Communities 26

Document légal

Politique de confidentialité

Comment Communities 26 collecte, utilise et protège tes données personnelles, conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés.

Dernière mise à jour : 4 mai 2026

01.Qui sommes-nous ?

Communities 26 SAS (« Communities 26 », « nous ») est l'éditeur de la plateforme communities26.com et le responsable du traitement de la majorité des données décrites dans la présente politique.

Notre engagement : on collecte le minimum, on conserve le moins longtemps possible, on ne revend rien, et on est joignable.

02.Deux casquettes : responsable et sous-traitant

Sur la plateforme, on porte deux casquettes RGPD distinctes selon les données :

Responsable de traitement

Pour les comptes des administrateurs de tenants, les logs techniques de la plateforme, les données de facturation et la communication commerciale autour de Communities 26 — c'est nous qui décidons des finalités et des moyens du traitement.

Sous-traitant (article 28 du RGPD)

Pour les données des membres des tenants (annuaires, événements, gazette, etc.), c'est le tenant qui est responsable de traitement et nous qui sommes sous-traitant — strictement encadré par notre Accord de Sous-traitance (DPA).

03.Quelles données collectons-nous ?

En tant que responsable de traitement, nous collectons :

Compte administrateur tenant

  • Nom, prénom, email professionnel, mot de passe (haché, jamais en clair).
  • Rôle dans le tenant, date de création du compte, dernière connexion.

Facturation

  • Raison sociale du tenant, adresse de facturation, numéro de TVA.
  • Méthode de paiement (token Stripe — nous ne stockons jamais le numéro de carte).
  • Historique des factures, montants, dates de paiement.

Données techniques

  • Adresse IP de connexion, type de navigateur, type d'appareil, locale.
  • Logs applicatifs (actions sensibles, erreurs).
  • Cookies strictement nécessaires (session, anti-CSRF).

04.Pourquoi traitons-nous tes données ?

  • Te fournir le service auquel tu as souscrit (gestion de ton tenant, accès à l'espace administrateur).
  • Traiter tes paiements et émettre tes factures.
  • Assurer la sécurité de la plateforme (détection de fraudes, prévention d'intrusions).
  • T'envoyer les communications nécessaires à l'exécution du contrat (factures, notifications de service, mises à jour de CGU).
  • Avec ton consentement, t'envoyer notre newsletter ou nos communications commerciales (désinscription en un clic).
  • Respecter nos obligations comptables et légales.

05.Sur quelles bases légales ?

  • Exécution du contrat (CGU / CGV) : compte administrateur, gestion du tenant, facturation.
  • Intérêt légitime : sécurité, prévention de la fraude, statistiques anonymisées.
  • Consentement : newsletter, témoignages, communications marketing facultatives.
  • Obligation légale : conservation des factures (10 ans), réponses aux réquisitions légitimes.

06.Combien de temps conservons-nous tes données ?

  • Compte administrateur actif : pendant toute la durée du contrat.
  • Compte administrateur inactif (résiliation) : 30 jours d'export, puis suppression dans les 90 jours sauf obligation légale.
  • Données de facturation : 10 ans (obligation légale).
  • Logs techniques : 12 mois maximum.
  • Données de prospection commerciale : 3 ans après le dernier contact.
  • Cookies : la durée précisée dans la politique cookies.

07.Avec qui partageons-nous tes données ?

Tes données ne sont accessibles qu'aux personnes qui ont besoin d'y accéder dans le cadre de leurs missions, et à nos sous-traitants techniques, strictement encadrés par contrat (DPA).

Liste de nos sous-traitants ultérieurs

  • Stripe Payments Europe Ltd (Irlande) — paiements en ligne.
  • Mailjet SAS (France) — envoi des emails transactionnels et newsletters.
  • Railway, Inc. (États-Unis) — hébergement applicatif staging.
  • Scaleway SAS (France) — hébergement de production.
  • Cloudflare, Inc. (États-Unis) — CDN, anti-DDoS, R2 (stockage objets).
  • Functional Software, Inc. dba Sentry (États-Unis) — supervision des erreurs.
  • MinIO Inc. (États-Unis) — stockage de fichiers (alternatif).

Nous ne revendons aucune donnée. Nous ne partageons pas tes données avec des plateformes publicitaires.

08.Transferts hors Union européenne

Certains de nos sous-traitants ont leur siège ou des serveurs situés hors de l'Union européenne (notamment aux États-Unis). Ces transferts sont encadrés par les Clauses Contractuelles Types (« CCT ») de la Commission européenne, complétées de mesures de sécurité supplémentaires (chiffrement au repos et en transit, restrictions d'accès), conformément à la jurisprudence Schrems II. À valider par avocat

09.Tes droits

Conformément au RGPD et à la loi Informatique et Libertés, tu disposes des droits suivants sur tes données :

  • Droit d'accès : obtenir une copie des données que nous détenons sur toi.
  • Droit de rectification : corriger une information inexacte.
  • Droit à l'effacement (« droit à l'oubli ») : demander la suppression de tes données, dans les limites légales.
  • Droit à la portabilité : récupérer tes données dans un format structuré et lisible par machine.
  • Droit d'opposition : t'opposer à un traitement reposant sur l'intérêt légitime ou la prospection.
  • Droit de limitation : suspendre temporairement un traitement.
  • Droit de retirer ton consentement à tout moment, sans que cela affecte la licéité des traitements antérieurs.
  • Droit de définir des directives anticipées sur le sort de tes données après ton décès.

Pour exercer ces droits, écris à privacy@communities26.com en précisant ta demande et en joignant un justificatif d'identité si nécessaire. Nous te répondons sous un délai maximum d'un mois (prolongeable de 2 mois pour les demandes complexes, avec information préalable).

Si tu estimes que tes droits ne sont pas respectés, tu peux introduire une réclamation auprès de la CNIL (cnil.fr / 3 place de Fontenoy, 75007 Paris).

10.DPO et référent données

Nous avons désigné un référent données joignable à privacy@communities26.com. À mesure de notre croissance, ce rôle pourra évoluer en DPO formellement déclaré à la CNIL. À valider par avocat

11.Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles adaptées :

  • Chiffrement des données en transit (TLS 1.3) et au repos (AES-256).
  • Mots de passe hachés (Argon2id) — nous ne pouvons pas voir ton mot de passe.
  • Authentification 2FA disponible sur les comptes administrateurs.
  • Cloisonnement strict des données entre tenants (Row-Level Security PostgreSQL).
  • Sauvegardes quotidiennes chiffrées, conservées 30 jours.
  • Audits de sécurité réguliers et programme de divulgation responsable (security@communities26.com).

12.Cookies

Le détail de l'utilisation des cookies est précisé dans notre politique cookies.

13.Modifications de la politique

Cette politique peut évoluer. La date de dernière mise à jour figure en haut. Toute modification substantielle te sera notifiée par email au moins 30 jours avant son entrée en vigueur.

14.Contact

Pour toute question relative à tes données personnelles : privacy@communities26.com.