Politique de confidentialité
Comment Terrilink collecte, utilise et protège les données personnelles, conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés.
1. Préambule et qualité de Terrilink
La présente politique décrit la manière dont Thibault Sabathier, entrepreneur individuel exerçant sous le nom commercial Terrilink (ci-après "Terrilink"), traite les données personnelles dans le cadre de son activité.
Terrilink agit selon deux qualités distinctes :
- Responsable de traitement pour les données collectées dans le cadre de la prospection commerciale, du site marketing terrilink.io et de la relation contractuelle avec ses clients (écoles, associations, organisations).
- Sous-traitant au sens de l'article 28 du RGPD pour les données traitées dans la plateforme Terrilink pour le compte d'une organisation cliente. Dans ce cas, le responsable de traitement est l'organisation elle-même (école, association, communauté), qui détermine les finalités et les moyens du traitement. Le contrat de sous-traitance correspondant est l'Accord de Traitement de Données (DPA).
2. Données collectées
Selon le contexte, Terrilink collecte les catégories de données suivantes :
2.1 Données de compte et de profil
- Données d'identification : nom, prénom, adresse email, photo de profil (facultative)
- Données professionnelles : entreprise, poste, secteur, localisation, école/promotion d'origine
- Données de contact additionnelles fournies par l'utilisateur : LinkedIn, téléphone, biographie
- Identifiants techniques de compte : mot de passe (haché bcrypt), jetons de session JWT
2.2 Contenus publiés
- Messages, publications dans le fil d'actualité, commentaires
- Réponses aux enquêtes (notamment enquêtes d'insertion CGE/CTI)
- Annonces de mentorat, d'événement, d'hébergement, d'emploi
- Pièces jointes (CV, photos d'événement, etc.)
2.3 Données techniques et de navigation
- Logs de connexion : adresse IP, date et heure, agent utilisateur, type de navigateur
- Logs applicatifs et journaux d'erreur (Sentry) : pour le diagnostic technique et la sécurité
- Cookies et stockage local : voir section 8
2.4 Données de paiement
Pour les organisations clientes : données de facturation et de paiement par carte. Les données de carte bancaire sont collectées et stockées directement par Stripe ; elles ne transitent jamais par les serveurs Terrilink.
3. Finalités et bases légales
| Finalité | Base légale (RGPD) |
|---|---|
| Fourniture du service de plateforme aux utilisateurs invités par leur organisation | Exécution du contrat (art. 6.1.b) |
| Gestion de la relation client et facturation des organisations | Exécution du contrat (art. 6.1.b) |
| Sécurité du service, prévention de la fraude, journalisation | Intérêt légitime (art. 6.1.f) |
| Amélioration produit et statistiques agrégées | Intérêt légitime (art. 6.1.f) |
| Prospection commerciale auprès de prospects B2B (organisations) | Intérêt légitime (art. 6.1.f), avec droit d'opposition |
| Cookies non essentiels (analytics, publicité) | Consentement (art. 6.1.a) |
| Réponse aux obligations légales (comptabilité, autorité de contrôle) | Obligation légale (art. 6.1.c) |
4. Durées de conservation
| Catégorie | Durée de conservation |
|---|---|
| Données de compte utilisateur actif | Pendant toute la durée de la relation contractuelle entre l'organisation cliente et Terrilink |
| Données après résiliation de l'organisation cliente | 30 jours d'accès en lecture pour export (réversibilité), puis purge définitive |
| Données de facturation et comptables | 10 ans (obligation légale) |
| Logs techniques applicatifs | 12 mois maximum |
| Sauvegardes techniques chiffrées | 14 jours sur stockage local + sauvegardes hebdomadaires en région UE pour 30 jours |
| Données de prospection B2B | 3 ans à compter du dernier contact |
| Cookies de mesure d'audience (Google Analytics) | 13 mois maximum |
5. Destinataires et sous-traitants
Les données personnelles sont accessibles aux seules personnes autorisées par Terrilink, dans le cadre de leurs missions opérationnelles. Terrilink fait appel aux sous-traitants suivants pour la fourniture du service :
| Sous-traitant | Localisation | Finalité | Garanties |
|---|---|---|---|
| OVHcloud SAS | Roubaix, France 🇫🇷 | Hébergement principal de la plateforme | DPA OVHcloud, hébergement en France |
| Stripe Payments Europe Ltd | Dublin, Irlande 🇮🇪 | Traitement des paiements | DPA Stripe, certification PCI-DSS niveau 1 |
| Backblaze Inc. | Région B2 EU Central, Pays-Bas 🇳🇱 | Sauvegardes chiffrées de la base de données | DPA Backblaze, données stockées en UE |
| Brevo (Sendinblue SA) | Paris, France 🇫🇷 | Envoi d'emails transactionnels | DPA Brevo signé |
| Sentry (Functional Software Inc.) | Région UE (.ingest.de.sentry.io) | Monitoring et journalisation des erreurs applicatives | Configuration région UE, pas de transfert hors UE pour les données utilisateurs finaux |
| hCaptcha (Intuition Machines Inc.) | États-Unis 🇺🇸 | Protection anti-bot lors d'actions sensibles | Clauses Contractuelles Types européennes ; données techniques uniquement |
| Google Analytics (Google Ireland Ltd) | Irlande 🇮🇪 | Mesure d'audience anonymisée du site marketing | IP anonymisée, configuration conforme aux recommandations CNIL |
6. Transferts hors Union européenne
Les données personnelles des utilisateurs finaux de la plateforme sont, par défaut, hébergées et traitées dans l'Union européenne (principalement en France chez OVHcloud).
