Date d'entrée en vigueur : 22 mai 2026
Bienvenue sur Chaperons&Co de l'APE La Source. Votre confidentialité est essentielle pour nous. Cette politique explique comment nous collectons, traitons et protégeons vos données conformément au Règlement Général sur la Protection des Données (RGPD).
Google est utilisé comme fournisseur d'identité fédérée à travers notre service d'authentification AWS Cognito (voir section 2.2), selon le protocole OAuth 2.0 (flux Authorization Code avec PKCE — RFC 7636).
Si l'utilisateur s'authentifie à notre application à travers Google, nous sollicitons les autorisations suivantes pour accéder à d'autres services de Google API :
Autorisations (https://www.googleapis.com) | Utilisation |
|---|---|
Autorisation (https://www.googleapis.com) /auth/userinfo.email | Utilisation Consultez l'adresse e-mail principale de votre compte Google |
Autorisation (https://www.googleapis.com) /auth/userinfo.profile | Utilisation Consultez vos informations personnelles, y compris toutes les informations personnelles que vous avez rendues publiques |
Autorisation (https://www.googleapis.com) openid | Utilisation Associez-vous à vos informations personnelles sur Google |
Cela nous permet de vous authentifier via Google, puis de partager vos coordonnées de contacte avec d'autres utilisateurs authentifiés à l'application. | |
Nous utilisons ces données uniquement à des fins fonctionnelles et pour mieux comprendre le comportement des utilisateurs en interne.
Vous pouvez désactiver les autorisations à tout moment en modifiant les paramètres de votre compte Google utilisé pour vous authentifier sur notre application.
Aucune donnée personnelle n'est partagée avec des tiers.
Que l'utilisateur crée un compte directement sur notre plateforme (avec e-mail et mot de passe) ou s'authentifie via Google, dans les deux cas c'est AWS Cognito (hébergé dans l'Union européenne) qui gère son identité et la session d'authentification.
Les attributs suivants sont collectés et stockés par AWS Cognito :
Attribut (AWS Cognito User Pool) | Description |
|---|---|
Attribut (AWS Cognito User Pool) given_name | Description Prénom de l'utilisateur, fourni à l'inscription |
Attribut (AWS Cognito User Pool) family_name | Description Nom de l'utilisateur, fourni à l'inscription |
Attribut (AWS Cognito User Pool) | Description Adresse e-mail, utilisée comme identifiant principal et pour les communications transactionnelles |
Attribut (AWS Cognito User Pool) phone_number | Description Numéro de téléphone, facultatif |
Attribut (AWS Cognito User Pool) password | Description Mot de passe (uniquement si inscription par e-mail) — haché par AWS Cognito et jamais stocké en clair |
Attribut (AWS Cognito User Pool) sub | Description Identifiant unique généré par AWS Cognito , utilisé en interne pour relier les ressources de l'application à l'utilisateur |
Ces données servent uniquement à authentifier l'utilisateur et à permettre aux familles authentifiées de communiquer entre elles dans le cadre de l'application. | |
Politique de mot de passe : minimum 8 caractères avec au moins une majuscule, une minuscule, un chiffre et un symbole. L'authentification multi-facteur (MFA) n'est actuellement pas activée.
Portées OAuth 2.0 émises par AWS Cognito à l'application (flux Authorization Code avec PKCE) : email, openid, profile, phone.
Vous pouvez à tout moment demander la modification de vos attributs ou la suppression de votre compte en écrivant à webmaster@apelasource.org.
Aucune donnée d'authentification n'est partagée avec des tiers en dehors du fournisseur d'infrastructure AWS, soumis à ses propres engagements RGPD.
Lorsqu'un parent crée une cagnotte pour recevoir des dons d'autres parents, nous utilisons Stripe Connect (compte Express). Stripe agit en tant que responsable de traitement distinct pour les données de vérification d'identité réglementaires (KYC / LCB-FT).
Les données suivantes sont fournies directement à Stripe via son formulaire hébergé d'onboarding. Elles ne transitent jamais par nos serveurs :
Les données suivantes sont stockées par notre application (base de données AWS DynamoDB hébergée dans l'Union européenne) afin de gérer le cycle de vie du compte :
acct_…)Stripe nous transmet les mises à jour de statut de vérification via des webhooks signés (account.updated), afin de tenir à jour l'état d'activation de votre cagnotte.
Responsable de traitement KYC : Stripe est responsable du traitement des données d'identification réglementaires. Consultez la Politique de confidentialité Stripe pour les détails.
Finalité : exécution du contrat (mise à disposition d'un compte de paiement) et respect de nos obligations légales en matière de lutte contre le blanchiment.
Conservation : tant que la cagnotte est active. La suppression de votre compte Stripe peut être demandée à tout moment, sous réserve des obligations légales de conservation applicables à Stripe.
