Conformité RGPD site CECAAM

mise à jour 25 février 2024

Consentement

• Lors du 1er accès au site CECAAM, en même temps que la saisie d'un mot de passe personnalisé, le consentement de chaque membre pour le traitement des données le concernant est demandé

Accessibilité

• Chaque membre dispose d'un code d'accès personnel lui permettent de consulter, et éventuellement de modifier, toutes les données le concernant
• Chaque utilisateur peut, s'il le souhaite, activer un mécanisme d'authentification forte en 2 étapes.
• Les mots de passe des utilisateurs ne sont pas stockés en clair mais hachés et salés. Le principe du hachage est de stocker une empreinte du mot de passe, cette empreinte étant calculée à partir d'une fonction dont on ne connaît pas l'inverse : on ne sait pas retrouver le mot de passe à partir de son empreinte. Pour connecter l'utilisateur, on calcule l'empreinte du mot de passe saisi et on la compare à l'empreinte stockée. Ainsi, en cas de piratage de la base de données, les mots de passe ne sont pas accessibles à l'attaquant

Collecte

• La CECAAM s'engage à ne collecter que les informations dont elle a besoin pour tenir à jour l'annuaire des membres de la Compagnie et l’organisation d’évènements internes tels que formations et colloques.

Signalement CNIL

• La CECAAM s'engage à avertir sous 72h la CNIL en cas d'incident concernant les données personnelles de ses membres : piratage, …

Hébergement

• Toutes les données sont hébergées chez Azure Microsoft France, à Issy-les-Moulineaux.

• Les données sont sauvegardées de la manière suivante :
  • Sauvegarde de 14 jours glissants, avec un point de restauration à la minute près
  • Sauvegarde quotidienne conservée 1 an
  • Ceci signifie que nous pouvons retrouver toutes les données de AssoConnect :
    • À n’importe quel instant (à la minute près) dans les 30 derniers jours. Par exemple : mardi il y a 2 semaines, à 17h46
    • N’importe quel jour dans les 365 derniers jours. Par exemple : le 31 décembre de l’année dernière
  • Point important : La sauvegarde des données ne signifie pas que nous pouvons transmettre ces données sauvegardées à nos clients ! En effet, ces sauvegardes ont pour unique but d’assurer une restauration en cas de désastre technique, et pas de répondre à des demandes de restauration de données perdues suite à des manipulations de l’application.

• ASSOCONNECT s'engage à ne jamais communiquer nos données à un tiers à des fins commerciales.

• Propriété des données / Réversibilité : Nos données nous appartiennent. Si nous souhaitons nous désabonner, nous pouvons récupérer l'intégralité de notre base au format Excel.

Données bancaires

• Les flux financiers ne transitent à aucun moment par Assoconnect. Données bancaires et fonds sont stockés chez le partenaire ADYEN conforme à la norme PCI DSS 3.2 comme prestataire de niveau 1. Ceci est la principale norme de sécurité régissant le secteur des paiements au niveau mondial. ADYEN est sous le contrôle de la banque centrale des Pays-Bas et se conforme aux exigences de la directive européenne sur les services de paiement (Directive UE 2015/2366).
• Assoconnect active le système 3-D Secure sur l'ensemble des paiements sans seuil minimum. Ce système conçu par Visa et Mastercard a pour objectif de limiter la fraude en s'assurant à chaque paiement que la carte est utilisée par son véritable titulaire. Pour en savoir plus : https://fr.wikipedia.org/wiki/3-D_Secure

DPO

• DPO = Data Protection Officer = Délégué à la protection des données
• Désignation n°DPO-139384 du 08/11/2023 : Claude LELOUSTRE (voir pièce jointe)
• Guide pratique en pièce jointe