Mentions légales CGV CGU Confidentialité

Politique de confidentialité

Version en vigueur au 11 mai 2026

Cette politique s'applique à deux contextes distincts : (1) le site marketing bdeasy.fr, dont Studio'IQ (éditeur de BDEASY) est responsable de traitement ; (2) l'application mobile déployée par un BDE client via la plateforme BDEASY, dans laquelle Studio'IQ agit en qualité de sous-traitant et le BDE en qualité de responsable de traitement.

Article 1 — Identité du responsable de traitement

1.1 Pour le site marketing (bdeasy.fr)

Thibaud LESCROART, entrepreneur individuel (micro-entreprise)
Exerçant sous le nom commercial : Studio'IQ
Adresse : Rue Dubourdieu, 33800 Bordeaux, France
SIRET : 992 830 141 00030 · Code APE : 6201Z
Contact : contact@bdeasy.fr

1.2 Pour l'application mobile

Le BDE opérateur (bureau des étudiants ayant souscrit à la plateforme BDEASY) est responsable de traitement des données collectées via son application. BDEASY intervient comme sous-traitant technique conformément à l'article 28 du RGPD. Un contrat de sous-traitance (DPA) est signé avec chaque BDE client.

Article 2 — Données collectées et finalités

2.1 Site marketing

Données	Source	Finalité	Base légale
Prénom, nom d'association, e-mail professionnel	Formulaire de contact / démo	Traitement des demandes, prospection commerciale B2B	Intérêt légitime (art. 6.1.f RGPD)
Nom, e-mail, téléphone, nom du BDE, effectif étudiant	Formulaire d'abonnement	Création du contrat d'abonnement BDEASY, contact post-souscription	Exécution du contrat (art. 6.1.b RGPD)
Données de paiement (carte bancaire, IBAN)	Stripe Checkout (page de paiement Stripe)	Traitement du paiement et gestion de l'abonnement récurrent	Exécution du contrat — données traitées exclusivement par Stripe, jamais par Studio'IQ
Adresse IP, user-agent, pages consultées	Firebase Hosting (logs serveur)	Sécurité, débogage, statistiques anonymes	Intérêt légitime

2.2 Application mobile (traitement par le BDE)

Données	Source	Finalité	Base légale
Prénom, nom, e-mail, promotion	Inscription	Création et gestion du compte membre	Contrat (art. 6.1.b)
Photo de profil (optionnelle)	Profil utilisateur	Personnalisation du profil	Consentement (art. 6.1.a)
Publications, commentaires, annonces	Feed / Espace services	Fonctionnement de la communauté	Contrat
Historique d'achats, billets, goodies	Boutique	Gestion des commandes et fidélité	Contrat
Données de paiement	Stripe (processeur externe)	Traitement des transactions	Contrat — Stripe est responsable de traitement pour ses propres données
Notifications push (token FCM)	Firebase Cloud Messaging	Envoi de notifications	Consentement
Logs d'activité (connexions, actions)	Firebase / Firestore	Sécurité, modération, débogage	Intérêt légitime

Article 3 — Durée de conservation

Catégorie	Durée
Demandes de contact (site)	3 ans à compter du dernier contact
Données de compte (application)	Durée de l'adhésion + 1 an après suppression du compte
Données de commande	10 ans (obligation comptable)
Logs serveur	13 mois (recommandation CNIL)
Données de mesure d'audience anonymisée (collection `site_visits` : événements de navigation + organisation détectée via reverse DNS, IP hashée)	13 mois maximum (recommandation CNIL pour la mesure d'audience exemptée)
Données Microsoft Clarity	Selon politique Microsoft : 1 an maximum (heatmaps + replays anonymisés)
Données Vercel Web Analytics	Agrégats statistiques : conservation indéfinie (aucune donnée individuelle, aucun identifiant)
Tokens de notification	Jusqu'à révocation du consentement ou désinstallation

Article 4 — Destinataires et sous-traitants

4.1 Site marketing

Les données des formulaires de contact et d'abonnement sont accessibles uniquement à Studio'IQ. Aucune cession à des tiers commerciaux.

Hébergeur : Vercel Inc. (Covina, CA, USA) — transfert hors UE encadré par les clauses contractuelles types (CCT) de la Commission européenne.

