Politique de confidentialité
Version en vigueur au 26 mai 2026Article 1 — Identité du responsable de traitement
1.1 Pour le site marketing (bdeasy.fr)
Thibaud LESCROART, entrepreneur individuel (micro-entreprise)
Exerçant sous le nom commercial : Studio'IQ
Adresse : Rue Dubourdieu, 33800 Bordeaux, France
SIRET : 992 830 141 00030 · Code APE : 6201Z
Contact : contact@bdeasy.fr
1.2 Pour l'application mobile
Le BDE opérateur (bureau des étudiants ayant souscrit à la plateforme BDEASY) est responsable de traitement des données collectées via son application. BDEASY intervient comme sous-traitant technique conformément à l'article 28 du RGPD. Un contrat de sous-traitance (DPA) est signé avec chaque BDE client.
Article 2 — Données collectées et finalités
2.1 Site marketing
| Données | Source | Finalité | Base légale |
|---|---|---|---|
| Prénom, nom d'association, e-mail professionnel | Formulaire de contact / démo | Traitement des demandes, prospection commerciale B2B | Intérêt légitime (art. 6.1.f RGPD) |
| Nom, e-mail, téléphone, nom du BDE, effectif étudiant | Formulaire d'abonnement | Création du contrat d'abonnement BDEASY, contact post-souscription | Exécution du contrat (art. 6.1.b RGPD) |
| Données de paiement (carte bancaire, IBAN) | Stripe Checkout (page de paiement Stripe) | Traitement du paiement et gestion de l'abonnement récurrent | Exécution du contrat — données traitées exclusivement par Stripe, jamais par Studio'IQ |
| Adresse IP, user-agent, pages consultées | Vercel (logs serveur de l'hébergeur) | Sécurité, débogage, statistiques anonymes | Intérêt légitime (art. 6.1.f RGPD) |
2.2 Application mobile (traitement par le BDE)
| Données | Source | Finalité | Base légale |
|---|---|---|---|
| Prénom, nom, e-mail, promotion, numéro étudiant | Inscription | Création et gestion du compte membre, vérification de l'appartenance à l'établissement | Contrat (art. 6.1.b) |
| Téléphone (optionnel) | Profil utilisateur | Contact direct par le bureau (urgences, événements, anti-doublon) | Consentement (art. 6.1.a) |
| Photo de profil (optionnelle) | Profil utilisateur | Personnalisation du profil | Consentement (art. 6.1.a) |
| Statut adhésion, date d'achat carte, date d'expiration | Validation admin BDE | Accès aux prix membres, boutique adhérent, mini-apps réservées | Contrat (art. 6.1.b) |
| Publications, commentaires, votes de sondages, réactions | Feed / Hub | Fonctionnement de la communauté | Contrat |
| Historique d'achats, billets, commandes boutique | Boutique, billetterie | Gestion des commandes et restitution | Contrat |
| Points fidélité, historique gains/dépenses, idempotency_key | Module fidélité | Programme de fidélité, anti-double-claim sur les récompenses | Contrat |
| SumUp Customer ID (pas de carte bancaire stockée par BDEASY) | SumUp (paiements in-app : boutique, billetterie) | Identifier le client SumUp pour les transactions in-app du BDE | Contrat — SumUp reste responsable de traitement pour les données de carte |
| Stripe Customer ID (pas de carte bancaire stockée par BDEASY) | Stripe Checkout (tunnel d'abonnement BDE → BDEASY) | Identifier le client Stripe pour la facturation de l'abonnement BDEASY | Contrat — Stripe reste responsable de traitement pour les données de carte |
| Token d'appareil OneSignal, préférences de notification | OneSignal (avec tag tenant_id pour isoler les BDE) |
Envoi de notifications push (annonces, billets, paiements) | Consentement (art. 6.1.a) |
| Signalements émis/reçus, sanctions appliquées, logs d'audit admin | Modération | Modération graduée (warning, ban 7 jours, ban permanent), traçabilité des décisions admin | Obligation légale (LCEN) + intérêt légitime (sécurité) |
| Secret 2FA TOTP (admins BDE uniquement) | Enrôlement 2FA | Authentification forte des administrateurs | Intérêt légitime (sécurité du service) |
| Logs d'activité (connexions, actions, IP serveur, user-agent, version OS, version app) | Supabase (PostgreSQL) | Sécurité, modération, débogage | Intérêt légitime (art. 6.1.f RGPD) |
Aucune donnée de géolocalisation continue ni profilage commercial. Aucune publicité ciblée. Le numéro de carte bancaire n'est jamais stocké sur les serveurs de Studio'IQ — il est traité exclusivement par SumUp (paiements in-app, PCI-DSS niveau 1) ou par Stripe (abonnement BDEASY, PCI-DSS niveau 1).
