RGPD & vie privée
Politique de confidentialité
Préambule
L'AVNC s'engage à protéger la vie privée des utilisateurs de son site et des adhérents. La présente politique détaille les données collectées, leurs finalités, leur base légale, leur durée de conservation et vos droits, conformément au Règlement Général sur la Protection des Données (UE) 2016/679 (« RGPD »).
Responsable du traitement
Amicale Vietnamienne de Nouvelle-Calédonie (AVNC), association loi 1901, foyer Nhà Việt Nam à Nouméa. Contact RGPD : avnc.contact@gmail.com — secrétariat ouvert du lundi au vendredi, 8h30 à 12h00.
Données collectées
Identité (civilité, prénom, nom, date de naissance), coordonnées (email, téléphone, adresse, code postal, ville, quartier), composition familiale pour les adhésions famille (conjoint et enfants -12 ans), parrains éventuels, informations de paiement (montant, mode, n° de reçu), historique d'adhésions, réservations de salle et achats de billets. Aucune donnée sensible (santé, opinions, etc.) n'est collectée.
Base légale (Art. 6 RGPD)
Adhésion et cotisation : exécution du contrat associatif (Art. 6.1.b). Réservations de salle et billetterie : exécution du contrat (Art. 6.1.b). Obligations comptables (reçus, registre de caisse) : obligation légale (Art. 6.1.c). Communications transactionnelles (confirmations, reçus) : intérêt légitime (Art. 6.1.f). Pour les enfants -12 ans, le consentement du représentant légal est recueilli au formulaire (Art. 8 RGPD).
Finalités du traitement
Gestion administrative des adhésions et renouvellements ; gestion des réservations de salles ; gestion de la billetterie d'événements ; suivi comptable (recettes, dépenses, reçus) ; communications transactionnelles (confirmations, reçus, rappels de renouvellement) ; tenue d'un registre des consentements et d'un journal d'audit (preuve RGPD).
Durées de conservation
Demande d'adhésion en attente : 30 jours puis purge automatique de la PII chiffrée. Adhésions validées + transactions financières : 10 ans (obligation légale comptable). Réservations + billetterie : 5 ans. Données du profil : jusqu'à demande de suppression. Journaux d'audit applicatifs : 1 an. Logs Cloudflare : 3 jours par défaut. Sessions admin : 15 minutes (rotation de jeton automatique).
Vos droits (Art. 15-22 RGPD)
Vous disposez d'un droit d'accès (Art. 15), de rectification (Art. 16), d'effacement (Art. 17), de limitation (Art. 18), de portabilité (Art. 20) et d'opposition (Art. 21). Pour exercer ces droits, écrivez à avnc.contact@gmail.com avec un justificatif d'identité ; nous répondons sous 30 jours. Voir aussi la page /rgpd pour les détails. Vous pouvez également déposer une réclamation auprès de la CNIL (cnil.fr).
Sous-traitants
Supabase (Frankfurt, Allemagne) : authentification + **toutes les données personnelles** (identité, contact, famille, parrains, infos acheteurs billetterie), sous DPA et clauses contractuelles types. Cloudflare Workers + D1 + Turnstile : hébergement applicatif et anti-robot ; D1 est strictement pseudonymisé et ne contient aucune donnée nominative — sous Data Processing Addendum (cloudflare.com/cloudflare-customer-dpa). Resend (UE) : envoi des emails transactionnels, sous DPA.
Transferts hors UE
Cloudflare D1 réplique des références techniques (UUIDs, montants, références événements — aucune PII) sur son réseau global. Aucune donnée nominative n'est transférée hors UE : la PII réside exclusivement sur Supabase Frankfurt. En cas de fuite D1 isolée, aucune réidentification n'est techniquement possible. Les transferts encadrés par les clauses contractuelles types de la Commission européenne.
Mesures de sécurité (Art. 32 RGPD)
Chiffrement TLS 1.3 en transit, HSTS, CSP stricte. Chiffrement AES-256-GCM des données personnelles des demandes en attente. Authentification forte (JWT signés, rotation), contrôle d'accès par rôle (admin / bureau / secrétariat / comptable), Row-Level Security côté Supabase, journalisation des opérations sensibles. Anti-bot Turnstile sur les formulaires publics. Limitation de débit applicative.
Violations de données (Art. 33-34 RGPD)
En cas de violation susceptible d'engendrer un risque pour vos droits et libertés, l'AVNC notifie la CNIL dans les 72 heures et vous informe directement si le risque est élevé. Notre procédure interne d'incident est documentée et testée.
Cookies
Le site utilise uniquement des cookies techniques strictement nécessaires à son fonctionnement (préférence de langue, état d'interface). Aucun cookie publicitaire, analytique ou de suivi tiers. Aucune bannière de consentement n'est requise.