Lorsqu'un parent contribue à une cagnotte existante, nous utilisons Stripe Checkout. Le paiement est traité selon le modèle des paiements à destination ("destination charges") : les fonds sont transférés directement au compte Stripe Connect du créateur de la cagnotte, déduction faite des éventuels frais de plateforme et de traitement.
Les données suivantes sont collectées et stockées par notre application pour chaque contribution :
Les données bancaires (numéro de carte, cryptogramme visuel, coordonnées SEPA) sont saisies par le contributeur directement sur la page de paiement hébergée par Stripe (conforme PCI-DSS Level 1). Aucune donnée bancaire n'est jamais transmise à nos serveurs ni stockée par notre application.
Stripe nous transmet l'évolution du statut de paiement via des webhooks signés : checkout.session.completed, checkout.session.expired, payment_intent.payment_failed, charge.refunded.
Aucune donnée bancaire conservée : les informations de paiement sont traitées exclusivement par Stripe, responsable de traitement distinct. Consultez la Politique de confidentialité Stripe.
Finalité : exécution de la transaction, transparence vis-à-vis du bénéficiaire (lorsque la contribution n'est pas anonyme) et traçabilité comptable.
Conservation : les données relatives aux contributions sont conservées pendant la durée légale applicable aux pièces comptables (10 ans en France).
Vous pouvez exercer vos droits d'accès, de rectification ou d'effacement (sous réserve des obligations comptables) en écrivant à webmaster@apelasource.org.
Notre application utilise des cookies HTTP et le stockage local
(localStorage) du navigateur. Par défaut, seuls les éléments strictement nécessaires au fonctionnement de l'application sont déposés. Les cookies à finalité analytique ne sont installés qu'après votre consentement explicite via la
bannière dédiée.
Strictement nécessaires (toujours actifs) :
localStorage.cookie_consent — mémorisation de
votre choix concernant la bannière de cookies (valeurs
possibles : yes, no, undecided).Analytiques (déposés uniquement si vous acceptez la bannière) :
ph_phc_*_posthog) —
identifiant anonyme de session permettant l'agrégation
des visites de pages (voir section 2.7).Lorsque vous contribuez à une cagnotte, la page de paiement hébergée par Stripe peut déposer ses propres cookies sur le domaine stripe.com. Ces cookies tiers sont régis par la politique de confidentialité de Stripe (voir section 2.4).
Modifier votre choix à tout moment : vous pouvez revenir sur votre décision concernant les cookies analytiques en effaçant l'entrée cookie_consent de votre stockage local — la bannière s'affichera à nouveau lors de votre prochaine visite.
Aucun cookie publicitaire, aucun cookie de pistage cross-site, aucun cookie tiers en dehors de Stripe lors d'un paiement.
Nous enregistrons les erreurs techniques afin de diagnostiquer les incidents et améliorer la fiabilité du service. Deux destinataires sont utilisés en parallèle :
eu-west-3, hébergé dans l'Union européenne) —
journalisation côté serveur dans le groupe /apelasource/gateway/errors.eu.i.posthog.com) — capture des erreurs côté
client (interface) et complément côté serveur.Données journalisées :
Sanitisation automatique des données personnelles : les adresses e-mail sont masquées (format xx***@domain), les mots de passe, jetons, numéros de carte et CVV sont automatiquement supprimés
des journaux. Les piles d'appel détaillées (stack traces) ne sont conservées
qu'en environnement de développement et jamais en production.
Finalité : intérêt légitime (RGPD Art. 6(1)(f)) — sécurité, débogage et fiabilité du service.
Conservation : selon les politiques de rétention configurées sur AWS CloudWatch et PostHog.
Nous utilisons PostHog (hébergé dans
l'Union européenne, eu.i.posthog.com) pour
comprendre de manière agrégée comment notre application est
utilisée.
État actuel à la date d'entrée en vigueur de cette politique : l'analyse repose uniquement sur la consultation de pages
(événement $pageview) et la journalisation des
erreurs (voir section 2.6). Aucune analyse comportementale fine n'est effectuée aujourd'hui.
Ce que nous ne faisons pas :
distinct_id) est
anonyme et n'est pas relié à votre compte AWS CognitoCe que nous capturons aujourd'hui : URL de la page consultée, horodatage, type de navigateur et d'appareil (anonymisés), identifiant de session PostHog anonyme.
Mode sans cookie en cas de refus : si vous refusez la bannière de consentement, PostHog fonctionne en mode
cookieless_mode — aucune persistance, aucune trace inter-pages.
Évolution future : nous nous réservons la possibilité d'ajouter à l'avenir des fonctionnalités d'analyse d'usage plus détaillées (par exemple, entonnoirs de conversion ou cartes de chaleur agrégées), sous réserve d'une mise à jour préalable de la présente politique et d'un nouveau recueil de votre consentement via la bannière dédiée.
