RGPD & protection des données
Dernière mise à jour : 18 mai 2026
Cette page complète notre politique de confidentialité en détaillant la conformité de Bourselo au Règlement Général sur la Protection des Données (Règlement UE 2016/679, dit RGPD) ainsi qu'à la Loi fédérale suisse sur la protection des données (LPD) applicable à l'éditeur du site, Infinity Aurora Sàrl, dont le siège est à Chambésy (Genève).
1. Principes appliqués
Bourselo est conçu en respectant les principes fondamentaux du RGPD :
- Licéité, loyauté et transparence — vos données ne sont collectées qu'avec votre consentement explicite et nous vous informons précisément de leur usage.
- Limitation des finalités — les données collectées ne servent qu'à ce qui est annoncé sur le formulaire (information projet, candidature pilote, suivi).
- Minimisation — nous ne demandons que les informations strictement utiles. Tous les champs « optionnels » peuvent être laissés vides.
- Exactitude — vous pouvez demander à corriger vos données à tout moment.
- Limitation de conservation — durée maximale de 3 ans après le dernier échange.
- Intégrité et confidentialité — connexion HTTPS, accès restreint, sauvegardes chiffrées.
- Responsabilité — Infinity Aurora Sàrl documente ses pratiques et tient un registre des traitements.
2. Registre des traitements
| Traitement | Finalité | Base légale | Durée |
|---|---|---|---|
| Inscription liste d'attente / candidature pilote | Suivi du projet, sélection des associations pilotes, communication produit | Consentement (Art. 6.1.a) | 3 ans après le dernier contact |
| Envoi d'emails projet | Informer les inscrits de l'avancement et des ouvertures | Consentement | Tant que l'inscription est active |
| Statistiques d'ouverture (Brevo) | Mesurer l'engagement, améliorer les messages | Intérêt légitime + transparence | 13 mois |
3. Sous-traitants et transferts
Bourselo s'appuie sur deux sous-traitants identifiés, choisis pour leur conformité européenne :
3.1 Brevo (Sib SAS)
- Rôle : hébergement des contacts, envoi d'emails, gestion de la liste pilote.
- Siège social : 7 rue de Madrid, 75008 Paris, France.
- Hébergement des données : Union européenne (centres OVHcloud certifiés ISO 27001).
- DPA : nous avons signé l'accord de sous-traitance proposé par Brevo, conforme aux articles 28 et 30 du RGPD.
- Plus d'infos : Politique de confidentialité Brevo.
3.2 Infomaniak Network SA
- Rôle : hébergement du site bourselo.fr.
- Siège social : Rue Eugène-Marziano 25, 1227 Les Acacias, Genève, Suisse.
- Hébergement des données : Suisse (pays bénéficiant d'une décision d'adéquation de la Commission européenne).
- Plus d'infos : Politique de confidentialité Infomaniak.
Aucun transfert de données vers un pays tiers hors UE ou hors Suisse n'est effectué.
4. Cookies et traceurs
Le site bourselo.fr n'utilise aucun cookie de suivi publicitaire, aucun tracker analytique externe (pas de Google Analytics, pas de Facebook Pixel) et aucun outil de profilage.
Aucun bandeau cookie n'est nécessaire car aucun cookie non essentiel n'est déposé sur votre navigateur.
5. Sécurité des données
- Chiffrement TLS 1.3 sur toutes les connexions (HTTPS forcé).
- Stockage Brevo chiffré au repos, conforme ISO 27001.
- Accès restreint : seules les personnes habilitées d'Infinity Aurora accèdent à la liste de contacts.
- Clé API protégée côté serveur, jamais exposée côté client.
- Honeypot anti-spam et limitation de débit pour prévenir les soumissions automatiques.
- Sauvegardes automatiques quotidiennes assurées par Brevo et Infomaniak.
6. Procédure en cas de violation de données
En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, Infinity Aurora s'engage à :
- Notifier le Préposé fédéral à la protection des données et à la transparence (PFPDT) en Suisse et/ou la CNIL en France selon le périmètre concerné, dans un délai maximum de 72 heures (Art. 33 RGPD).
- Vous notifier directement par email, dans les meilleurs délais, en décrivant la nature de la violation, les mesures prises et les éventuels risques.
- Consigner l'incident dans notre registre interne et mettre en place les correctifs nécessaires.
7. Comment exercer vos droits
Pour toute demande d'accès, rectification, suppression, portabilité, opposition ou retrait de consentement :
Email : bonjour@bourselo.fr
Objet suggéré : « Demande RGPD — [votre nom] »
Nous répondons dans un délai maximum de 30 jours (prolongeable de 2 mois en cas de demande complexe, avec information préalable).
8. Lien avec les autres documents
Cette page s'inscrit dans un ensemble cohérent :
- Mentions légales — identité de l'éditeur, hébergeur, propriété intellectuelle.
- Politique de confidentialité — détail des données collectées et de leurs usages.
- RGPD (présente page) — conformité européenne, sous-traitants, sécurité.
Bourselo est un projet jeune et nous prenons la protection de vos données très au sérieux. Si quelque chose vous interroge dans ce document, n'hésitez pas à nous écrire — nous répondons toujours.