Autres sous-traitants du site marketing :

Sous-traitant	Rôle	Localisation	Garanties
Google LLC (Google Analytics 4)	Mesure d'audience (soumis au consentement)	USA	CCT, DPA Google
Google LLC (Firebase Auth / Firestore)	Authentification, base de données	UE (europe-west1) + USA	CCT, DPA Google Cloud
Stripe Inc.	Paiement en ligne sécurisé — abonnements BDEASY	USA	CCT, DPA Stripe, certifié PCI DSS
Resend Inc.	Envoi d'e-mails transactionnels	USA	CCT, DPA Resend
Microsoft Corporation (Clarity)	Mesure d'audience anonymisée (heatmaps, enregistrements de session sans cookie tiers, mode `consent=false`)	USA	CCT, DPA Microsoft, exemption CNIL
Vercel Inc. (Web Analytics)	Mesure d'audience première-partie, sans cookie ni fingerprint	USA	CCT, DPA Vercel, exemption CNIL
ip-api.com (Linköping / SE)	Reverse DNS / géolocalisation de l'IP au niveau organisationnel uniquement (org, ISP, AS, pays, ville). Sous-traitant invoqué côté serveur uniquement, l'IP n'est jamais persistée chez BDEASY après lookup.	Union européenne (Suède)	RGPD applicable directement, pas de CCT requise

4.2 Application mobile

BDEASY fait appel aux sous-traitants suivants dans le cadre de l'hébergement et du fonctionnement de l'application :

Sous-traitant	Rôle	Localisation	Garanties
Google LLC (Firebase / Firestore)	Base de données, authentification, stockage, notifications	UE (région europe-west1) + USA	CCT, DPA Google Cloud
Stripe, Inc.	Traitement des paiements	USA (données de transaction)	CCT, Privacy Shield successor, DPA Stripe

Ces sous-traitants ne sont autorisés à utiliser les données que dans le cadre strict de la prestation fournie à BDEASY. Aucune vente de données à des fins publicitaires.

Article 5 — Transferts hors Union européenne

Certaines données sont traitées sur des serveurs situés aux États-Unis (Firebase, Stripe). Ces transferts sont encadrés par les clauses contractuelles types (CCT) adoptées par la Commission européenne, conformément à l'article 46 du RGPD. Les accords de traitement des données (DPA) conclus avec chaque sous-traitant sont disponibles sur demande.

BDEASY s'efforce de prioriser le stockage des données en région européenne (Firebase region europe-west1) chaque fois que c'est techniquement possible.

Article 6 — Vos droits

Conformément au RGPD, vous disposez des droits suivants :

Droit d'accès Obtenir une copie de vos données personnelles.

Droit de rectification Corriger des données inexactes ou incomplètes.

Droit à l'effacement Supprimer vos données dans les cas prévus par le RGPD.

Droit à la portabilité Recevoir vos données dans un format structuré et lisible.

Droit d'opposition Vous opposer à un traitement fondé sur l'intérêt légitime.

Droit à la limitation Suspendre temporairement un traitement.

Retrait du consentement Révoquer votre consentement à tout moment, sans rétroactivité.

Réclamation CNIL Déposer une plainte auprès de la CNIL (cnil.fr).

Comment exercer vos droits

Via le site marketing : adressez votre demande à contact@bdeasy.fr. Réponse sous 30 jours.

Via l'application mobile : contactez directement votre BDE (responsable de traitement) via la messagerie intégrée ou les paramètres de compte. Vous pouvez également nous contacter à contact@bdeasy.fr pour toute question technique.

Une pièce d'identité pourra être demandée pour vérifier votre identité avant de traiter votre demande.

Article 7 — Cookies et traceurs

7.1 Site marketing

Le site bdeasy.fr utilise Google Analytics 4 (identifiant : G-NSYTBXLTV5) à des fins de mesure d'audience. Ce service dépose des cookies de suivi qui nécessitent votre consentement préalable conformément à l'article 82 de la loi Informatique et Libertés et aux recommandations de la CNIL.

Un bandeau de gestion des cookies (tarteaucitron) est affiché lors de votre première visite. Vous pouvez à tout moment modifier vos préférences en cliquant sur le lien « Gestion des cookies » en bas de page.

En cas de refus, aucun cookie analytique n'est déposé et Google Analytics n'est pas activé. Seuls des cookies techniques essentiels (session, préférences de consentement) sont utilisés sans consentement (exemption CNIL).

Logs serveur : l'hébergeur (Vercel) peut conserver des métadonnées techniques (adresse IP, user-agent, timestamp) à des fins de sécurité et de débogage, conservées 13 mois maximum.

Mesure d'audience exemptée de consentement (CNIL). BDEASY utilise des outils d'analyse anonymisée qui ne déposent pas de cookies tiers publicitaires et ne permettent pas de vous identifier nominativement :