Article 3 — Durée de conservation
| Catégorie | Durée |
|---|---|
| Demandes de contact (site) | 3 ans à compter du dernier contact |
| Données de compte (application) | Durée de l'adhésion + 1 an après suppression du compte |
| Données de commande | 10 ans (obligation comptable) |
| Logs serveur | 13 mois (recommandation CNIL) |
Données de mesure d'audience anonymisée (collection site_visits : événements de navigation + organisation détectée via reverse DNS, IP hashée) | 13 mois maximum (recommandation CNIL pour la mesure d'audience exemptée) |
| Données Microsoft Clarity | Selon politique Microsoft : 1 an maximum (heatmaps + replays anonymisés) |
| Données Vercel Web Analytics | Agrégats statistiques : conservation indéfinie (aucune donnée individuelle, aucun identifiant) |
| Tokens de notification | Jusqu'à révocation du consentement ou désinstallation |
Article 4 — Destinataires et sous-traitants
4.1 Site marketing
Les données des formulaires de contact et d'abonnement sont accessibles uniquement à Studio'IQ. Aucune cession à des tiers commerciaux.
Hébergeur : Vercel Inc. (Covina, CA, USA) — transfert hors UE encadré par les clauses contractuelles types (CCT) de la Commission européenne.
Autres sous-traitants du site marketing :
| Sous-traitant | Rôle | Localisation | Garanties |
|---|---|---|---|
| Supabase Inc. | Authentification, base de données, stockage natif | Paris (AWS eu-west-3) — Union européenne | RGPD applicable directement, DPA Supabase |
| Stripe Payments Europe Ltd | Paiement en ligne sécurisé — abonnements BDEASY | Irlande — Union européenne | RGPD applicable directement, DPA Stripe, certifié PCI-DSS niveau 1 |
| Resend Inc. | Envoi d'e-mails transactionnels | USA | CCT, DPA Resend |
| Microsoft Corporation (Clarity) | Mesure d'audience anonymisée (heatmaps, enregistrements de session sans cookie tiers, mode consent=false) |
USA | CCT, DPA Microsoft, exemption CNIL |
| Vercel Inc. (Web Analytics) | Mesure d'audience première-partie, sans cookie ni fingerprint | USA | CCT, DPA Vercel, exemption CNIL |
| ip-api.com (Linköping / SE) | Reverse DNS / géolocalisation de l'IP au niveau organisationnel uniquement (org, ISP, AS, pays, ville). Sous-traitant invoqué côté serveur uniquement, l'IP n'est jamais persistée chez BDEASY après lookup. | Union européenne (Suède) | RGPD applicable directement, pas de CCT requise |
4.2 Application mobile
BDEASY fait appel aux sous-traitants suivants dans le cadre de l'hébergement et du fonctionnement de l'application :
| Sous-traitant | Rôle | Localisation | Garanties |
|---|---|---|---|
| Supabase Inc. | Base de données PostgreSQL, authentification, stockage natif | Paris (AWS eu-west-3) — Union européenne | RGPD applicable directement, DPA Supabase |
| Cloudflare Inc. | Stockage d'objets R2 (médias utilisateur) | Union européenne (juridiction .eu.r2.cloudflarestorage.com) |
RGPD applicable directement, DPA Cloudflare |
| OneSignal Inc. | Notifications push iOS et Android (tokens d'appareils, contenu des notifications) | États-Unis (Californie) | Clauses Contractuelles Types (CCT) art. 46 RGPD, DPA OneSignal |
| SumUp EU Payments UAB | Traitement des paiements in-app (billetterie, boutique) | Vilnius, Lituanie — Union européenne | RGPD applicable directement, DPA SumUp, certifié PCI-DSS niveau 1 |
| Resend Inc. | E-mails transactionnels app (confirmations de commande, exports CSV demandés par l'utilisateur, notifications admin) | États-Unis | Clauses Contractuelles Types (CCT) art. 46 RGPD, DPA Resend |
Ces sous-traitants ne sont autorisés à utiliser les données que dans le cadre strict de la prestation fournie à BDEASY. Aucune vente de données à des fins publicitaires n'est autorisée. Toute modification de la liste des sous-traitants ultérieurs fait l'objet d'une information préalable du BDE (responsable de traitement), qui peut émettre une objection motivée.