Lorsqu'un sous-traitant est établi hors UE (notamment hCaptcha aux États-Unis), Terrilink veille à ce que des Clauses Contractuelles Types (CCT) adoptées par la Commission européenne couvrent le transfert et que des mesures supplémentaires soient mises en place lorsque l'analyse de risque (jurisprudence Schrems II) le requiert. Les données transmises à hCaptcha sont strictement techniques (signaux comportementaux anti-bot) et n'incluent pas le contenu du compte utilisateur.
7. Droits des personnes concernées
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès : obtenir confirmation que des données vous concernant sont traitées et obtenir une copie
- Droit de rectification : faire corriger des données inexactes ou incomplètes
- Droit à l'effacement ("droit à l'oubli") : faire supprimer vos données dans les conditions prévues par le RGPD
- Droit à la limitation du traitement : faire suspendre temporairement le traitement
- Droit à la portabilité : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine
- Droit d'opposition : vous opposer au traitement de vos données pour motif légitime, et notamment à toute prospection commerciale
- Droit de retirer votre consentement à tout moment (lorsque le traitement est fondé sur le consentement)
- Droit de définir des directives relatives au sort de vos données après votre décès
Pour exercer ces droits, vous pouvez :
- écrire à thibault@terrilink.io en précisant votre demande et en justifiant de votre identité ;
- ou contacter directement votre organisation (école, association, communauté) lorsque celle-ci est responsable de traitement.
Terrilink s'engage à répondre à toute demande dans un délai d'un mois maximum, prorogeable de deux mois en cas de demande complexe (article 12 RGPD).
8. Cookies et traceurs
Le site terrilink.io utilise les cookies et traceurs suivants :
| Cookie / traceur | Finalité | Durée | Catégorie |
|---|---|---|---|
| Cookie de session Terrilink | Maintien de la session après authentification (JWT httpOnly) | 7 jours | Strictement nécessaire |
| Préférence de langue | Mémoriser la langue choisie | 1 an | Strictement nécessaire |
| Google Analytics (_ga, _ga_*) | Mesure d'audience anonymisée | 13 mois max | Mesure d'audience (consentement) |
| hCaptcha | Protection anti-bot | Session | Strictement nécessaire |
Les cookies strictement nécessaires au fonctionnement du service sont déposés sans consentement, conformément aux exceptions prévues par la directive ePrivacy. Les autres cookies sont déposés après recueil du consentement de l'utilisateur, recueilli au premier accès au site.
Vous pouvez à tout moment modifier vos préférences cookies depuis les paramètres de votre navigateur ou en nous contactant.
9. Sécurité
Terrilink met en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données personnelles, notamment :
- Chiffrement TLS 1.2+ pour tout transit de données vers et depuis la plateforme
- Mots de passe utilisateurs hachés (bcrypt)
- Sauvegardes chiffrées en transit et en région UE
- Séparation stricte des environnements de développement, recette et production
- Journalisation des accès et monitoring continu
- Tests réguliers de restauration des sauvegardes
Le détail complet des mesures techniques et organisationnelles applicables aux clients B2B figure en Annexe 3 de l'Accord de Traitement de Données (DPA).
10. Délégué à la protection des données
Pour toute question relative à la protection de vos données personnelles, vous pouvez contacter le point de contact RGPD de Terrilink :
- Email : thibault@terrilink.io
- Courrier : Terrilink — Données personnelles, 1 rue Didier Daurat, 31700 Cornebarrieu, France
11. Autorité de contrôle
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- Adresse : 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
- Site web : cnil.fr/fr/plaintes
12. Évolution de la politique
La présente politique peut être mise à jour pour refléter des évolutions légales ou techniques. La date de dernière mise à jour est indiquée en haut et en bas de la page. Les utilisateurs sont informés des modifications substantielles par email ou par notification sur la plateforme.
Dernière mise à jour : 03/05/2026