Politique de confidentialité : CartoGroov


Dernière mise à jour : 03 juillet 2026

La présente politique de confidentialité décrit la manière dont l'Université du Nous traite les données à caractère personnel dans le cadre de la plateforme de gouvernance CartoGroov (ci-après « la Plateforme »), accessible à l'adresse https://gouv.universite-du-nous.org.

Elle fait partie intégrante des Conditions Générales de Vente (CGV) et des Conditions Générales d'Utilisation (CGU) de la Plateforme.

L'Université du Nous intervient à deux titres distincts :

  • en tant que responsable de traitement, pour les données liées à la relation commerciale, à la gestion des comptes et à la navigation sur le site (Partie I) ;
  • en tant que sous-traitant, au sens de l'article 28 du RGPD, pour les données à caractère personnel que le client dépose et traite au sein de la Plateforme, et dont il demeure responsable de traitement (Partie II).

Partie I : L'Université du Nous responsable de traitement

Article 1 : Responsable du traitement

Le responsable du traitement est :

  • Université du Nous, SCIC SAS à capital variable
  • 395 route de Broissieux, 73340 Bellecombe-en-Bauges
  • Contact pour toute question relative aux données personnelles : rgpd@universite-du-nous.org

L'Université du Nous désigné un délégué à la protection des données (DPO) : le rôle outils numérique. Le point de contact pour toute question relative aux données est technique@universite-du-nous.org.


Article 2 : Données collectées et finalités

Dans le cadre de la relation commerciale et de la fourniture du service, l'Université du Nous collecte et traite les catégories de données suivantes :

Finalité Données concernées Base légale
Gestion du compte et accès à la Plateforme Nom, adresse email, identifiants de connexion, éventuel avatar Exécution du contrat
Souscription, facturation et comptabilité Nom, coordonnées, informations de la structure cliente, données de facturation Exécution du contrat et obligation légale
Support et relation client Coordonnées, échanges et demandes d'assistance Intérêt légitime
Prospection commerciale Coordonnées professionnelles Intérêt légitime (clients) ou consentement (prospects)
Sécurité et bon fonctionnement du service Journaux de connexion, adresses IP Intérêt légitime et obligation légale

L'authentification à la Plateforme s'effectue par identifiant (adresse email) et mot de passe, ce dernier étant stocké sous forme hachée (bcrypt). La Plateforme ne recourt pas à un fournisseur d'identité tiers.

Aucune fonctionnalité d'intelligence artificielle ne traite actuellement les données de la Plateforme.


Article 3 : Bases légales

Les traitements reposent, selon les cas, sur :

  • l'exécution du contrat (fourniture du service, gestion du compte, facturation) ;
  • le respect d'une obligation légale (conservation des factures, obligations comptables et fiscales) ;
  • l'intérêt légitime de l'Université du Nous (sécurité du service, prévention des abus, relation et prospection auprès de clients existants) ;
  • le consentement de la personne concernée (prospection de prospects par voie électronique).

Lorsque le traitement repose sur le consentement, la personne peut le retirer à tout moment, sans que cela remette en cause la licéité des traitements antérieurs.


Article 4 : Destinataires et sous-traitants ultérieurs

Les données ne sont ni vendues, ni cédées, ni louées à des tiers.

Elles sont accessibles aux personnes habilitées de l'Université du Nous, et peuvent être communiquées aux prestataires techniques strictement nécessaires au fonctionnement du service, agissant en qualité de sous-traitants :

Prestataire Rôle Localisation
OVHcloud SAS Hébergement de la Plateforme et stockage des sauvegardes France (UE)
SMTP2GO Ltd Envoi des emails transactionnels Infrastructure UE ; société néo-zélandaise (voir article 5)
Crisp IM SAS Chat de support intégré France (UE)
Functional Software Inc. (Sentry) Suivi des erreurs applicatives Union européenne — région Francfort (voir article 5)

La supervision technique de l'infrastructure (Beszel, Uptime Kuma) est auto-hébergée par l'Université du Nous et ne fait intervenir aucun tiers.

La Plateforme n'utilise aucun service de mesure d'audience ni traceur publicitaire tiers.

Le cas échéant, la connexion d'un agenda externe (Google Agenda, Outlook), à la seule initiative de l'utilisateur, implique un partage de données avec le fournisseur concerné, dans les conditions de l'article 5.

Chaque sous-traitant est encadré par un contrat conforme à l'article 28 du RGPD.


Article 5 : Transferts hors de l'Union européenne

Les données sont hébergées dans l'Union européenne (France). Certains sous-traitants font l'objet d'un encadrement spécifique :

  • SMTP2GO : société néo-zélandaise. La Nouvelle-Zélande bénéficie d'une décision d'adéquation de la Commission européenne, qui autorise le transfert de données sans garanties supplémentaires. L'infrastructure d'envoi utilisée est par ailleurs située dans l'Union européenne.
  • Sentry : la région de stockage retenue est l'Union européenne (Francfort). L'éditeur est en outre certifié au titre du Data Privacy Framework UE–États-Unis et propose des clauses contractuelles types, encadrant les éventuels traitements résiduels de métadonnées d'exploitation aux États-Unis.
  • Agenda externe (le cas échéant) : la connexion optionnelle d'un agenda Google, à l'initiative de l'utilisateur, implique un transfert vers Google (États-Unis), encadré par le Data Privacy Framework.

Article 6 : Durées de conservation

Les données sont conservées pour une durée n'excédant pas celle nécessaire aux finalités poursuivies :

  • Données de compte et de la relation contractuelle : pendant toute la durée du contrat, puis jusqu'à 3 ans à des fins de prospection à compter de la fin de la relation ;
  • Documents comptables et factures : 10 ans, conformément aux obligations légales ;
  • Prospects (non clients) : 3 ans à compter du dernier contact ;
  • Journaux de connexion (serveur) : 14 jours ;
  • Sauvegardes : 7 jours pour les sauvegardes locales, environ 6 mois pour les sauvegardes chiffrées hors-site.

