Politique de confidentialité
Cette politique s'applique à tous les utilisateurs du service Stagey (plateforme web et application mobile). Elle est rédigée conformément au Règlement (UE) 2016/679 (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée (loi Informatique et Libertés).
Responsable du traitement
STAGEY — 100 rue de Lille, Tourcoing
Email de contact
SIRET
93193480600015
Contact droits RGPD
Les données signalées par un astérisque (*) correspondent aux informations strictement nécessaires à la fourniture du service. Leur absence peut empêcher l'accès à certaines fonctionnalités ou à la plateforme.
Les autres données sont facultatives et reposent sur le choix de l'utilisateur.
1. Responsable du traitement
L’association exploitant la plateforme Stagey (ci-après « Stagey », « nous ») est responsable du traitement de vos données personnelles au sens de l'article 4(7) du RGPD.
| Champ | Information |
|---|---|
| Raison sociale | STAGEY |
| Adresse | 100 rue de Lille, 59200 Tourcoing |
| Email de contact | [email protected] |
| SIRET | 93193480600015 |
Données & finalités
2. Données personnelles collectées
Stagey collecte uniquement les données strictement nécessaires à la fourniture du service. Voici les catégories de données traitées selon les fonctionnalités utilisées :
2.1 Données d'identité et de contact
- Nom, prénom, adresse e-mail*
- Photo de profil (traitée sur la base de votre consentement, facultative et modifiable à tout moment)
- Pseudonyme (hashtag de profil)*
2.2 Données de profil professionnel
- Ville, domaine d'activité, établissement scolaire, niveau d'études
- Compétences (soft skills), centres d'intérêt, langues pratiquées
- Expériences professionnelles (titre, entreprise, dates, description)
- URLs de réseaux sociaux (LinkedIn, GitHub, Instagram, etc.)
- Biographie
2.3 Candidatures
- CV et lettre de motivation (fichiers uploadés) — selon le choix de l'entreprise
- Réponses aux formulaires personnalisés des entreprises — selon le choix de l'entreprise
2.4 Données financières (Stripe)
Données collectées uniquement en cas de don effectué par l’utilisateur.
- E-mail et nom du donateur*
- Montant et type de don ou d'abonnement*
- Identifiants de paiement Stripe (les données de carte ne transitent jamais sur nos serveurs)*
2.5 Données techniques et de sécurité
- Données de connexion et de navigation (requêtes HTTP, adresse IP) traitées via des services de sécurité et de performance*
- Identifiant appareil mobile, système d'exploitation, version de l'application*
- Journaux d'événements de sécurité (connexion, déconnexion, tentatives échouées)*
- Token de notification push (Expo)*
2.6 Données de messagerie et de contenu
Stagey permet aux utilisateurs d’échanger via une messagerie interne et de publier du contenu sur la plateforme.
Dans ce cadre, les données suivantes peuvent être traitées :
- Contenu des messages privés, pièces jointes et réactions*
- Publications dans le fil d'actualité, commentaires et réactions*
- Signalements et blocages d'autres utilisateurs*
Ces données sont nécessaires au fonctionnement du service, à la mise en relation entre utilisateurs et à la modération des échanges.
Accès aux données de messagerie
L’accès aux messages privés est strictement limité :
- Aux utilisateurs participant à la conversation
- À un nombre restreint de membres habilités de l’équipe Stagey, uniquement en cas de nécessité (support utilisateur, traitement d’un signalement, prévention d’un comportement abusif ou sécurisation de la plateforme)
Ces accès sont :
- limités aux seules personnes ayant besoin d’y accéder dans le cadre de leurs fonctions
- encadrés par des obligations de confidentialité
- réalisés de manière proportionnée et ponctuelle
Aucun accès aux messages n’est effectué à des fins commerciales ou publicitaires.
Encadrement des contenus
Certains contenus échangés ou publiés (notamment via pièces jointes ou champs libres) peuvent contenir des données personnelles supplémentaires.
Les utilisateurs sont responsables des informations qu’ils choisissent de partager et sont invités à limiter la communication aux données strictement nécessaires.
