Politique de confidentialité
Comment la Confédération traite les données personnelles.
Dernière mise à jour : à compléter — version 0.1 (brouillon).
1. Responsable du traitement
Le responsable du traitement de vos données personnelles est la Confédération Universelle Maçonnique (« Confédération HH »).
Raison sociale exacte, forme juridique, numéro SIREN/RNA et adresse postale : à compléter. Site : confederationhh.org.
Délégué à la protection des données (DPO)
Pour toute question ou pour exercer vos droits, contactez notre DPO : coordonnées à compléter (par exemple dpo@confederationhh.org).
2. Finalités et bases légales
Nous traitons vos données pour les finalités suivantes, chacune fondée sur une base légale du RGPD :
| Finalité | Base légale |
|---|---|
| Gérer votre compte et votre adhésion (profil, affiliation à une loge) | Exécution du contrat d'adhésion (Art. 6(1)(b)) — à confirmer |
| Vous permettre d'échanger via la messagerie interne et d'accéder aux contenus | Exécution du contrat / intérêt légitime (Art. 6(1)(b) ou 6(1)(f)) |
| Assurer la sécurité, la traçabilité et lutter contre les abus | Intérêt légitime (Art. 6(1)(f)) et obligation légale (Art. 6(1)(c)) |
| Répondre à vos demandes d'exercice de droits | Obligation légale (Art. 6(1)(c)) |
Intérêt légitime poursuivi (Art. 6(1)(f)) : garantir la sécurité du système, la traçabilité des accès et la prévention des abus (anti-bot).
3. Données sensibles : votre appartenance maçonnique (Article 9)
Votre affiliation à une loge révèle votre appartenance maçonnique, qui constitue une donnée de catégorie particulière (donnée « sensible ») au sens de l'article 9 du RGPD.
La base légale de ce traitement reste à trancher par un juriste, parmi les options suivantes :
- Option A (Art. 9(2)(d)) : le traitement est effectué dans le cadre des activités légitimes d'un organisme à but non lucratif à finalité philosophique et se rapporte exclusivement à nos membres ou anciens membres ; vos données d'appartenance ne sont pas communiquées en dehors de la Confédération sans votre consentement.
- Option B (Art. 9(2)(a)) : vous donnez votre consentement explicite au traitement de votre appartenance maçonnique et pouvez le retirer à tout moment, ce retrait entraînant la suppression de la donnée concernée.
Garanties spécifiques appliquées à ces données sensibles
- Hébergement en France (Union européenne) : vos données sont stockées dans des centres de données situés à Paris.
- Chiffrement des données, avec des clés de chiffrement détenues par la Confédération (et non par le seul hébergeur).
- Confidentialité par conception : votre photo de profil n'est accessible que via un lien temporaire, sécurisé et soumis à autorisation ; aucune liste des membres n'est consultable publiquement.
- Accès strictement limité aux personnes habilitées et journal d'audit des accès.
- Aucune communication externe de votre appartenance sans base légale.
4. Quelles données traitons-nous ?
Selon votre usage du site, nous traitons les catégories de données suivantes :
- Compte : adresse email, mot de passe (stocké de façon sécurisée et irréversible avec Argon2id — nous ne connaissons jamais votre mot de passe en clair) et informations de profil.
- Avatar : votre photographie, si vous en téléversez une (les métadonnées techniques, dont une éventuelle géolocalisation, sont automatiquement supprimées de l'image).
- Affiliation : votre ou vos loges de rattachement (donnée sensible, Art. 9 — voir la section 3).
- Messagerie privée : contenu et métadonnées de vos échanges internes.
- Contenus : articles et événements auxquels vous participez.
- Sécurité : données de connexion, sessions et signaux anti-bot (voir la section 9).
5. Qui a accès à vos données ? Hébergeur et sous-traitants
Vos données sont accessibles aux personnes habilitées de la Confédération et à nos sous-traitants, qui agissent sur nos instructions :
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| OVH SAS (Roubaix, France) | Hébergement (serveurs et stockage des fichiers) | France / UE — Paris |
| Dalgis Kest | Développement et maintenance du site | Union européenne — à compléter |
| Cloudflare (Turnstile) | Protection anti-robot des formulaires | À compléter (localisation / transfert) |
Chaque sous-traitant est lié par un accord de traitement des données (DPA) conforme à l'article 28 du RGPD. Vos données sont conservées dans l'Union européenne (Paris).
