HORN Teddy (Président - non désigné DPO car pas d'obligation légale en dessous de 250 salariés)
Ce registre liste l'ensemble des activités de traitement de données à caractère personnel mises en œuvre par l'association Dynamyk Océan Indien dans le cadre de la gestion du Dynamyk Océan Indien via l'application.
Traitement n°1 - Gestion des adhésions et de l'annuaire interne
Finalité
Gérer les adhésions du comité, tenir à jour l'annuaire des membres, faciliter la communication entre membres.
Base légale (art. 6 RGPD)
Exécution du contrat d'adhésion (art. 6.1.b) et intérêt légitime pour la tenue de l'annuaire interne (art. 6.1.f).
Personnes concernées
Adhérents du comité (Titré(e), Staff, Bénévole, Partenaire, Candidat(e), Admin).
Catégories de données
Identité (nom, prénom, date de naissance), coordonnées (email, téléphone, adresse), titre/rôle, photo de profil facultative, mot de passe haché.
Données sensibles
Aucune.
Durée de conservation
Tant que la personne est membre + 3 ans après la fin d'adhésion (archivage relationnel).
Destinataires internes
Administrateurs du comité ; autres membres pour les infos publiques de l'annuaire (nom, titre).
Destinataires externes
Hébergeur Hostinger (UE - Lituanie).
Transferts hors UE
Aucun.
Mesures de sécurité
HTTPS forcé, bcrypt pour les mots de passe, rate limit login, protection CSRF + anti session-fixation, contrôle d'accès par rôle.
Traitement n°2 - Organisation des événements & pointages
Finalité
Organiser les événements du comité (galas, concours, répétitions), recueillir les réponses des membres (RSVP), tracer la présence via QR code.
Base légale
Intérêt légitime (art. 6.1.f) et exécution du contrat d'adhésion.
Personnes concernées
Adhérents invités à chaque événement.
Catégories de données
ID membre, réponse (présent/absent/en attente), horodatage de pointage, rôle assigné à l'événement.
Durée de conservation
3 ans après l'événement.
Destinataires
Administrateurs, organisateurs désignés de chaque événement.
Mesures de sécurité
Contrôles de visibilité côté serveur (chaque membre ne voit que les événements auxquels il est invité), tokens signés pour le pointage QR.
Traitement n°3 - Gestion comptable et financière
Finalité
Suivi des cotisations, dépenses, sponsors et justificatifs de l'association (obligation comptable).
Base légale
Obligation légale comptable (art. 6.1.c - Code de commerce, Loi 1901).
Personnes concernées
Adhérents (cotisations), fournisseurs (dépenses).
Catégories de données
ID membre, date, montant, libellé, catégorie, justificatif PDF/image.
Durée de conservation
10 ans à compter de la clôture de l'exercice comptable (obligation légale). Anonymisation automatique (member_id passé à NULL avec horodatage) si le compte est supprimé avant ce délai.
Destinataires
Admins du comité uniquement, commissaire aux comptes le cas échéant, administration fiscale sur requête.
Mesures de sécurité
Accès strictement admin-only, traçabilité des anonymisations (colonne anonymized_at).
Traitement n°4 - Photos et vidéos (galerie interne)
Finalité
Conserver et partager les photos/vidéos prises lors des événements entre les membres du comité.
Base légale
Consentement explicite (art. 6.1.a) - droit à l'image.
Personnes concernées
Adhérents apparaissant sur les supports visuels.
Catégories de données
Images et vidéos numériques, nom des personnes identifiables, événement source, date.
Durée de conservation
Indéfinie tant que la personne a donné son consentement ET est membre du comité. Retrait à la 1ère demande.
Destinataires
Membres connectés à l'application uniquement. Aucune diffusion externe (réseaux sociaux, site public).
Mesures de sécurité
Galerie derrière authentification, consentement opt-in tracé (colonne photo_consent + photo_consent_at), possibilité de retrait à tout moment depuis Mon Profil.
Traitement n°5 - Documents administratifs et signatures
Finalité
Échange, stockage et signature électronique de documents administratifs (règlement intérieur, contrats, attestations, pièces d'identité…).
Base légale
Exécution du contrat, obligation légale (justificatifs).
Personnes concernées
Adhérents concernés par le document.
Catégories de données
Fichiers uploadés (PDF, images, documents bureautique), métadonnées de signature (hash SHA-256, IP, user-agent, date), contenu des signatures.
Durée de conservation
Variable selon le document (généralement 5 à 10 ans pour les pièces engageantes) ; suppression automatique après expires_days pour les documents de communication courante.
Contrôle d'accès par ownership (seul le destinataire ou l'admin voit le document)
Hachage d'intégrité SHA-256 à la signature
Journal d'audit des consultations (qui, quand, quoi) - 13 mois
Traitement n°6 - Notifications push sur appareil
Finalité
Notifier les membres des nouveautés (événements, mailings, privilèges, etc.) sur leurs appareils connectés.
Base légale
Consentement (art. 6.1.a) - activation manuelle par le membre.
