Politique de confidentialité
Version 1 — <ANNEE>
Cette politique de confidentialité décrit la manière dont <NOM_ASSO> collecte, utilise, conserve et protège vos données personnelles dans le cadre de la plateforme <NOM_USUEL>. Elle est conforme au Règlement général sur la protection des données (RGPD, règlement UE 2016/679) et à la loi Informatique et Libertés modifiée.
1. Responsable de traitement
Le responsable de traitement est :
- <NOM_ASSO>, association loi 1901,
- Siège : <ADRESSE_SIEGE>,
- SIRET : <SIRET>,
- Contact RGPD : <EMAIL_RGPD>.
L’association n’est pas tenue de désigner un délégué à la protection des données (DPO) au sens de l’article 37 du RGPD : elle ne traite pas de données sensibles à grande échelle et son effectif est inférieur à 250 personnes. Les demandes relatives aux données personnelles sont reçues et traitées par le bureau de l’association via l’adresse <EMAIL_RGPD>.
2. Données que nous collectons
2.1. Données d’identité (compte)
- Nom et prénom,
- Adresse email,
- Photo de profil (avatar) si vous en téléversez une,
- Identifiant interne, identifiant Authentik.
2.2. Données de profil (optionnelles)
- Biographie,
- Préférences (thème clair/sombre, langue, fuseau horaire),
- Préférences de notification.
2.3. Données d’authentification
- Mot de passe (stocké de manière irréversible — hash sécurisé, jamais en clair),
- Secret(s) de second facteur (TOTP, codes de récupération),
- Sessions actives (date d’ouverture, dernière activité, appareil estimé, adresse IP).
2.4. Contenus publiés
- Vos messages sur le forum, articles de blog, commentaires, réactions, votes aux sondages, abonnements aux listes,
- Métadonnées associées (date, auteur, fil parent, etc.),
- Pièces jointes envoyées (images, documents, etc.).
2.5. Données techniques et journaux
- Adresse IP de connexion,
- User-agent (navigateur, version),
- Logs d’audit (actions sensibles : login, changement de mot de passe, modifications de profil, actions de modération),
- Logs applicatifs et de sécurité (erreurs, requêtes inhabituelles).
2.6. Données d’usage MCP (le cas échéant)
Si vous autorisez un client externe (Claude Desktop, autre outil d’assistance IA) via le connecteur MCP en lecture seule :
- Identifiant du client OAuth, nom déclaré,
- Date d’autorisation, scopes accordés,
- Date du dernier appel,
- Journal d’activité (outil appelé, statut, durée). Les paramètres des requêtes (notamment vos termes de recherche) ne sont pas stockés en clair — seul un résumé minimal des filtres est conservé.
3. Finalités du traitement
Finalité Données concernées Base légale Fournir le service (compte, contenus, échanges entre membres) Identité, profil, contenus Exécution du contrat membre Authentifier les accès et sécuriser les comptes Authentification, sessions, IP Intérêt légitime (sécurité) Diffuser des notifications (in-app, email) Identité, préférences Exécution du contrat / consentement (selon canal) Modérer les contenus Contenus, logs d’audit Intérêt légitime (cadre asso) Améliorer le service Données techniques anonymisées Intérêt légitime Répondre aux obligations légales L’ensemble si requis Obligation légale4. Destinataires
Vos données sont accessibles :
- aux autres membres de l’association, dans la limite des contenus que vous publiez et de votre profil tel que vous l’avez paramétré,
- aux administrateurs et modérateurs de la plateforme, dans la stricte limite de leurs missions,
- aux sous-traitants techniques suivants :
Vos données ne sont jamais vendues, louées, ou cédées à des tiers à des fins commerciales.
Aucun transfert hors Union européenne n’est effectué.
5. Durées de conservation
Catégorie Durée Compte actif Tant que vous êtes membre de l’association Compte supprimé — anonymisation des contenus Contenus conservés sous le pseudonyme “Membre supprimé”, données d’identité effacées immédiatement Compte supprimé — purge totale (sur demande explicite) Effacement complet dans un délai de 30 jours (fenêtre de réversibilité de la suppression) Acceptations légales (LegalAcceptance)
10 ans après la fin du contrat membre (preuve juridique)
Logs d’authentification (IP, sessions)
30 jours en clair, puis anonymisation (ville/pays uniquement) jusqu’à 12 mois, puis purge
Logs d’audit (actions sensibles, modération)
5 ans (intérêt légitime + obligations légales en cas de litige)
Logs applicatifs (erreurs, sécurité)
90 jours
Logs MCP (McpAuditLog)
90 jours
Sauvegardes
30 jours glissants, chiffrement côté client
6. Vos droits
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :
6.1. Droit d’accès
Vous pouvez consulter à tout moment l’ensemble des données que nous détenons sur vous, soit directement depuis votre profil (section “Mes données”), soit par demande à <EMAIL_RGPD>.