2.7 Données relatives aux conventions de stage
- Fichier PDF de convention (données stagiaire et entreprise)*
- Ces données sont soumises à la durée de conservation légale applicable
3. Finalités et bases légales des traitements
Conformément à l'article 13 du RGPD, chaque traitement repose sur une base légale identifiée :
| Finalité | Données concernées | Base légale | Durée de conservation |
|---|---|---|---|
| Inscription et authentification | Email, nom, mot de passe (chiffré), IP, Navigateur | Exécution du contrat | Durée du compte + 1 jour |
| Fourniture du service (profil, CV, candidatures) | Identité, profil pro, CV, expériences | Consentement | Jusqu’à leur suppression manuelle par l’utilisateur ou la clôture du compte. |
| Messagerie interne (envoi et réception) | Contenu des messages, pièces jointes | Exécution du contrat | Durée du compte + 1 jour (suppression ou anonymisation progressive) |
| Modération et sécurisation des échanges | Messages, signalements | Intérêt légitime | Durée nécessaire à l’instruction |
| Convention de stage | Fichier PDF convention | Intérêt légitime | Durée du compte + 1 jour |
| Sécurité et lutte contre la fraude | IP, UA, événements de connexion | Intérêt légitime | 90 jours (logs), 30 jours (IP) |
| Débogage application mobile | Logs d’erreurs filtrés (sans données sensibles) | Intérêt légitime | 30 jours |
| Notifications push | Token Expo, contenu limité des notifications | Consentement | Jusqu’au retrait du consentement |
| Support et contact | Nom, email, message | Exécution du contrat / Intérêt légitime | 1 an |
| Demande de création d’espace entreprise | Nom, adresse, SIRET, domaine | Exécution du contrat | Durée du compte entreprise + 1 jour |
| Signalements / modération | ID rapporteur, ID cible, description | Intérêt légitime | Durée nécessaire à l’instruction |
4. Destinataires de vos données
Stagey ne vend jamais vos données personnelles. Certains sous-traitants techniques ont accès à tout ou partie de vos données dans le cadre strict de leur mission :
| Sous-traitant | Pays | Données transmises | Garanties |
|---|---|---|---|
| Stripe | États-Unis | Email, nom, montants, IDs paiement | Standard Contractual Clauses (SCC) |
| Fournisseur SMTP (Google Mail) | États-Unis | Emails transactionnels | DPA Google Cloud |
| Expo (notifications push) | États-Unis | Token appareil | DPA Expo |
| Mapbox | États-Unis | Requêtes cartographiques | DPA Mapbox |
| Cloudflare Turnstile | États-Unis | Empreinte navigateur (anti-bot formulaire contact) | Intérêt légitime documenté |
| Cloudflare | États-Unis | Adresse IP, requêtes HTTP, données techniques de navigation | Standard Contractual Clauses (SCC) |
| INSEE (API publique) | France | Numéro SIRET (vérification) | Organisme public français |
Cloudflare est utilisé comme prestataire de sécurité et de performance (réseau de diffusion de contenu – CDN), notamment pour la protection contre les attaques et l’optimisation du trafic.
6. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous n'êtes pas seulement un utilisateur, vous êtes le seul propriétaire de vos données. Stagey s'engage à garantir l'exercice effectif des droits suivants :
| Droit | Description | Comment l’exercer |
|---|---|---|
| Accès (art. 15) | Obtenir une copie de toutes vos données | Demande à [email protected] |
| Rectification (art. 16) | Corriger des données inexactes | Modification directe dans le profil ou demande à [email protected] |
| Effacement (art. 17) | Supprimer votre compte et vos données | Paramètres > Supprimer mon compte (délai 7 jours) |
| Limitation (art. 18) | Suspendre un traitement contesté | Demande à [email protected] |
| Portabilité (art. 20) | Recevoir vos données dans un format structuré | Demande à [email protected] |
| Opposition (art. 21) | S'opposer aux traitements sur intérêt légitime | Demande à [email protected] |
| Retrait du consentement | Retirer tout consentement donné | Paramètres > Notifications ou panneau cookies |
Comment exercer vos droits ?