Article 5 — Transferts hors Union européenne
L'essentiel des données est traité sur des serveurs situés dans l'Union européenne : Supabase (Paris, AWS eu-west-3) pour la base de données, l'authentification et le stockage natif ; Cloudflare R2 en juridiction Union européenne pour les médias utilisateur ; SumUp EU Payments UAB (Vilnius, Lituanie) pour les paiements in-app ; Stripe Payments Europe Ltd (Dublin, Irlande) pour le paiement de l'abonnement BDEASY.
Certains sous-traitants techniques sont situés aux États-Unis (notamment OneSignal Inc. pour les notifications push et Vercel Inc. pour l'hébergement du site marketing). Ces transferts sont encadrés par les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne le 4 juin 2021, conformément à l'article 46 du RGPD. Les accords de traitement des données (DPA) conclus avec chaque sous-traitant sont disponibles sur demande.
Article 6 — Vos droits
Conformément au RGPD, vous disposez des droits suivants :
Comment exercer vos droits
Via le site marketing : adressez votre demande à contact@bdeasy.fr. Réponse sous 30 jours.
Via l'application mobile : contactez directement votre BDE (responsable de traitement) via la messagerie intégrée ou les paramètres de compte. Vous pouvez également nous contacter à contact@bdeasy.fr pour toute question technique.
Une pièce d'identité pourra être demandée pour vérifier votre identité avant de traiter votre demande.
Article 7 — Cookies et traceurs
7.1 Site marketing
Le site bdeasy.fr utilise exclusivement des outils de mesure d'audience exemptés de consentement par la CNIL (délibération n° 2020-091 du 17 septembre 2020) : Microsoft Clarity en mode anonyme (sans dépôt de cookies tiers, IP anonymisée) et Vercel Web Analytics (mesure première-partie sans cookie ni fingerprint). Aucun cookie analytique nécessitant un consentement préalable n'est déposé par défaut.
Un bandeau de gestion des cookies (Tarteaucitron) reste disponible pour le cas où des outils nécessitant un consentement seraient ajoutés à l'avenir. Vous pouvez à tout moment modifier vos préférences en cliquant sur le lien « Gestion des cookies » en bas de page.
Seuls des cookies techniques strictement nécessaires (session, préférences de consentement, langue) sont utilisés sans recueil de consentement préalable (exemption prévue par l'article 82 de la loi Informatique et Libertés).
Logs serveur : l'hébergeur (Vercel) peut conserver des métadonnées techniques (adresse IP, user-agent, timestamp) à des fins de sécurité et de débogage, conservées 13 mois maximum.
Mesure d'audience exemptée de consentement (CNIL). BDEASY utilise des outils d'analyse anonymisée qui ne déposent pas de cookies tiers publicitaires et ne permettent pas de vous identifier nominativement :
- Microsoft Clarity en mode anonyme (heatmaps et enregistrements de session anonymisés, IP non stockée). Configuré avec
consent=false: aucun cookie tiers, données limitées à la session courante. Aucun croisement avec d'autres services Microsoft. Conservation 1 an. - Vercel Web Analytics : mesure d'audience première-partie sans cookie ni fingerprint, agrégée à l'échelle du site. Aucune donnée individuelle conservée.
- Journalisation interne (endpoint
/api/lead-tracker, table Supabasesite_visits) : enregistre, pour chaque visite, des métadonnées techniques et comportementales sans identifiant nominatif :- Réseau / organisation : organisation déduite par reverse DNS de l'IP (ex. « Université de Bordeaux », « Free SAS »), pays, ville, ISP, ASN — fournis par le sous-traitant ip-api.com.
- Identité technique : adresse IP hashée en SHA-256 avec un sel statique (l'IP brute n'est jamais persistée), user-agent, langue préférée du navigateur, fuseau horaire, taille de la fenêtre, type d'appareil (mobile / tablette / desktop), type de connexion (4G / Wi-Fi / autre), identifiant de session aléatoire (UUID v4) régénéré à chaque session, compteur de visites locales (1ère vs retour, stocké dans le
localStoragede votre navigateur uniquement). - Comportement : URL et titre de la page visitée, page de provenance (referrer), paramètres UTM, événements de navigation (clics sur les CTA Démo / Réserver un appel / Tarifs / Configurateur / mailto: / tel:, paliers de scroll 50 % / 75 % / 100 %, durée passée sur la page).
