GA GestAssoc
GestAssoc — Protection des données

Politique de confidentialité

Version du 14 juillet 2026 — document de travail (POC)


Squelette préparé pour le POC : les passages surlignés doivent être complétés et l'ensemble validé (idéalement avec un DPO ou un conseil) avant toute mise en ligne publique.

Art. 1 Qui traite vos données ?

Deux situations distinctes coexistent :

  • GestAssoc est responsable de traitement pour les données liées à la relation commerciale : coordonnées des contacts de l'association cliente, facturation, support.
  • GestAssoc est sous-traitant (article 28 du RGPD) pour les données que chaque association cliente enregistre dans son instance (fiches de membres, cotisations, documents…). L'association reste responsable de traitement de ces données ; GestAssoc ne les traite que sur son instruction et ne les utilise jamais à d'autres fins.

Contact pour toute question relative aux données : [email dédié RGPD].

Art. 2 Quelles données, pour quoi faire ?

DonnéesFinalitéBase légale
Identité et coordonnées des membres (saisies par l'association) Tenue du registre des membres, cotisations, convocations Instruction de l'association (sous-traitance)
Adresse email des utilisateurs Authentification par code à usage unique, notifications Exécution du contrat
Données de paiement des cotisations Suivi des règlements, rapprochement bancaire Instruction de l'association (sous-traitance)
Coordonnées du contact de l'association cliente Facturation, support, information sur le service Exécution du contrat / intérêt légitime
Journaux techniques (connexions, erreurs) Sécurité, prévention des abus, diagnostic Intérêt légitime

Aucune donnée n'est vendue, louée ni utilisée à des fins publicitaires.

Art. 3 Rapprochement bancaire

Si l'association active le module de rapprochement bancaire, la connexion à la banque est opérée par Bridge, prestataire de services d'information sur les comptes agréé. GestAssoc ne collecte jamais les identifiants bancaires : seuls des jetons d'accès techniques, chiffrés, sont conservés. Le consentement bancaire est révocable à tout moment auprès de la banque ou dans l'application.

Art. 4 Destinataires et sous-traitants ultérieurs

PrestataireRôleLocalisation
OVHcloudHébergement des instances et stockage des fichiersFrance
BrevoEnvoi des emails transactionnels (codes de connexion, convocations)Union européenne
BridgeAgrégation bancaire (module optionnel)France
FormSubmitAcheminement du formulaire de contact du site vitrineÉtats-Unis

Aucun transfert de données hors Union européenne n'est effectué dans le cadre du service lui-même. Seul le formulaire de contact du site vitrine transite par FormSubmit (États-Unis) : il n'achemine que les informations que vous choisissez d'y saisir (nom, email, message), à seule fin de vous répondre. Vous pouvez aussi nous joindre directement par email : [email de contact].

Art. 5 Sécurité

  • Une instance dédiée par association : serveur, base de données et stockage séparés — aucune mutualisation des données entre clients ;
  • Clé de chiffrement unique par instance ; secrets chiffrés en AES-256-GCM ;
  • Authentification sans mot de passe (code à usage unique) et double authentification obligatoire pour les administrateurs ;
  • Droits d'accès par page : chaque utilisateur ne voit que ce qui relève de son rôle ;
  • Sessions chiffrées, cookies sécurisés, connexions en HTTPS.

Art. 6 Durées de conservation

  • Données des membres : gérées par l'association ; supprimées avec l'instance à la fin du contrat, dans un délai de [30/60/90 jours] ;
  • Codes de connexion à usage unique : quelques minutes (durée de validité), stockés hachés ;
  • Journaux techniques : [6/12 mois] ;
  • Données de facturation : 10 ans (obligation comptable).

Art. 7 Vos droits

Toute personne dispose des droits d'accès, de rectification, d'effacement, de limitation, d'opposition et de portabilité sur ses données.

  • Membre d'une association : exercez vos droits directement auprès de votre association (responsable de traitement). GestAssoc l'assiste dans cette réponse.
  • Contact d'une association cliente : écrivez à [email dédié RGPD].

En cas de difficulté persistante, vous pouvez saisir la CNIL (www.cnil.fr).

Art. 8 Cookies

Le service n'utilise que des cookies strictement nécessaires : cookie de session (chiffré) et jeton de protection contre la falsification de requêtes. Aucun cookie publicitaire, aucun traceur tiers, aucune mesure d'audience tierce — d'où l'absence de bandeau de consentement.

Art. 9 Évolution de cette politique

Cette politique peut évoluer avec le service. La date de version figure en tête de document ; toute modification substantielle est notifiée aux administrateurs des associations clientes.