6.2. Droit de rectification
Vous pouvez modifier les informations de votre profil directement depuis l’interface. Pour toute autre rectification, écrivez à <EMAIL_RGPD>.
6.3. Droit à l’effacement (“droit à l’oubli”)
Vous pouvez demander la suppression de votre compte depuis votre profil. Le processus :
- Demande initiée depuis votre profil,
- Confirmation par email,
- Validation par un administrateur (sécurité contre les suppressions accidentelles ou frauduleuses),
- Fenêtre de récupération de 30 jours : le compte est désactivé mais récupérable sur simple demande,
- Purge définitive au-delà.
Vous choisissez au moment de la demande :
- Anonymisation des contenus (par défaut) : vos messages, articles et commentaires sont conservés sous le pseudonyme “Membre supprimé” pour préserver la cohérence des discussions auxquelles d’autres membres ont participé,
- Effacement total des contenus : tous vos contenus sont supprimés en plus de votre compte.
Les acceptations légales (LegalAcceptance) sont conservées
10 ans même en cas d’effacement total, comme preuve juridique
opposable.
6.4. Droit à la portabilité
Vous pouvez exporter l’ensemble de vos données dans un format structuré (JSON) depuis votre profil, section “Mes données”.
6.5. Droit d’opposition
Vous pouvez vous opposer à certains traitements pour des motifs légitimes, en écrivant à <EMAIL_RGPD>. Certaines oppositions peuvent toutefois être incompatibles avec le maintien de votre compte (par exemple, vous opposer à la conservation des logs d’authentification empêcherait l’usage sécurisé du Service).
6.6. Droit à la limitation
Vous pouvez demander la limitation temporaire d’un traitement (par exemple, le temps de vérifier une contestation de l’exactitude de données). Adresse : <EMAIL_RGPD>.
6.7. Réclamation auprès de la CNIL
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés (CNIL) :
- Site : https://www.cnil.fr
- Adresse : 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
- Téléphone : 01 53 73 22 22
7. Cookies et traceurs
Le Service utilise uniquement des cookies techniques nécessaires au fonctionnement :
- cookie de session (authentification),
- préférence de thème (clair/sombre),
- préférence de langue.
Aucun cookie de mesure d’audience, de profilage publicitaire ou de partage avec des tiers n’est utilisé. Aucun consentement préalable n’est donc requis pour ces cookies techniques, mais nous vous en informons par transparence.
8. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données :
- chiffrement des communications (HTTPS / TLS sur toutes les routes),
- chiffrement des sauvegardes (côté client, clés non détenues par l’hébergeur de sauvegarde),
- séparation des environnements (dev / prod),
- authentification à deux facteurs obligatoire pour les administrateurs et modérateurs,
- audit des actions sensibles,
- mises à jour de sécurité régulières,
- accès SSH restreint aux administrateurs nominatifs sur un réseau privé.
En cas d’incident de sécurité affectant vos données, nous nous engageons à :
- notifier la CNIL dans un délai de 72 heures si l’incident présente un risque pour vos droits et libertés,
- vous notifier directement si l’incident présente un risque élevé.
9. Connecteur MCP (IA d’assistance)
Si vous autorisez un outil d’assistance IA externe via le connecteur MCP :
- L’agent n’a accès qu’en lecture seule à ce que vous voyez vous-même dans le Service,
- Il ne peut rien publier, modifier ou supprimer en votre nom,
- Vous gardez le contrôle : vous voyez la liste des clients autorisés depuis votre profil, leur date de dernière utilisation, et pouvez les révoquer à tout moment,
- L’autorisation expire après 30 jours d’inactivité,
- Les paramètres de vos requêtes vers le connecteur (recherches, filtres) ne sont pas stockés en clair : seul un hash et un résumé minimal sont journalisés pour des fins de sécurité et de débogage.
Vous pouvez à tout moment consulter l’historique d’activité de vos clients MCP depuis votre profil.
10. Modifications de la présente politique
La présente politique peut évoluer. Les modifications mineures (précisions, mises à jour de prestataires sans impact sur les finalités) prennent effet à la publication.
Les modifications substantielles (nouvelles finalités,
nouveaux destinataires, changement de bases légales) déclenchent
une nouvelle acceptation explicite à votre prochaine
connexion. Les versions précédentes restent consultables à
/legal/privacy/v<N>.
11. Contact
Pour toute question relative à vos données personnelles ou à l’exercice de vos droits :
- <EMAIL_RGPD> — réponse sous 30 jours maximum.
Pour toute autre question :
- <EMAIL_CONTACT>.
Version 1 · publié le 13/07/2026