Politique de confidentialité
Responsable de traitement
Le service 1asso1site est édité par Digitoptimmo (entreprise individuelle A. de Fromont), qui agit :
- en responsable du traitement pour les données collectées sur le site marchand 1asso1site.fr (commande, espace client, tickets) ;
- en sous-traitant pour les données que les visiteurs confient aux associations clientes via leur propre site (formulaires d'adhésion, de contact, articles, paiements). Le contrat-cadre passé avec chaque association précise les responsabilités respectives au sens des articles 28 et 29 du RGPD.
Contact : contact@1asso1site.fr.
Point de contact pour vos données
L'EI n'est pas tenue de désigner un délégué à la protection des données (DPO) au sens de l'article 37 du RGPD. Pour toute question relative à vos données personnelles, écrivez directement à contact@1asso1site.fr.
Données collectées et finalités
Le site 1asso1site.fr collecte uniquement les données strictement nécessaires aux finalités suivantes :
- Tunnel de commande — nom de l'association, identité du responsable (nom, prénom, email, téléphone), domaine souhaité, choix de formule. Finalité : traiter votre commande, configurer votre site. Base légale : exécution du contrat (RGPD art. 6.1.b).
- Espace client & tickets — historique des commandes, factures, échanges de support. Finalité : suivi de la relation commerciale et assistance. Base légale : exécution du contrat + obligation comptable.
- Paiements — données nécessaires à la transaction, traitées exclusivement par Stripe. Finalité : encaisser le règlement. Base légale : exécution du contrat + obligation comptable (CGI).
- Sécurité du service — adresse IP hachée (SHA-256 + clé secrète, jamais en clair), session sécurisée, jeton CSRF. Base légale : intérêt légitime (RGPD art. 6.1.f).
Cookies
Le site n'utilise aucun cookie de traçage, mesure d'audience commerciale ou publicité. Seuls des cookies strictement nécessaires au fonctionnement sont déposés — leur usage ne requiert pas votre consentement préalable au sens de la directive ePrivacy.
| Nom | Finalité | Durée |
|---|---|---|
admin_session / cs | Session authentifiée (admin et espace client). | Session navigateur, max 7 jours |
csrf_token | Protection contre les attaques CSRF (double-submit). | Session navigateur |
commande_state | État du tunnel de commande entre étapes (étape en cours, données saisies, code promo). | 24 heures |
Sous-traitants
- Hetzner Online GmbH (Allemagne, UE) — hébergement du site et des données. Politique de confidentialité.
- Stripe Payments Europe Ltd. (Irlande, UE) — traitement des paiements, certifié PCI-DSS niveau 1. Stripe peut transférer certaines données opérationnelles vers les États-Unis sous le cadre du Data Privacy Framework (décision d'adéquation de la Commission européenne du 10 juillet 2023) complété par des clauses contractuelles types. Politique de confidentialité Stripe.
- O2Switch (France, UE) — adresses email professionnelles (mail.1asso1site.fr). Mentions légales O2Switch.
Transferts hors UE : hors paiements Stripe (cf ci-dessus), aucun autre sous-traitant ne transfère vos données hors de l'Union européenne.
Contrat de sous-traitance (DPA, art. 28 RGPD) : sur simple demande à contact@1asso1site.fr, nous transmettons un contrat écrit de sous-traitance détaillant les garanties offertes par chaque sous-traitant.
Durée de conservation
- Commande active : durée du contrat de service.
- Compte client : 30 jours après résiliation, puis suppression.
- Factures et pièces comptables : 10 ans (obligation Code de commerce art. L123-22).
- Tickets de support : 3 ans à compter du dernier échange (résolu ou abandonné).
- Demandes de contact (formulaire) : 1 an si pas de suite, immédiat si demande commerciale aboutie.
- Conversions (changements de formule) : 10 ans (lien comptable avec la facturation).
- Avis clients publiés : jusqu'à 5 ans après la fin du contrat du client concerné, ou retrait immédiat sur demande du client ou de l'auteur.
- Avis clients soumis non publiés (rejetés en modération) : 6 mois, puis suppression.
- Logs techniques (IP hachée incluse) : 12 mois maximum.
- Identifiants SMTP/IMAP fournis par le client (mode externe) : chiffrés Fernet en base, supprimés à la résiliation.
Sécurité
Mesures techniques mises en œuvre : chiffrement des échanges (TLS 1.3), stockage des mots de passe sous forme de hachage robuste (argon2id), double authentification par code à 6 chiffres (TOTP) pour l'administrateur, chiffrement au repos des identifiants e-mail clients (AES-128 symétrique standard), en-têtes de sécurité stricts contre l'injection de scripts et le détournement de session, sauvegardes chiffrées avec rétention 7 jours.
Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- droit d'accès et de rectification,
- droit à l'effacement (« droit à l'oubli »),
- droit à la limitation du traitement,
- droit d'opposition,
- droit à la portabilité de vos données,
- droit de définir des directives post-mortem (loi française).
Pour exercer ces droits, écrivez à contact@1asso1site.fr en précisant votre identité. Délai de réponse : 30 jours maximum.
Aucune décision produisant des effets juridiques ou vous affectant de manière significative n'est prise de manière automatisée à votre égard (article 22 RGPD) : aucun profilage, aucun scoring, aucun algorithme de décision.
En cas de violation de données
Conformément aux articles 33 et 34 du RGPD, en cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à :
- notifier la CNIL dans les 72 heures suivant la découverte (article 33),
- vous informer sans délai si la violation est susceptible d'engendrer un risque élevé pour vos droits et libertés (article 34), avec description de la violation, des conséquences probables et des mesures correctives.
Réclamation auprès de la CNIL
En cas de désaccord persistant après nous avoir contactés, vous pouvez adresser une réclamation à la CNIL :
3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr.