1. Responsable du traitement
Le responsable du traitement des données personnelles collectées sur le site et l'application Sudo Community Manager est :
- SAS Sudobe – 1 Rue Marguerin, 75014 Paris
- SIRET : 991 972 282 00016
- Contact : contact@scm-asso.fr
Lorsqu'un Administrateur utilise Sudo Community Manager pour gérer les données des membres de son assemblée, il agit en tant que responsable de traitement ; SAS Sudobe intervient comme sous-traitant au sens du RGPD (Article 28).
2. Données collectées et finalités
2.1 Données de compte (Utilisateurs)
- Données : nom, adresse email, mot de passe chiffré (bcrypt).
- Finalité : création et gestion du compte, authentification.
- Base légale : exécution du contrat (Article 6.1.b RGPD).
2.2 Données d'association (Membres)
- Données : nom, prénom, coordonnées, photo, rôles, statut, historique de présences, données financières (contributions).
- Finalité : gestion interne de l'association par l'Administrateur.
- Base légale : intérêt légitime de l'organisation religieuse / consentement des membres selon les données collectées.
- Note : SAS Sudobe n'accède pas à ces données à des fins commerciales. Elles sont exclusivement utilisées pour la fourniture du service.
2.3 Données de facturation
- Données : email, historique des paiements, plan souscrit.
- Finalité : facturation et gestion des abonnements.
- Base légale : obligation légale (Article 6.1.c RGPD) et exécution du contrat.
- Note : les données bancaires (numéro de carte) sont traitées exclusivement par notre prestataire de paiement Stripe, certifié PCI DSS. SAS Sudobe n'y a pas accès.
2.4 Données de navigation (Analytics)
- Données : pages visitées, durée, source de trafic, type d'appareil – via Google Analytics 4 (avec anonymisation de l'IP).
- Finalité : mesure d'audience et amélioration du site.
- Base légale : consentement (Article 6.1.a RGPD).
2.5 Formulaire de contact
- Données : nom, email, téléphone, message.
- Finalité : répondre aux demandes d'information et de démonstration.
- Base légale : intérêt légitime / consentement.
3. Destinataires des données
Vos données ne sont jamais vendues à des tiers. Elles peuvent être partagées uniquement avec :
- OVH SAS (hébergeur) – stockage des données sur serveurs localisés en France/UE.
- Supabase Inc. (base de données / authentification) – infrastructure cloud RGPD-compatible.
- Stripe Inc. (paiement) – traitement sécurisé des transactions, certifié PCI DSS.
- Google LLC (Google Analytics) – mesure d'audience avec anonymisation des données.
Chacun de ces sous-traitants a fait l'objet d'une évaluation et présente des garanties suffisantes au regard du RGPD.
4. Transferts hors UE
Certains sous-traitants (Supabase, Stripe, Google) sont domiciliés aux États-Unis. Ces transferts sont encadrés par :
- Les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne.
- Le cadre EU-US Data Privacy Framework (pour les entreprises certifiées).
5. Durée de conservation
- Données de compte : durée de l'abonnement + 90 jours après résiliation.
- Données d'association : idem – exportables pendant les 90 jours post-résiliation.
- Données de facturation : 10 ans (obligation légale comptable).
- Formulaire de contact : 3 ans à compter du dernier contact.
- Données analytics : 14 mois (configuration GA4).
6. Vos droits
Conformément au RGPD (Articles 15 à 22), vous disposez des droits suivants :
- Droit d'accès : obtenir une copie de vos données.
- Droit de rectification : corriger des données inexactes.
- Droit à l'effacement : demander la suppression de vos données.
- Droit à la portabilité : recevoir vos données dans un format structuré.
- Droit d'opposition : vous opposer à certains traitements.
- Droit à la limitation : restreindre temporairement un traitement.
Pour exercer ces droits : contact@scm-asso.fr
Nous répondons sous 30 jours maximum. En cas de réclamation non satisfaite, vous pouvez saisir la CNIL : www.cnil.fr
7. Sécurité des données
SAS Sudobe met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données :
- Chiffrement des connexions (HTTPS / TLS 1.3).
- Mots de passe chiffrés (algorithme bcrypt).
- Isolation des données par assemblée (Row Level Security côté base de données).
- Accès restreints aux données en interne (principe du moindre privilège).
- Sauvegardes régulières chiffrées.
En cas de violation de données à caractère personnel, les personnes concernées et la CNIL seront notifiées conformément aux Articles 33 et 34 du RGPD.
9. Modification de la politique
Cette politique peut être mise à jour pour refléter les évolutions réglementaires ou fonctionnelles. Toute modification substantielle fera l'objet d'une notification par email aux Utilisateurs actifs.