Contact us
Contact us

Politique de confidentialité

Politique de confidentialité

Dernière mise à jour : 19 avril 2026
Responsable de traitement : test —
Contact délégué à la protection des données (DPO) : informatique@solid-am.org

1. Préambule

La présente politique de confidentialité a pour objet d’informer les bénéficiaires et candidats bénéficiaires de l’association test de la manière dont leurs données personnelles sont collectées, utilisées et protégées lorsqu’ils utilisent le formulaire d’inscription ou la page d’actualisation annuelle hébergés sur staging.solid-am.org.

Elle est rédigée conformément au Règlement (UE) 2016/679 du 27 avril 2016 dit « RGPD » et à la loi n° 78-17 du 6 janvier 1978 modifiée dite « Informatique et Libertés ».

2. Responsable de traitement

Le responsable du traitement de vos données personnelles est :

3. Données personnelles collectées

Nous collectons uniquement les données strictement nécessaires à l’instruction de votre demande d’aide et au suivi de votre dossier :

3.1. Au moment de l’inscription (formulaire public)

Catégorie Données précises
Identité Nom, prénom, date de naissance, lieu de naissance, genre, nationalité.
Coordonnées Adresse postale, adresse email, numéro de téléphone.
Situation scolaire Numéro d’étudiant (INE), établissement, niveau / filière d’études, statut boursier.
Situation financière Revenus mensuels totaux, dépenses mensuelles totales (le « reste à vivre » est calculé automatiquement à partir de ces deux valeurs).
Consentements Attestation sur l’honneur du statut d’étudiant, consentement explicite au traitement RGPD, opt-in SMS optionnel et révocable (cases à cocher).
Techniques Horodatage d’inscription, jeton reCAPTCHA (anti-robot).

3.2. Lors de l’actualisation annuelle

Une fois par an (entre 12 et 14 mois après votre dernière actualisation), un lien personnel sécurisé vous est envoyé par email pour vérifier et mettre à jour :

  • vos coordonnées (adresse, téléphone, email) ;
  • votre situation scolaire (établissement, filière, statut boursier) ;
  • votre situation financière (revenus et dépenses mensuels).

Les champs d’identité (nom, prénom, date de naissance, numéro d’étudiant) ne sont pas modifiables par la page publique : toute correction doit être demandée à un agent de l’association.

3.3. Données générées automatiquement par le service

  • Historique des passages en distribution et en épicerie solidaire (date, lieu, opération).
  • Historique des actualisations (dates, source publique ou administrative).
  • Commentaires internes éventuellement ajoutés par les agents de l’association pour le suivi de votre dossier.
  • Journal technique : trace des accès à votre fiche, des modifications et des exports effectués par les agents, avec l’identifiant et l’adresse IP de l’agent concerné. Ce journal ne contient aucune donnée personnelle de bénéficiaire (ni nom, ni coordonnées, ni situation financière) — uniquement un identifiant technique de dossier et la nature de l’action réalisée. Il est interne, n’est jamais exposé publiquement et sert exclusivement à la détection d’activité anormale côté agents.
Nous ne collectons jamais : numéro de sécurité sociale, coordonnées bancaires, informations de santé, opinions politiques, religieuses ou philosophiques, ni aucune donnée dite « sensible » au sens de l’article 9 du RGPD.

4. Finalités et bases légales

Finalité Base légale (RGPD)
Instruction de votre demande d’aide et vérification de votre éligibilité (statut d’étudiant, reste à vivre). Article 6.1.b — exécution de mesures précontractuelles prises à votre demande ; article 6.1.e — mission d’intérêt public (aide sociale étudiante).
Suivi de vos passages en distribution et en épicerie solidaire. Article 6.1.b — exécution du contrat de fourniture d’aide.
Actualisation annuelle du dossier (exigence de tenir à jour les données). Article 5.1.d — exactitude des données ; article 6.1.c — obligation légale de mise à jour.
Production de statistiques anonymisées à des fins de pilotage de l’activité. Article 6.1.f — intérêt légitime de l’association à piloter son action.
Journalisation technique et détection d’usages abusifs (exports massifs, accès anormaux). Article 6.1.f — intérêt légitime à protéger les données des bénéficiaires contre l’exfiltration.
Envoi du lien d’actualisation et de relances automatiques. Article 6.1.b et 6.1.c — exécution du contrat et obligation de mise à jour.
Envoi de SMS de rappel d’actualisation et d’informations ponctuelles (sur opt-in explicite uniquement). Article 6.1.a — consentement libre, spécifique, éclairé et univoque (case à cocher décochée par défaut, révocable à tout moment).

5. Destinataires des données

Vos données sont accessibles, dans la stricte limite de ce qui est nécessaire à leur mission :

  • aux administrateurs, managers, superviseurs et agents de l’association habilités à instruire les dossiers ;
  • aux utilisateurs ponctuels de l’association qui saisissent vos passages (ils voient uniquement votre nom et votre statut d’éligibilité ; vos coordonnées et votre situation financière leur sont masquées) ;
  • à l’hébergeur technique du site staging.solid-am.org (prestataire assurant le stockage des données sur ses serveurs — voir la section 5.1 ci-dessous).

Vos données ne sont jamais vendues, louées ou transmises à des tiers à des fins commerciales. Elles ne sont transmises à des tiers que dans le cadre d’obligations légales (réquisition judiciaire par exemple).

5.1. Hébergeur technique

Les données sont hébergées par un prestataire technique agissant en qualité de sous-traitant au sens de l’article 28 du RGPD. Les coordonnées précises de l’hébergeur sont disponibles sur simple demande à l’adresse de contact indiquée ci-dessus. Les données restent hébergées dans l’Union européenne.

