Vos données, votre contrôle.
Digizelle prend la protection de vos données personnelles très au sérieux. Cette politique décrit, en toute transparence, quelles données nous collectons, pourquoi, comment elles sont protégées, combien de temps elles sont conservées, et comment vous pouvez exercer vos droits conformément au Règlement (UE) 2016/679 (RGPD) et à la loi Informatique & Libertés du 6 janvier 1978 modifiée.
Dernière mise à jour : mai 2026
Responsable de traitement
Digizelle (association loi 1901, à but non lucratif) agit en tant que responsable de traitement au sens de l'article 4.7 du RGPD pour l'ensemble des données personnelles collectées via ce site et la plateforme Mentorat & Communauté. Coordonnées : • Siège : EPITECH Campus du Kremlin-Bicêtre, 14-16 rue Voltaire, 94270 Le Kremlin-Bicêtre, France • Contact unique de l'association : contact@digizelle.fr (toutes demandes : générales, RGPD, communication, presse) Le titulaire du rôle de point de contact RGPD est le Tech Lead de l'association jusqu'à recrutement d'un délégué externalisé. Pour toute demande d'exercice de droits, signalement de violation, ou échange sur la conformité des traitements, écrivez à contact@digizelle.fr. Les coordonnées de la CNIL (autorité de contrôle française) figurent en fin de document.
Données collectées
Nous appliquons le principe de minimisation : seules les données strictement nécessaires à chaque finalité sont collectées. — Formulaire de contact : prénom, nom, email, sujet, message. Base légale : intérêt légitime (répondre à votre demande). — Inscription Mentorat : prénom, nom, email, mot de passe haché (bcrypt), rôle (apprenant·e / mentor / partenaire), date d'inscription. Base légale : exécution du contrat associatif. — Profil mentor/mentoré : compétences, disponibilités, parcours, photo facultative. Base légale : consentement explicite. — Newsletter : email, source d'inscription, date. Base légale : consentement (opt-in). — Données techniques : adresse IP tronquée, user-agent, pages visitées (logs serveur, statistiques agrégées). — Cookies techniques : session, jeton CSRF, préférence de thème. Voir la page Cookies. Aucune donnée sensible (origine, opinions politiques, religion, santé, orientation sexuelle) n'est collectée.
Finalités
Vos données sont utilisées exclusivement pour les finalités suivantes : • Répondre à vos demandes (contact, presse, partenariat) • Gérer votre compte sur l'espace Mentorat et le matching mentor/mentoré • Vous envoyer la newsletter Digizelle, à laquelle vous êtes librement abonné·e • Vous informer d'événements ou de programmes auxquels vous êtes inscrit·e • Assurer la sécurité, la disponibilité et l'amélioration du site • Répondre à des obligations légales (réquisitions judiciaires) Vos données ne sont jamais revendues. Aucun profilage publicitaire n'est réalisé.
Durée de conservation
Conformément au principe de limitation de la conservation (article 5.1.e du RGPD) : • Messages de contact : 2 ans après le dernier échange, puis archivage intermédiaire 1 an • Comptes utilisateurs Mentorat : tant que le compte est actif ; suppression sur demande sous 30 jours, ou automatiquement après 24 mois d'inactivité • Inscriptions newsletter : jusqu'à désinscription (lien présent dans chaque email) • Logs techniques (sécurité, prévention de la fraude) : 12 mois maximum • Sauvegardes chiffrées : conservées 90 jours puis détruites À l'issue de ces durées, les données sont anonymisées (statistiques agrégées) ou définitivement supprimées.
Vos droits RGPD
Vous disposez à tout moment des droits suivants, exerçables directement depuis votre compte ou par email : • Droit d'accès (article 15) : récapitulatif des données détenues, accessible depuis Communauté → Paramètres. • Droit de rectification (article 16) : modification directe depuis votre profil. • Droit à l'effacement / « droit à l'oubli » (article 17) : bouton « Supprimer mon compte » dans Paramètres → délai de grâce de 30 jours puis purge irréversible. • Droit à la limitation du traitement (article 18) : sur demande au DPO. • Droit à la portabilité (article 20) : export JSON téléchargeable depuis Paramètres, format machine-readable. • Droit d'opposition (article 21) : opt-out marketing 1-clic dans chaque email ou via Paramètres. • Droit de retirer votre consentement à tout moment. • Droit de définir des directives post-mortem sur vos données (loi Informatique & Libertés). Pour exercer un droit qui ne serait pas couvert par les outils intégrés, écrivez à contact@digizelle.fr en précisant la nature de votre demande. Réponse sous 30 jours (90 jours en cas de complexité, sur notification). En cas de désaccord, vous pouvez saisir la CNIL — 3 place de Fontenoy, 75007 Paris — www.cnil.fr.
