler toute suspicion de violation à [email protected] avec mention « URGENT RGPD » en objet.
12. Actions au nom d'un bénévole
Les administrateurs et coordinateurs peuvent effectuer certaines actions au nom d'un bénévole (par exemple : pointer une arrivée). Toutes ces actions sont tracées dans le journal d'audit avec l'identité de la personne ayant effectué l'action. Vous pouvez consulter ces traces dans la section "Dernières actions" de votre profil.
13. Contact
Pour toute question relative à vos données personnelles ou pour exercer vos droits, contactez l'administrateur de votre association. En cas de litige, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés).