Politique de confidentialité

1. Responsable du traitement

BUBAPP (Auto-entrepreneur)
SIRET : 101 473 510 00010
17 rue Marcelin Jourdan, 33200 Bordeaux, France
Contact DPO / données personnelles : bubapp.contact@gmail.com

2. Données collectées et traitements

GeReMS effectue deux types de traitements distincts :

2.1 Site vitrine (gerems.fr)

Données collectées	Finalité	Base légale	Durée de conservation
Nom, e-mail, téléphone, établissement, message (formulaire de contact)	Répondre aux demandes de renseignements et de devis	Intérêt légitime (Art. 6.1.f)	3 ans à compter du dernier contact
Données de navigation anonymisées (Google Analytics)	Mesure d'audience du site vitrine	Consentement explicite (Art. 6.1.a)	26 mois (paramétrage GA4)

2.2 Application GeReMS (établissements abonnés)

Données collectées	Finalité	Base légale	Durée de conservation
Nom, prénom, e-mail, identifiant des utilisateurs (direction, secrétariat)	Authentification et gestion des accès à l'application	Exécution du contrat (Art. 6.1.b)	Durée du contrat + 1 an
Données enseignants (nom, discipline, ORS, service, vœux)	Gestion des services enseignants et campagne de vœux	Exécution du contrat (Art. 6.1.b) / Mission d'intérêt public (Art. 6.1.e)	Durée du contrat + 1 an
Journaux de connexion (IP, horodatage)	Sécurité informatique et lutte contre les accès non autorisés	Obligation légale (Art. 6.1.c)	12 mois

Isolation des données : chaque établissement abonné dispose d'une base de données dédiée et cloisonnée. Les données d'un établissement sont techniquement inaccessibles aux autres établissements et à l'éditeur dans le cadre de l'exploitation courante.

3. Cookies et traceurs

Ce site utilise deux catégories de cookies :

Cookies strictement nécessaires (exemptés de consentement) : gestion de la session utilisateur (durée : session), jeton CSRF (durée : session). Ces cookies sont indispensables au fonctionnement de l'application.
Cookie de mesure d'audience (soumis à consentement) : Google Analytics 4 (identifiant G-L1068GB8HF). Ce cookie n'est déposé qu'après votre accord explicite via la bannière de consentement. Vous pouvez retirer votre consentement à tout moment en effaçant le stockage local de votre navigateur (localStorage, clé : gerems_ga_consent).

Conformément à la recommandation CNIL du 17 septembre 2020 et aux lignes directrices du 4 juillet 2019, Google Analytics est chargé conditionnellement, uniquement après consentement explicite.

4. Destinataires des données

Les données collectées sont traitées exclusivement par :

BUBAPP — éditeur de GeReMS (accès restreint, base dédiée par établissement)
OVH SAS — hébergement (sous-traitant, données stockées en France)
Google LLC — mesure d'audience via Google Analytics (uniquement avec votre consentement, données anonymisées, transfert vers les USA encadré par les clauses contractuelles types de la Commission européenne)

Aucune donnée personnelle n'est vendue ni cédée à des tiers à des fins commerciales.

5. Transferts hors Union européenne

En cas d'acceptation de Google Analytics, certaines données de navigation anonymisées peuvent être transférées vers les États-Unis. Ce transfert est encadré par les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne, conformément à l'Article 46 du RGPD.

L'hébergement de l'application et des bases de données est localisé en France (OVH, Roubaix).

6. Vos droits

Conformément au RGPD (Articles 15 à 22), vous disposez des droits suivants :

Droit d'accès : obtenir une copie des données vous concernant
Droit de rectification : faire corriger des données inexactes
Droit à l'effacement : demander la suppression de vos données (sous réserve des obligations légales)
Droit à la limitation du traitement : restreindre temporairement l'utilisation de vos données
Droit d'opposition : vous opposer au traitement fondé sur l'intérêt légitime
Droit à la portabilité : recevoir vos données dans un format structuré et lisible
Droit de retirer votre consentement à tout moment, sans effet rétroactif

Pour exercer ces droits, contactez-nous à : bubapp.contact@gmail.com

En cas de réponse insatisfaisante, vous pouvez introduire une réclamation auprès de la CNIL : cnil.fr/fr/adresser-une-plainte.

7. Sécurité des données

GeReMS met en œuvre les mesures techniques et organisationnelles suivantes, conformément à l'Article 32 du RGPD :

Chiffrement des communications par HTTPS (TLS)
Isolation stricte des bases de données par établissement (architecture multi-tenant)
Protection CSRF sur tous les formulaires authentifiés
En-têtes de sécurité HTTP (CSP, X-Frame-Options, HSTS)
Timeout de session automatique après 2 heures d'inactivité
Hachage bcrypt des mots de passe
Accès aux données restreint selon le rôle de l'utilisateur

8. Contact et réclamations

Pour toute question relative à cette politique ou pour exercer vos droits :

E-mail : bubapp.contact@gmail.com
Formulaire de contact : gerems.fr/#contact

Nous nous engageons à répondre à toute demande d'exercice de droits dans un délai d'un mois (Article 12 du RGPD), prolongeable à trois mois en cas de demande complexe.