Sous-traitants & partenaires techniques
Pour fonctionner, le site fait appel à des sous-traitants au sens de l'article 28 du RGPD. Tous ont été sélectionnés pour leur conformité RGPD et sont liés par un accord de traitement (DPA). La liste, à jour de la dernière révision, est : — Vercel Inc. (États-Unis, infrastructure UE) : hébergement Next.js, CDN, fonctions serverless. Région d'exécution : Europe (CDG / Paris). Données traitées : logs HTTP, contenu des requêtes pendant l'exécution. — Supabase Inc. (États-Unis, infrastructure UE) : base PostgreSQL, authentification, stockage de fichiers. Région : eu-west-3 (Paris). Données traitées : comptes, profils, contenus communautaires, sessions de mentorat. — Resend Inc. (États-Unis, routage EU disponible) : envoi des emails transactionnels (vérification, réinitialisation, notifications) et des campagnes newsletter. Données traitées : email, prénom, statut de délivrabilité. — Functional Software Inc. (Sentry) : observabilité et reporting d'erreurs côté serveur et navigateur. Région : sentry.de.io (UE). Les sessions enregistrées (replay) masquent tous les textes (`maskAllText`) et bloquent les médias (`blockAllMedia`) ; les corps de requête sont filtrés avant envoi. — Auth.js v5 (open-source, exécuté sur l'infrastructure Digizelle) : gestion des sessions et de l'authentification. — Google LLC, GitHub Inc., Discord Inc. : fournisseurs OAuth optionnels pour la connexion sociale. Si vous n'utilisez pas ces options, aucune donnée ne leur est transmise. Aucun de ces sous-traitants n'est autorisé à utiliser vos données pour son propre compte.
Transferts hors Union européenne
Les données applicatives (comptes, profils, contenus, journaux) sont stockées et traitées exclusivement en Union européenne (Supabase eu-west-3 Paris, Vercel CDG, Sentry sentry.de.io). Aucun transfert applicatif n'a lieu vers les États-Unis ni d'autres pays tiers. Les maisons-mères des prestataires (Vercel Inc., Supabase Inc., Resend Inc., Functional Software Inc.) étant établies aux États-Unis, des transferts administratifs (facturation, support) peuvent intervenir. Ils sont encadrés par : • les clauses contractuelles types (CCT) de la Commission européenne, version 2021 (décision 2021/914) ; • le cadre EU-U.S. Data Privacy Framework lorsque le prestataire y est certifié ; • des mesures techniques complémentaires : TLS 1.3, chiffrement au repos AES-256, principe du moindre privilège. Si vous utilisez la connexion OAuth Google, GitHub ou Discord, le fournisseur OAuth applique sa propre politique de transfert.
Mineurs & protection des jeunes
Digizelle s'adresse en priorité à un public jeune. La législation française fixe à 15 ans l'âge du consentement numérique (article 8 du RGPD, transposé à l'article 45 de la loi Informatique & Libertés modifiée). • Le formulaire d'inscription comporte une déclaration obligatoire sur l'honneur d'avoir au moins 15 ans (case à cocher non pré-cochée). Sans cette déclaration, l'inscription est refusée. • Pour toute personne entre 15 et 17 ans, l'inscription est autorisée mais aucun profilage publicitaire n'est appliqué et la modération renforce sa vigilance. • Pour toute personne de moins de 15 ans, l'inscription est interdite. En cas de découverte ultérieure (signalement, contradiction au profil), le compte est suspendu sous 24 heures puis supprimé après vérification. • Les parents ou tuteurs peuvent à tout moment demander l'accès, la rectification ou la suppression des données de leur enfant à contact@digizelle.fr en justifiant de leur qualité. • Une analyse d'impact relative à la protection des données (AIPD) est en cours d'élaboration pour les volets qui touchent les mineurs (profils publics, communauté UGC).
Mesures de sécurité
Digizelle met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données contre la perte, l'altération ou l'accès non autorisé : • Chiffrement TLS 1.3 sur toutes les communications (HTTPS forcé via HSTS) • Mots de passe stockés hachés avec bcrypt (coût ≥ 12), jamais en clair • Authentification renforcée pour les comptes administrateurs • Politiques d'accès Row-Level Security (RLS) Supabase pour cloisonner les données • Sauvegardes chiffrées quotidiennes, restaurabilité testée • Journalisation des accès sensibles, alertes en cas d'anomalie • Audits de sécurité réguliers et application rapide des correctifs • Sensibilisation des bénévoles ayant accès aux données (charte interne) En cas de violation de données susceptible d'engendrer un risque pour vos droits, nous notifierons la CNIL dans les 72 heures (article 33 RGPD) et vous informerons individuellement si nécessaire.
Délégué à la protection des données (DPO)
Digizelle a désigné un point de contact RGPD (DPO interne) dédié, indépendant des fonctions opérationnelles concernées par les traitements : • Email RGPD / DPO : contact@digizelle.fr (adresse unique de contact de l'association) • Courrier : Digizelle — Délégué à la protection des données — EPITECH Campus du Kremlin-Bicêtre, 14-16 rue Voltaire, 94270 Le Kremlin-Bicêtre Missions du DPO (article 39 RGPD) : informer et conseiller le responsable de traitement, contrôler la conformité, point de contact unique pour les personnes concernées et la CNIL, suivi des incidents et notifications éventuelles (articles 33-34). Délai de réponse aux demandes : 30 jours (extensible à 90 jours en cas de complexité, sur notification motivée). En cas de désaccord, vous pouvez saisir la CNIL — 3 place de Fontenoy, 75007 Paris — www.cnil.fr.