Microsoft Clarity en mode anonyme (heatmaps et enregistrements de session anonymisés, IP non stockée). Configuré avec consent=false : aucun cookie tiers, données limitées à la session courante. Aucun croisement avec d'autres services Microsoft. Conservation 1 an.
Vercel Web Analytics : mesure d'audience première-partie sans cookie ni fingerprint, agrégée à l'échelle du site. Aucune donnée individuelle conservée.
Journalisation interne (endpoint /api/lead-tracker, collection Firestore site_visits) : enregistre, pour chaque visite, des métadonnées techniques et comportementales sans identifiant nominatif :
- Réseau / organisation : organisation déduite par reverse DNS de l'IP (ex. « Université de Bordeaux », « Free SAS »), pays, ville, ISP, ASN — fournis par le sous-traitant ip-api.com.
- Identité technique : adresse IP hashée en SHA-256 avec un sel statique (l'IP brute n'est jamais persistée), user-agent, langue préférée du navigateur, fuseau horaire, taille de la fenêtre, type d'appareil (mobile / tablette / desktop), type de connexion (4G / Wi-Fi / autre), identifiant de session aléatoire (UUID v4) régénéré à chaque session, compteur de visites locales (1ère vs retour, stocké dans le localStorage de votre navigateur uniquement).
- Comportement : URL et titre de la page visitée, page de provenance (referrer), paramètres UTM, événements de navigation (clics sur les CTA Démo / Réserver un appel / Tarifs / Configurateur / mailto: / tel:, paliers de scroll 50 % / 75 % / 100 %, durée passée sur la page).
- Indicateurs dérivés : flag BDE candidat (heuristique basée sur le nom de l'organisation), flag campagne email (basé sur les paramètres UTM ou le referrer SES), flag bot probable (basé sur l'ASN, l'organisation, et le user-agent — les scanners de liens d'Outlook, Mimecast, Proofpoint sont filtrés).

Finalité. Identifier de manière anonymisée et agrégée les associations étudiantes (BDE) qui consultent le site, mesurer l'efficacité des campagnes d'email B2B, comprendre les parcours utilisateurs sur le site. À aucun moment ces données ne sont utilisées pour profiler une personne physique identifiée : elles sont consolidées au niveau de l'organisation (école, université, BDE).

Base légale. Intérêt légitime du responsable de traitement (article 6.1.f du RGPD) à mesurer l'audience de son site et à identifier des prospects B2B (associations étudiantes / écoles) susceptibles d'être intéressés par son offre, dans la limite stricte des conditions d'exemption de consentement définies par la CNIL pour la mesure d'audience : pas de croisement avec d'autres traitements, pas de transmission à des tiers commerciaux, anonymisation effective, droit d'opposition simple.

Conservation. 13 mois maximum (recommandation CNIL). Suppression manuelle possible sur demande.

Droit d'opposition. Vous pouvez exercer votre droit d'opposition à tout moment en écrivant à contact@bdeasy.fr en précisant l'organisation que vous représentez. Nous purgerons les entrées correspondantes sous 30 jours. Vous pouvez également bloquer le script de tracking en activant l'option « Do Not Track » de votre navigateur ou en utilisant une extension de blocage (uBlock Origin, Ghostery, Privacy Badger).

7.2 Application mobile

L'application n'utilise pas de cookies au sens strict (pas de navigateur). Firebase SDK peut conserver des données de session et des tokens localement sur l'appareil (AsyncStorage / SharedPreferences) pour maintenir la connexion. Ces données restent sur l'appareil et ne sont pas partagées avec des tiers publicitaires.

Article 8 — Sécurité des données

BDEASY et ses sous-traitants mettent en œuvre des mesures techniques et organisationnelles adaptées :

Chiffrement des données en transit (TLS 1.3) et au repos (AES-256 via Firebase).
Authentification forte pour les accès administrateurs (2FA obligatoire).
Règles de sécurité Firestore limitant l'accès aux seuls utilisateurs authentifiés et autorisés.
Journalisation des accès et alertes en cas d'activité anormale.
Mises à jour de sécurité appliquées régulièrement sur l'ensemble de l'infrastructure.

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, BDEASY notifiera la CNIL dans les 72 heures et informera les personnes concernées dans les meilleurs délais, conformément à l'article 33 du RGPD.

Article 9 — Mineurs

L'application mobile est déconseillée aux moins de 13 ans. Entre 13 et 15 ans, l'accord d'un représentant légal est requis. BDEASY ne collecte pas sciemment de données personnelles d'enfants de moins de 13 ans. Si une telle collecte était constatée, les données seraient supprimées dans les meilleurs délais.

Article 10 — Modifications de la politique

Cette politique peut être mise à jour pour refléter des évolutions légales, réglementaires ou fonctionnelles. La date de dernière mise à jour est indiquée en haut de ce document. En cas de modifications substantielles, les utilisateurs de l'application en seront informés par notification push ou e-mail au moins 15 jours avant l'entrée en vigueur.

Article 11 — Contact et réclamations

Pour toute question relative à cette politique ou à l'exercice de vos droits :
E-mail : contact@bdeasy.fr
Courrier : Thibaud LESCROART (Studio'IQ), Rue Dubourdieu, 33800 Bordeaux, France

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL :
Commission Nationale de l'Informatique et des Libertés
3 place de Fontenoy – TSA 80715 – 75334 Paris Cedex 07
www.cnil.fr