Aucune procédure complexe n'est requise. Il vous suffit d'envoyer un e-mail à [email protected] en précisant l'objet de votre demande. Une réponse vous sera adressée dans un délai maximum de 30 jours. Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez adresser une réclamation à la CNIL (www.cnil.fr).
7. Sécurité de vos données
7.1 Mesures techniques de sécurité
- Hachage robuste des mots de passe selon les standards de l'industrie.
- Chiffrement des flux de données entre l'utilisateur et les serveurs.
- Protection contre les tentatives d'accès frauduleuses et le "force brute".
- Contrôle et filtrage systématique des fichiers uploadés (CV, documents).
- Révocation possible de toutes les sessions actives sur demande
- Délai de grâce de 8 jours avant suppression définitive du compte
7.2 Contrôle des accès
- Seules les personnes habilitées au sein de Stagey peuvent accéder aux données
- Ces accès sont limités en fonction des besoins liés aux fonctions exercées (principe de moindre privilège)
- Les accès aux systèmes et bases de données sont sécurisés et restreints
- Des mécanismes de journalisation permettent de tracer les accès techniques et d’identifier d’éventuels usages anormaux.
7.3 Sécurité spécifique à la messagerie
- L’accès aux messages est limité aux utilisateurs concernés et, en cas de nécessité, à un nombre restreint de personnes habilitées
- Les accès internes sont réalisés uniquement pour des besoins précis (support, modération, sécurité)
Les communications entre l’application et les serveurs sont chiffrées.
À ce jour, les messages ne font pas encore l’objet d’un chiffrement systématique au repos. Des améliorations sont en cours afin de renforcer la protection des contenus échangés.
7.4 Notifications et services tiers
Dans le cadre des notifications push, certaines informations limitées (ex : aperçu de message) peuvent transiter par des prestataires techniques (ex : Expo).
Ces prestataires sont sélectionnés avec attention et encadrés par des garanties appropriées, notamment en matière de transfert de données hors Union européenne.
7.5 Protection de l’infrastructure
Stagey utilise des services spécialisés afin de renforcer la sécurité de son infrastructure et de prévenir les attaques (notamment de type DDoS ou tentatives d’intrusion).
Ces services peuvent traiter certaines données techniques, telles que l’adresse IP et les requêtes réseau, dans le seul but d’assurer la sécurité, la disponibilité et la performance du service.
8. Durées de conservation
Les données sont conservées le temps strictement nécessaire aux finalités pour lesquelles elles ont été collectées, puis supprimées ou anonymisées. Les principales durées sont récapitulées à la section 3.
À la suppression du compte, les données suivantes sont effacées dans un délai de 7 jours :
- Profil, photo de profil, bannière
- CV, expériences, données professionnelles
- Messages, candidatures, publications
- Tokens de session et d'authentification
Certaines données peuvent être conservées au-delà de ce délai pour respecter des obligations légales ou dans le cadre de procédures contentieuses.
9. Protection des mineurs
Stagey est un service destiné en priorité aux étudiants et jeunes professionnels. Si vous avez connaissance qu'un mineur de moins de 15 ans a créé un compte sans le consentement d'un titulaire de l'autorité parentale, contactez-nous à [email protected] afin que nous puissions procéder à la suppression du compte.
10. Modifications de la présente politique
Nous nous réservons le droit de modifier cette politique à tout moment.
La date de mise à jour figure en haut de cette page. L'utilisation continue du service après notification vaut acceptation de la nouvelle version.
11. Contact et réclamations
| Canal | Coordonnées |
|---|---|
| E-mail privacy | [email protected] |
| Adresse postale | 100 rue de Lille, 59200 Tourcoing |
| CNIL (autorité de contrôle) | www.cnil.fr – 3 place de Fontenoy, 75007 Paris |
Toute réclamation peut également être adressée directement à la CNIL, autorité de contrôle compétente pour la France, notamment si vous estimez que vos droits n'ont pas été respectés.