Article 7 : Cookies et traceurs

La Plateforme ne dépose aucun cookie publicitaire ni traceur de mesure d'audience.

L'authentification repose sur un jeton (JWT) conservé dans le stockage local (localStorage) du navigateur, strictement nécessaire au fonctionnement du service et, à ce titre, exempté de consentement. Le serveur journalise les accès (adresse IP) à des fins de sécurité, dans les conditions de l'article 6.

 


Article 8 : Droits des personnes

Conformément au RGPD et à la loi Informatique et Libertés, toute personne concernée dispose des droits suivants : droit d'accès, de rectification, d'effacement, de limitation, d'opposition, de portabilité, ainsi que du droit de définir des directives relatives au sort de ses données après son décès.

Ces droits peuvent être exercés en écrivant à rgpd@universite-du-nous.org. Une réponse est apportée dans un délai d'un mois.

Lorsque les données sont traitées par l'Université du Nous en qualité de sous-traitant (Partie II), les demandes d'exercice de droits sont, le cas échéant, transmises au client responsable de traitement.

Toute personne peut également introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL), 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr.


Article 9 : Sécurité

L'Université du Nous met en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données contre la destruction, la perte, l'altération ou l'accès non autorisé, conformément à l'article 32 du RGPD : chiffrement des accès (HTTPS), mots de passe hachés (bcrypt), gestion des habilitations, sauvegardes régulières chiffrées et conservées hors-site, supervision de l'infrastructure et application des mises à jour de sécurité.


Partie II : L'Université du Nous sous-traitant (article 28 du RGPD)

Article 10 : Objet et rôle de sous-traitant

Pour les données à caractère personnel que le client et ses utilisateurs déposent au sein de la Plateforme (membres, cercles, rôles, tensions, décisions, etc.), le client est responsable de traitement et l'Université du Nous agit en qualité de sous-traitant, pour le compte et sur instructions du client.

La présente partie précise les engagements de l'Université du Nous à ce titre, conformément à l'article 28 du RGPD. Elle peut être complétée, à la demande du client, par un accord de sous-traitance dédié.


Article 11 : Nature, finalités et catégories de données

  • Nature et finalité du traitement : hébergement et mise à disposition d'un outil de cartographie et de pilotage de la gouvernance, pour le compte du client.
  • Durée : durée de l'abonnement, augmentée du délai d'export de 30 jours prévu aux CGV et CGU.
  • Catégories de personnes concernées : membres, salariés, bénévoles, collaborateurs ou toute personne référencée par le client dans la Plateforme.
  • Catégories de données : données d'identification et de contact (nom, adresse email), données relatives aux rôles et à la participation à la gouvernance. Le client s'engage à ne pas déposer de données sensibles au sens de l'article 9 du RGPD sans base légale appropriée.

Les finalités et les moyens essentiels du traitement sont déterminés par le client.


Article 12 : Engagements de l'Université du Nous

En qualité de sous-traitant, l'Université du Nous s'engage à :

  • ne traiter les données que sur instructions documentées du client, et pour les seules finalités du service ;
  • garantir la confidentialité des données et veiller à ce que les personnes autorisées à les traiter s'y engagent ;
  • mettre en œuvre les mesures de sécurité appropriées (article 32 du RGPD) ;
  • n'avoir recours à des sous-traitants ultérieurs (article 13) qu'après information du client, qui peut s'y opposer pour un motif légitime ;
  • assister le client dans la réponse aux demandes d'exercice de droits des personnes concernées ;
  • aider le client à respecter ses obligations de sécurité, de notification de violation et d'analyse d'impact ;
  • notifier au client toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance ;
  • au choix du client et en fin de prestation, restituer ou supprimer les données, conformément au délai d'export prévu aux CGV et CGU ;
  • mettre à disposition du client les informations nécessaires pour démontrer le respect de ces obligations et permettre la réalisation d'audits dans des conditions raisonnables.

Article 13 : Sous-traitants ultérieurs

Pour l'exécution du service, l'Université du Nous a recours aux sous-traitants ultérieurs suivants :

Sous-traitant Rôle Localisation
OVHcloud SAS Hébergement et sauvegardes (Gravelines) France (UE)
SMTP2GO Ltd Emails transactionnels Infrastructure UE ; société néo-zélandaise (adéquation)
Crisp IM SAS Chat de support France (UE)
Functional Software Inc. (Sentry) Suivi des erreurs applicatives Union européenne — région Francfort

Toute modification de cette liste est portée à la connaissance du client, qui dispose d'un délai raisonnable pour s'y opposer pour un motif légitime.


Article 14 : Localisation et transferts

Les données de la Plateforme sont hébergées dans l'Union européenne, sur l'infrastructure d'OVHcloud en France (hébergement à Roubaix, sauvegardes chiffrées à Gravelines), conformément à la démarche de souveraineté numérique de l'Université du Nous.

Les éventuels transferts liés aux sous-traitants ultérieurs sont encadrés dans les conditions de l'article 5.


Partie III : Dispositions communes

Article 15 : Modification de la politique

La présente politique de confidentialité peut être mise à jour pour tenir compte d'évolutions légales, techniques ou organisationnelles. La version applicable est celle en vigueur à la date de consultation. Toute modification substantielle est portée à la connaissance des personnes concernées.


Article 16 : Contact

Pour toute question relative à la présente politique ou à l'exercice de vos droits : technique@universite-du-nous.org