Personnes concernées
Adhérents ayant activé les notifications.
Catégories de données
Endpoint d'abonnement push (URL), clés publiques p256dh/auth, user-agent de l'appareil, préférences granulaires par type de notification.
Durée de conservation
Tant que l'abonnement est actif. Nettoyage automatique des abonnements invalidés (410 Gone).
Destinataires
Le navigateur/OS du membre. Transit via services push natifs (Google FCM, Apple APNs, Mozilla autopush).
Transferts hors UE
Possible via les services push des navigateurs (Google US, Apple US). Chiffrement de bout-en-bout (AES-128-GCM) garanti par le protocole Web Push - les services de transit ne peuvent pas lire le contenu.
Mesures de sécurité
Chiffrement VAPID + AES-128-GCM, révocation à la désactivation.
Traitement n°7 - Communication par email (mailing)
Finalité
Diffuser des messages collectifs (convocations, newsletters, rappels, attributions de partenariats) aux membres.
Base légale
Exécution du contrat d'adhésion et intérêt légitime.
Personnes concernées
Adhérents destinataires des envois.
Catégories de données
Email destinataire, contenu du message, sujet, horodatage d'envoi, nom de l'expéditeur admin.
Durée de conservation
Historique des envois : 3 ans.
Destinataires
Google Workspace (SMTP) pour le routage de l'email.
Transferts hors UE
Les emails peuvent transiter par l'infrastructure Google (US). Encadrés par les clauses contractuelles types + Data Privacy Framework UE-US.
Mesures de sécurité
SMTP sur TLS, DKIM/SPF/DMARC configurés sur le domaine expéditeur.
Traitement n°8 - Offres partenaires et QR-code privilèges
Finalité
Gestion des offres commerciales des partenaires du comité, validation en caisse via QR code unique.
Base légale
Intérêt légitime du partenaire (validation fiable des bénéficiaires) et du comité (suivi statistique).
Personnes concernées
Adhérents utilisant les offres ; partenaires émettant les offres.
Catégories de données
ID membre, ID offre, horodatage d'utilisation, ID partenaire valideur.
Durée de conservation
Jusqu'à suppression de l'offre ; tokens QR : expiration courte (quelques minutes par usage).
Destinataires
Admin, partenaire émetteur de l'offre, membre utilisateur.
Traitement n°9 - Journalisation sécurité
Finalité
Détecter et prévenir les attaques (brute-force, IDOR, XSS, CSRF, etc.), limiter les abus, produire des preuves en cas d'incident.
Base légale
Intérêt légitime (art. 6.1.f - sécurité des traitements).
Personnes concernées
Toute personne se connectant ou tentant de se connecter à l'application.
Catégories de données
Adresse IP, user-agent, horodatage des tentatives, action tentée.
Durée de conservation
1 an maximum pour les logs ; tentatives de login ratées effacées sous 15 min à 24 h selon contexte.
Destinataires
Admins et, en cas d'incident grave, autorités judiciaires sur réquisition.
Transmission de notifications push vers l'appareil final.
Variable (US principalement)
Protocole Web Push standardisé avec chiffrement E2E
Modalités d'exercice des droits des personnes
Conformément aux articles 15 à 22 du RGPD, toute personne concernée peut exercer ses droits par email à contact@missmisteroi.com ou par courrier à l'adresse du siège social.
Droit d'accès (art. 15) - consultable dans l'onglet Mon Profil ou téléchargeable au format ZIP (JSON + HTML).
Droit de rectification (art. 16) - modifiable dans Mon Profil.
Droit à l'effacement (art. 17) - bouton « Supprimer mon compte » avec cascade ; anonymisation des écritures comptables conservées 10 ans.
Droit à la portabilité (art. 20) - export JSON/HTML disponible dans Mon Profil.
Droit d'opposition (art. 21) - via Mon Profil (notifications, photos) ou par email.
Droit de limitation (art. 18) - sur demande écrite.
Délai de réponse : maximum 30 jours (art. 12.3 RGPD), prolongeable de deux mois en cas de demande complexe avec notification motivée.
Procédure en cas de violation de données (art. 33-34)
En cas de constatation d'une violation de données à caractère personnel :
Documentation immédiate de l'incident (date, nature, personnes concernées, conséquences possibles).
Communication aux personnes concernées si la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés.
Mesures correctives (patch, révocation de tokens, révocation d'accès compromis).
Mises à jour de ce registre
Ce registre est mis à jour à chaque modification substantielle des traitements, notamment :
Ajout ou suppression d'un traitement ou d'un sous-traitant.
Modification de la finalité ou de la base légale d'un traitement existant.
Changement de durée de conservation.
Nouvelle mesure de sécurité technique ou organisationnelle significative.
L'historique des versions est conservé. La version actuelle est visible en en-tête du document.
Fait à Le Tampon, le 24 avril 2026
Signataire : HORN Teddy, Président de l'association Dynamyk Océan Indien Document interne - à mettre à jour au minimum annuellement et à chaque évolution des traitements.