- Indicateurs dérivés : flag BDE candidat (heuristique basée sur le nom de l'organisation), flag campagne email (basé sur les paramètres UTM ou le referrer SES), flag bot probable (basé sur l'ASN, l'organisation, et le user-agent — les scanners de liens d'Outlook, Mimecast, Proofpoint sont filtrés).
Finalité. Identifier de manière anonymisée et agrégée les associations étudiantes (BDE) qui consultent le site, mesurer l'efficacité des campagnes d'email B2B, comprendre les parcours utilisateurs sur le site. À aucun moment ces données ne sont utilisées pour profiler une personne physique identifiée : elles sont consolidées au niveau de l'organisation (école, université, BDE).
Base légale. Intérêt légitime du responsable de traitement (article 6.1.f du RGPD) à mesurer l'audience de son site et à identifier des prospects B2B (associations étudiantes / écoles) susceptibles d'être intéressés par son offre, dans la limite stricte des conditions d'exemption de consentement définies par la CNIL pour la mesure d'audience : pas de croisement avec d'autres traitements, pas de transmission à des tiers commerciaux, anonymisation effective, droit d'opposition simple.
Conservation. 13 mois maximum (recommandation CNIL). Suppression manuelle possible sur demande.
Droit d'opposition. Vous pouvez exercer votre droit d'opposition à tout moment en écrivant à contact@bdeasy.fr en précisant l'organisation que vous représentez. Nous purgerons les entrées correspondantes sous 30 jours. Vous pouvez également bloquer le script de tracking en activant l'option « Do Not Track » de votre navigateur ou en utilisant une extension de blocage (uBlock Origin, Ghostery, Privacy Badger).
7.2 Application mobile
L'application mobile n'utilise pas de cookies au sens strict (pas de navigateur). Les SDK Supabase et OneSignal peuvent conserver des données de session et des jetons localement sur l'appareil (Keychain iOS, EncryptedSharedPreferences Android) pour maintenir la connexion. Ces données restent sur l'appareil et ne sont pas partagées avec des tiers publicitaires.
Article 8 — Sécurité des données
BDEASY et ses sous-traitants mettent en œuvre des mesures techniques et organisationnelles adaptées :
- Chiffrement des données en transit (TLS 1.3) et au repos (AES-256, fourni nativement par Supabase et Cloudflare R2).
- Isolation multi-tenant par Row Level Security (RLS) au niveau PostgreSQL et par préfixe de bucket dédié au niveau Cloudflare R2 : chaque BDE client dispose d'un espace de données strictement cloisonné, aucun accès croisé entre tenants n'étant techniquement possible.
- Authentification forte pour les accès administrateurs (mot de passe haché bcrypt, jetons JWT signés à durée limitée).
- Gestion des secrets dans le coffre Supabase Edge Functions (jamais en clair dans le code source).
- Journalisation des accès et surveillance des anomalies.
- Mises à jour de sécurité appliquées sous 7 jours après publication des correctifs critiques.
- Sauvegardes automatiques quotidiennes (point-in-time recovery Supabase, conservation 7 jours minimum).
En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, BDEASY notifiera la CNIL dans les 72 heures et informera les personnes concernées dans les meilleurs délais, conformément à l'article 33 du RGPD.
Article 9 — Mineurs
L'application mobile est ouverte à partir de 16 ans. Pour les mineurs entre 16 et 17 ans (BTS 1re année, prépa, écoles d'ingénieurs post-bac, etc.), l'inscription au BDE et l'usage de l'Application impliquent l'accord du représentant légal, présumé donné par l'adhésion à l'association étudiante. BDEASY ne collecte pas sciemment de données personnelles d'enfants de moins de 16 ans. Si une telle collecte était constatée, les données seraient supprimées dans les meilleurs délais. Aucune publicité ciblée, aucun profilage commercial n'est appliqué aux mineurs.
Article 10 — Modifications de la politique
Cette politique peut être mise à jour pour refléter des évolutions légales, réglementaires ou fonctionnelles. La date de dernière mise à jour est indiquée en haut de ce document. En cas de modifications substantielles, les utilisateurs de l'application en seront informés par notification push ou e-mail au moins 15 jours avant l'entrée en vigueur.
Article 11 — Contact et réclamations
Pour toute question relative à cette politique ou à l'exercice de vos droits :
E-mail : contact@bdeasy.fr
Courrier : Thibaud LESCROART (Studio'IQ), Rue Dubourdieu, 33800 Bordeaux, France
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL :
Commission Nationale de l'Informatique et des Libertés
3 place de Fontenoy – TSA 80715 – 75334 Paris Cedex 07
www.cnil.fr