Dernière mise à jour :
La présente politique de confidentialité (la « Politique ») décrit de manière complète et loyale les modalités selon lesquelles nous collectons, utilisons, conservons et protégeons vos données personnelles dans le cadre de l’utilisation du site kedgestar.cdabordeaux.com (le « Service »), en conformité avec le Règlement (UE) 2016/679 (« RGPD ») et la loi n° 78-17 du 6 janvier 1978 modifiée (« Informatique et Libertés »).
1. Responsable du traitement
Le responsable du traitement est Confédération des Associations – Bordeaux, association loi 1901, dont le siège est sis 680 cours de la Libération, 33405 Talence Cedex, France (ci-après « l’Association »).
L’Association est indépendante de KEDGE Business School : l’école n’est ni propriétaire ni gouvernante du Service et n’en assume aucune responsabilité juridique.
Contact confidentialité : privacy@cdabordeaux.com.
2. Accès et champ d’application du Service
Le Service est strictement réservé aux étudiants de KEDGE Business School inscrits sur le campus de Bordeaux. Toute tentative d’accès en dehors de ce périmètre est interdite et peut donner lieu à des mesures de sécurité et de journalisation supplémentaires.
3. Catégories de données traitées
- Données d’identification : nom, prénom, adresse e-mail institutionnelle ou personnelle, numéro de téléphone le cas échéant.
- Données techniques et d’usage : adresse IP, identifiants et caractéristiques d’appareil, type et version de navigateur, pages consultées, horodatages, journaux techniques et événements applicatifs.
- Cookies strictement nécessaires : cookies et/ou jetons de session d’authentification destinés à vous connecter et à maintenir votre session. Aucun cookie à des fins publicitaires n’est déposé.
- E-mails transactionnels : données nécessaires à l’envoi de liens de connexion et de confirmations (via AWS SES et/ou Resend).
- Protection et atténuation des risques : données techniques générées par les mécanismes de sécurité mis en œuvre par Cloudflare, y compris les informations liées à l’usage d’un CAPTCHA/Turnstile ou d’outils de détection automatisée de comportements anormaux.
- Données liées aux candidatures : réponses, vœux et informations que vous soumettez dans le cadre d’une candidature pour rejoindre une ou plusieurs associations étudiantes. Ces données peuvent inclure vos motivations, expériences, disponibilités, préférences associatives et toute autre information fournie dans le formulaire de candidature.
4. Finalités et bases légales (art. 6 RGPD)
- Fourniture du Service et gestion des comptes (article 6, §1, b) : permettre l’authentification, fournir l’accès aux espaces réservés et gérer les inscriptions et candidatures.
- Gestion des candidatures et transmission aux associations concernées (article 6, §1, b) : traiter et évaluer vos réponses et vœux, et, lorsque nécessaire, les transmettre aux associations étudiantes concernées par votre candidature, y compris lorsque ces associations ne font pas partie du CDA.
- Sécurité, prévention de la fraude et bon fonctionnement (article 6, §1, f) : mettre en œuvre des mesures de journalisation, de supervision, de détection d’anomalies et de filtrage anti-abus, y compris au moyen de Cloudflare et, lorsque cela est justifié, d’un mécanisme de type CAPTCHA.
- Mesure d’audience technique (article 6, §1, f) : produire des statistiques agrégées et non publicitaires via Vercel afin d’améliorer la qualité, la performance et l’ergonomie du Service.
- Respect d’obligations légales (article 6, §1, c) : conserver certains journaux et répondre, le cas échéant, aux demandes des autorités compétentes.
Nous ne réalisons aucune prospection commerciale à des fins publicitaires et ne vendons ni ne cédons vos données personnelles à des tiers.
5. Destinataires et sous-traitants
L’accès aux données est strictement limité aux personnes habilitées de l’Association et à nos prestataires techniques agissant sur instruction. Toutefois, dans le cadre du traitement des candidatures, les informations que vous fournissez peuvent être transmises aux associations étudiantes concernées par votre candidature, y compris lorsque celles-ci ne sont pas membres du CDA. Ces associations sont tenues d’utiliser ces données exclusivement pour l’étude de votre candidature et de les supprimer une fois la procédure terminée.
- Hébergement, diffusion et métriques techniques : Vercel, Inc.
- Réseau de distribution, sécurité et atténuation : Cloudflare, Inc.
- Envoi d’e-mails transactionnels : AWS SES et/ou Resend.
6. Transferts hors Union européenne
Certains prestataires pouvant être établis en dehors de l’Espace Économique Européen, des transferts internationaux sont susceptibles d’intervenir. Ces transferts sont encadrés par des garanties appropriées au sens des articles 44 et suivants du RGPD, notamment les clauses contractuelles types adoptées par la Commission européenne, complétées, lorsque cela est nécessaire, par des mesures organisationnelles et techniques additionnelles.
7. Durées de conservation
- Compte et données d’identification : pendant la durée d’utilisation du compte, puis suppression ou anonymisation dans un délai raisonnable et, en tout état de cause, au plus tard trois (3) ans après la dernière activité constatée.
- Journaux techniques et de sécurité : jusqu’à douze (12) mois, sauf nécessité de conservation plus longue en cas d’incident de sécurité ou d’obligation légale spécifique.
- Données relatives aux e-mails transactionnels : conservation limitée, jusqu’à vingt-quatre (24) mois, aux seules fins de preuve d’envoi et de diagnostic.
- Données liées aux candidatures : conservation pendant la durée nécessaire à l’examen de la candidature et, en tout état de cause, suppression ou anonymisation dans un délai maximal de douze (12) mois après la clôture de la procédure.
8. Vos droits
Conformément au RGPD, vous disposez des droits d’accès, de rectification, d’effacement, de limitation, d’opposition, de portabilité ainsi que du droit de retirer votre consentement lorsque ce dernier constitue la base légale du traitement. Vous pouvez également définir des directives relatives au sort de vos données après votre décès.
Pour exercer vos droits, vous pouvez nous contacter à l’adresse privacy@cdabordeaux.com. Nous pourrons être amenés à solliciter un justificatif d’identité en cas de doute raisonnable. Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de l’autorité de contrôle compétente (CNIL – cnil.fr).
9. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées afin d’assurer un niveau de sécurité adapté au risque, comprenant notamment des contrôles d’accès, le chiffrement en transit, la journalisation, des sauvegardes régulières, des mécanismes de prévention des abus et, lorsque cela est approprié, l’utilisation de Cloudflare et la présentation d’un défi de type CAPTCHA. Aucun système n’offrant une sécurité absolue, nous ne pouvons garantir l’absence de toute vulnérabilité.
10. Mineurs
Le Service n’est pas destiné aux personnes de moins de quinze (15) ans. Si vous êtes parent ou tuteur et que vous pensez qu’un mineur nous a communiqué des données personnelles, nous vous invitons à nous contacter afin d’en solliciter la suppression.
11. Liens vers des sites tiers
Le Service peut contenir des liens vers des sites ou services exploités par des tiers. Nous n’exerçons aucun contrôle sur leurs pratiques et déclinons toute responsabilité quant à leurs politiques de confidentialité, que nous vous invitons à consulter préalablement à toute navigation.
12. Modifications de la Politique
Nous pouvons modifier la présente Politique afin de tenir compte des évolutions légales, techniques ou organisationnelles affectant le Service. La date figurant en tête de document atteste de la dernière mise à jour. Lorsque des changements substantiels sont apportés, nous pouvons vous en informer par un moyen approprié.
13. Contact
Pour toute question relative à la présente Politique, vous pouvez nous écrire à privacy@cdabordeaux.com.