Base légale : consentement explicite (RGPD Art. 6(1)(a) et ePrivacy Art. 5(3)) recueilli via la bannière de cookies.
Vous pouvez à tout moment retirer votre consentement depuis le pied de page de l'application.
Nous traitons vos données sur les bases légales suivantes :
En vertu du RGPD, vous disposez des droits suivants :
Pour exercer ces droits, contactez-nous à webmaster@apelasource.org.
Nous mettons en œuvre des protocoles de sécurité robustes pour protéger vos données, incluant chiffrement et contrôle d'accès restreint.
Version : 1.0 — Avril 2026
Réglementations applicables : RGPD (UE) 2016/679 • Règlement européen sur l'IA (UE) 2024/1689 • Directive ePrivacy 2002/58/CE
Le responsable du traitement de vos données personnelles dans le cadre de notre service de communication WhatsApp est :
Nous exploitons un groupe de discussion WhatsApp à travers lequel les utilisateurs peuvent interagir avec nos services. Ce canal de communication est alimenté par un assistant (agent) basé sur l'intelligence artificielle, capable de répondre à vos messages, de fournir des informations et de vous assister dans vos demandes.
Divulgation au titre du Règlement européen sur l'IA (Article 50) : Vous interagissez avec un système d'intelligence artificielle et non avec un être humain. L'agent IA est conçu pour vous assister, mais il s'agit d'un système automatisé. Vous pouvez à tout moment demander à être mis en relation avec un humain.
Notre communication WhatsApp est assurée via l'API Cloud WhatsApp Business de Meta, exploitée par :
Meta Platforms Ireland Limited
Merrion Road, Dublin 4, D04 X2K5, Irlande
Meta agit en tant que sous-traitant pour la livraison des messages WhatsApp en notre nom. Meta est certifié dans le cadre du Cadre de Protection des Données UE-États-Unis (DPF), qui constitue la base juridique pour tout transfert de données vers les États-Unis pouvant intervenir dans le cadre de l'infrastructure de messagerie.
Pour plus de détails sur le traitement des données par Meta, veuillez consulter :
https://www.whatsapp.com/legal/business-data-processing-terms
Lorsque vous interagissez avec nous via WhatsApp, les données personnelles suivantes peuvent être traitées :
Catégorie de données | Exemples | Source |
|---|---|---|
Catégorie de données Données de contact | Exemples Numéro de téléphone, nom d'affichage WhatsApp, photo de profil | Source Plateforme WhatsApp |
Catégorie de données Contenu des messages | Exemples Messages textuels, fichiers multimédias que vous envoyez | Source Vous (l'utilisateur) |
Catégorie de données Métadonnées | Exemples Horodatages, statut de livraison des messages, informations sur l'appareil | Source Plateforme WhatsApp |
Catégorie de données Données d'interaction | Exemples Questions posées, sujets abordés, préférences exprimées | Source Vos interactions avec l'agent IA |
Catégorie de données Identifiants techniques | Exemples Identifiant utilisateur WhatsApp, identifiant de fil de conversation | Source Plateforme WhatsApp |
Important : Les messages WhatsApp sont chiffrés de bout en bout entre votre appareil et le point d'accès de l'API Cloud WhatsApp Business. Cependant, une fois que les messages atteignent notre infrastructure serveur pour le traitement par l'IA, ils sont déchiffrés et traités conformément à la présente politique.
Vos messages sont traités par un assistant IA afin de générer des réponses. Le système IA fonctionne de la manière suivante :
Élément | Détail |
|---|---|
Élément Modèle IA | Détail Claude (développé par Anthropic) |
Élément Infrastructure d'hébergement | Détail Amazon Web Services (AWS) — service Bedrock |
Élément Orchestration | Détail AWS Strands Agents |
Élément Région de traitement des données | Détail eu-west-3 (Paris, France) |
Élément Entraînement du modèle | Détail Vos messages et conversations ne sont PAS utilisés pour entraîner ou améliorer les modèles d'IA |
Élément Accès direct par le fournisseur d'IA | Détail Anthropic n'a PAS d'accès direct à vos données. Le traitement s'effectue entièrement au sein de l'infrastructure AWS |
L'agent IA traite vos messages aux fins suivantes :
Conformément au Règlement européen sur l'Intelligence Artificielle (Règlement (UE) 2024/1689), nous vous informons que :
Notre agent IA fournit uniquement des réponses informatives et une assistance. Il ne prend pas de décisions automatisées produisant des effets juridiques ou vous affectant de manière significative de façon similaire. En cas de modification de cette pratique, nous mettrons à jour la présente politique et obtiendrons votre consentement explicite lorsque cela est requis.