5.2. Autres sous-traitants techniques

  • Google reCAPTCHA (Google Ireland Limited) : service anti-robot utilisé sur le formulaire d’inscription et la page d’actualisation. Ce service reçoit votre adresse IP et des signaux techniques anonymes afin de détecter les soumissions automatisées. Il peut déposer un cookie sur votre navigateur. Plus d’informations : policies.google.com/privacy.
  • OVH SAS (France) : opérateur télécom utilisé pour envoyer des SMS aux bénéficiaires ayant explicitement opté pour ce canal. Seuls votre numéro de téléphone et le contenu du SMS sont transmis à OVH au moment de l’envoi. Aucune autre donnée personnelle n’est partagée. Les données restent hébergées dans l’Union européenne. Plus d’informations : ovhcloud.com/fr/personal-data-protection.

6. Transferts hors Union européenne

Les données principales de votre dossier (identité, coordonnées, situation scolaire et financière, historique de passages) sont hébergées sur des serveurs situés dans l’Union européenne et ne font l’objet d’aucun transfert hors UE.

Seul le service Google reCAPTCHA, utilisé à des fins anti-spam, peut impliquer un transfert de données techniques (adresse IP, signaux de navigation) vers les États-Unis. Ce transfert est encadré par les clauses contractuelles types de la Commission européenne et, le cas échéant, par le EU-US Data Privacy Framework.

7. Durée de conservation

Type de donnée Durée
Dossier bénéficiaire actif (inscription, actualisations, passages) Pendant toute la durée de votre relation avec l’association, et jusqu’à 3 ans après votre dernière activité (dernière actualisation ou dernier passage).
Dossier bénéficiaire inactif (plus d’activité depuis 3 ans) Anonymisation ou suppression ; les statistiques agrégées restent exploitables mais ne permettent plus de vous identifier.
Commentaires internes liés à votre dossier Supprimés en même temps que le dossier associé.
Journal technique interne Conservé 12 mois maximum à des fins de sécurité et de détection d’incidents, puis purgé.
Liens d’actualisation (tokens) Invalidés automatiquement à chaque nouvelle campagne d’envoi ou à chaque actualisation réussie.

8. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données :

  • Droit d’accès (article 15) : obtenir la copie des données vous concernant.
  • Droit de rectification (article 16) : corriger toute information inexacte ou incomplète.
  • Droit à l’effacement « droit à l’oubli » (article 17) : demander la suppression de vos données, sous réserve des obligations légales de conservation.
  • Droit à la limitation du traitement (article 18).
  • Droit d’opposition (article 21) : vous opposer à un traitement fondé sur l’intérêt légitime, pour un motif tenant à votre situation particulière.
  • Droit à la portabilité (article 20) : recevoir vos données dans un format structuré et lisible par machine.
  • Droit de retirer votre consentement à tout moment, sans que cela remette en cause la licéité des traitements effectués avant ce retrait. Pour l’opt-in SMS, le retrait peut être effectué simplement en demandant à un agent de l’association de décocher la case correspondante sur votre fiche, ou en répondant STOP à un SMS reçu.
  • Droit de définir des directives post-mortem relatives au sort de vos données après votre décès.
Pour exercer vos droits, adressez une demande écrite à l’association en justifiant de votre identité :

Nous nous engageons à répondre dans un délai maximum d’un mois à compter de la réception de votre demande (prolongeable de deux mois en cas de complexité, avec information de votre part).

9. Réclamation auprès de la CNIL

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez adresser une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) :

  • en ligne : www.cnil.fr/fr/plaintes
  • par courrier : CNIL — 3 Place de Fontenoy — TSA 80715 — 75334 PARIS CEDEX 07

10. Sécurité des données

L’association met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données contre toute destruction, perte, altération, divulgation ou accès non autorisé :

  • transmission chiffrée entre votre navigateur et nos serveurs (HTTPS / TLS) ;
  • contrôle d’accès strict : chaque agent dispose d’un compte individuel et de droits limités à ses missions ;
  • journalisation de tous les accès et exports, avec détection automatique d’activité anormale (accès massifs, exports de masse) et blocage automatique des comptes à risque ;
  • hébergement des données dans l’Union européenne ;
  • sauvegardes régulières de la base de données et du site.

11. Cookies

Le site utilise les cookies suivants sur les pages hébergeant le formulaire d’inscription et la page d’actualisation :

  • Cookies techniques WordPress : strictement nécessaires au fonctionnement du site (session, préférences de navigation). Ils ne nécessitent pas de consentement.
  • Cookies Google reCAPTCHA : déposés par Google pour détecter les soumissions automatisées. Ils sont nécessaires au bon fonctionnement de la protection anti-robot. Voir la politique de Google : policies.google.com/privacy.

Le site ne dépose aucun cookie publicitaire ni cookie de suivi tiers en dehors de reCAPTCHA.

12. Décisions automatisées

Le calcul de votre éligibilité (basé sur le « reste à vivre » mensuel) est effectué de manière automatisée à partir des informations que vous déclarez. Ce calcul sert d’indicateur aux agents de l’association, qui conservent la décision finale : aucune décision produisant des effets juridiques à votre égard n’est prise de manière exclusivement automatisée au sens de l’article 22 du RGPD.

13. Modifications de la présente politique

Cette politique de confidentialité peut être mise à jour, notamment pour refléter une évolution réglementaire ou une modification des fonctionnalités du service. La date de dernière mise à jour figure en tête du document. En cas de modification substantielle, vous en serez informé par email à l’adresse associée à votre dossier.