6. Vos données quittent-elles l'Union européenne ?
En principe, non : vos données sont stockées et traitées en France (Paris). Des opérations exceptionnelles de maintenance ou de sécurité pourraient impliquer un accès à distance depuis un pays hors Union européenne ; ces transferts sont alors encadrés par les Clauses Contractuelles Types de la Commission européenne (Décision UE 2021/914) conclues avec notre hébergeur. Notre hébergeur est une société française et n'inclut aucune société américaine dans son groupe d'entités susceptibles d'accéder aux données. Une copie de ces garanties peut être obtenue auprès du DPO.
7. Combien de temps conservons-nous vos données ?
| Donnée | Durée |
|---|---|
| Compte et données d'adhésion | Pendant la durée de votre adhésion |
| Après une demande de suppression | Suppression définitive sous 30 jours |
| Journal de sécurité (audit) | 730 jours (environ 2 ans) |
| Sessions de connexion | Jusqu'à leur expiration |
| Messagerie et contenus | À compléter |
8. Quels sont vos droits ?
Conformément au RGPD, vous disposez des droits suivants, que vous pouvez exercer auprès du DPO :
- Droit d'accès (Art. 15) : obtenir une copie de vos données — nous fournissons un export au format JSON.
- Droit de rectification (Art. 16) : corriger des données inexactes.
- Droit à l'effacement (Art. 17) : supprimer vos données ; la suppression, y compris de votre avatar, est effective sous 30 jours.
- Droit à la portabilité (Art. 20) : récupérer vos données dans un format structuré et lisible par machine (JSON).
- Droit à la limitation du traitement (Art. 18).
- Droit d'opposition (Art. 21).
- Retrait du consentement à tout moment, si le traitement de votre appartenance repose sur votre consentement (Art. 7 / Art. 9(2)(a)) — sans effet rétroactif.
Délai de réponse : un mois, prolongeable de deux mois en cas de complexité.
Réclamation : vous pouvez à tout moment saisir la CNIL — Commission Nationale de l'Informatique et des Libertés, 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr.
9. Cookies et protection anti-robot
- Cookies de session : strictement nécessaires au fonctionnement du site (vous maintenir connecté) ; ils ne nécessitent pas de consentement.
- Cloudflare Turnstile : lors de l'inscription, un dispositif anti-robot vérifie que vous n'êtes pas un programme automatisé ; il peut traiter des signaux techniques de votre navigateur et votre adresse IP. Précisions sur les données transmises à Cloudflare : à compléter.
- Aucun cookie de mesure d'audience ou tiers n'est utilisé par défaut ; tout ajout futur ferait l'objet d'un recueil de consentement.
10. La fourniture de vos données est-elle obligatoire ?
- Email, mot de passe et affiliation sont nécessaires à la création et à la gestion de votre compte membre ; sans ces données, l'adhésion et l'accès aux services membres ne peuvent être assurés.
- L'avatar est facultatif : son absence n'a aucune conséquence sur votre adhésion.
- Le caractère obligatoire ou facultatif des autres champs reste à préciser.
11. Décision automatisée et profilage
Aucune décision produisant des effets juridiques ou vous affectant de manière significative n'est prise de façon exclusivement automatisée, et aucun profilage n'est réalisé. Le dispositif anti-robot sert uniquement à distinguer un humain d'un programme et ne constitue pas une décision automatisée au sens de l'article 22 du RGPD.
12. Origine de vos données (Article 14)
Vos données sont collectées directement auprès de vous (inscription, gestion de votre compte, téléversement de votre avatar) ; l'article 13 du RGPD s'applique. Nous ne collectons pas vos données auprès de tiers.
13. Modifications
Cette politique peut évoluer. Toute modification substantielle vous sera notifiée. La date de dernière mise à jour figure en tête de cette page.