Nous traitons vos données personnelles sur les bases juridiques suivantes au titre de l'Article 6(1) du RGPD :
Activité de traitement | Base juridique | Détails |
|---|---|---|
Activité de traitement Communication WhatsApp | Base juridique Art. 6(1)(a) — Consentement | Détails Vous initiez le contact et consentez à la communication via WhatsApp |
Activité de traitement Traitement IA des messages | Base juridique Art. 6(1)(a) — Consentement / Art. 6(1)(b) — Contrat | Détails Le traitement est nécessaire pour répondre à votre demande ou fournir notre service |
Activité de traitement Fonctionnement technique et sécurité | Base juridique Art. 6(1)(f) — Intérêt légitime | Détails Assurer la sécurité et le bon fonctionnement de nos systèmes |
Activité de traitement Conformité légale | Base juridique Art. 6(1)(c) — Obligation légale | Détails Respect des lois et réglementations applicables |
Les sous-traitants tiers suivants interviennent dans le traitement de vos données personnelles :
Sous-traitant | Rôle | Localisation | Garantie de transfert |
|---|---|---|---|
Sous-traitant Meta Platforms Ireland Ltd | Rôle Livraison des messages WhatsApp (API Cloud) | Localisation Irlande (UE) / États-Unis | Garantie de transfert Cadre de Protection des Données UE-États-Unis (DPF) |
Sous-traitant Amazon Web Services EMEA SARL | Rôle Hébergement cloud, hébergement du modèle IA (Bedrock), orchestration des agents (Strands) | Localisation UE — Paris (eu-west-3) | Garantie de transfert Données traitées dans la région UE ; DPA RGPD AWS |
Note : Anthropic (le développeur du modèle d'IA Claude) n'agit pas en tant que sous-traitant dans notre architecture. Le modèle Claude est accessible exclusivement via AWS Bedrock, et Anthropic n'a aucun accès à vos données.
Nous avons conclu des Accords de Traitement des Données (DPA) conformément à l'Article 28 du RGPD avec chacun des sous-traitants mentionnés ci-dessus. Ces accords garantissent la mise en place de mesures techniques et organisationnelles appropriées pour protéger vos données personnelles.
Type de données | Durée de conservation | Justification |
|---|---|---|
Type de données Journaux de conversation | Durée de conservation 90 jours | Justification Fourniture du service et assurance qualité |
Type de données Données de contact (numéro de téléphone) | Durée de conservation Jusqu'au retrait du consentement | Justification Communication continue |
Type de données Journaux de traitement IA | Durée de conservation 30 jours | Justification Débogage et surveillance des systèmes |
Type de données Registres de consentement | Durée de conservation 3 ans après le retrait | Justification Obligation légale de démontrer la conformité |
En vertu du RGPD, vous disposez des droits suivants concernant vos données personnelles :
Pour exercer l'un de ces droits, contactez-nous à : webmaster@apelasource.org
Nous répondrons à votre demande dans un délai de 30 jours.
En rejoignant notre groupe WhatsApp et en interagissant avec l'agent IA, vous consentez au traitement de vos données personnelles tel que décrit dans la présente politique. Avant votre première interaction, vous recevrez un message d'accueil identifiant clairement la nature artificielle de l'agent et contenant un lien vers la présente politique de confidentialité.
Vous pouvez retirer votre consentement et vous désinscrire à tout moment en :
Après le retrait de votre consentement, nous cesserons de traiter vos données à des fins de communication et supprimerons vos données conformément à notre politique de conservation, sauf si la conservation est requise par la loi.
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles, notamment :
Conformément aux principes de minimisation des données (Art. 5 RGPD) et au Règlement européen sur l'IA, nous avons mis en place les mesures de protection suivantes pour le traitement par l'IA :
Vous avez le droit d'introduire une réclamation auprès d'une autorité de contrôle si vous estimez que le traitement de vos données personnelles constitue une violation du RGPD.
L'autorité de contrôle compétente pour notre organisation est :
Commission Nationale de l'Informatique et des Libertés (CNIL)
3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, France
https://www.cnil.fr
Pour toute question relative à la confidentialité, contactez-nous à webmaster@apelasource.org.
Nous pouvons mettre à jour cette politique de confidentialité de temps à autre. En cas de modifications substantielles, nous vous en informerons via le groupe de discussion WhatsApp et/ou sur notre site internet. La date de la dernière révision est indiquée ci-dessous.
Dernière mise à jour : Mai 2026
En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies purement fonctionnels pour vous garantir une meilleure expérience d'utilisation. Les statistiques anonymes recueillis sont utilisées pour détecter les erreurs lorsqu'elles se produisent. Aucune donnée n'est partagée avec un tiers.Accepter les cookiesRefuser les cookies