Politique de confidentialité

La Croix-Rouge française (ci-après « CRF ») met en œuvre le traitement de données personnelles dénommé SGAA — Système de Gestion de l'Accueil Alimentaire dans le respect du Règlement (UE) 2016/679 (RGPD) et de la loi n° 78-17 du 6 janvier 1978 modifiée.

1. Responsable du traitement

Croix-Rouge française — À COMPLÉTER PAR LE SERVICE JURIDIQUE CRF(adresse postale, n° SIRET, représentant légal).

2. Finalités du traitement

• Gérer l'accueil et le suivi des bénéficiaires de l'aide alimentaire
• Planifier les rendez-vous et les distributions
• Tenir la comptabilité de la caisse de l'accueil
• Produire des statistiques agrégées et anonymes pour le pilotage
• Assurer la sécurité du service et tracer les accès aux données sensibles

3. Base légale

Mission d'intérêt public (art. 6.1.e du RGPD) au titre de la mission de service public d'aide aux personnes confiée à la CRF, complétée par le consentement explicite des bénéficiaires lors de leur inscription.

4. Catégories de données traitées

• Identification : nom, prénom·s, date de naissance, badge AIDA
• Coordonnées : adresse postale, téléphone, courriel (facultatifs)
• Composition du foyer : nombre d'adultes, enfants, âge·s
• Données socio-économiques : dates de droits, situation administrative
• Données fonctionnelles : historique des distributions, paniers attribués, paiements
• Données techniques (utilisateur·rice·s) : identifiant, journaux de connexion, audit trail

5. Durées de conservation

• Bénéficiaire actif·ve : pendant toute la durée d'ouverture du dossier + 1 an
• Bénéficiaire inactif·ve : anonymisation au bout de 3 ans sans interaction
• Données comptables (caisse, distributions agrégées) : 10 ans (obligation légale)
• Journaux d'audit : 1 an minimum, 6 ans maximum
• Backups chiffrés : 30 jours glissants

Politique de rétention détaillée à formaliser — voir TODO conformité H1.

6. Destinataires

• Bénévoles et salarié·e·s habilité·e·s de la CRF (selon rôle : opérateur·rice, tenant_admin, dept_admin, national_admin)
• Sous-traitants techniques (RGPD art. 28) :
  • Infomaniak (Suisse) : hébergement
  • SMSmode (France) : envoi de SMS de rappel

Aucun transfert hors Union européenne sans garanties appropriées.

7. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

• Droit d'accès à vos données
• Droit de rectification en cas d'inexactitude
• Droit à l'effacement (« droit à l'oubli »)
• Droit à la limitation du traitement
• Droit à la portabilité de vos données
• Droit d'opposition au traitement
• Droit de retirer votre consentement à tout moment

Pour exercer ces droits, adressez-vous à votre structure d'accueil ou contactez le·la délégué·e à la protection des données (DPO) de la CRF :

• Courriel : dpo@croix-rouge.fr — À CONFIRMER
• Adresse : À COMPLÉTER

8. Réclamation auprès de la CNIL

Si vous estimez, après nous avoir contacté·e·s, que vos droits ne sont pas respectés, vous pouvez adresser une réclamation à la CNIL : www.cnil.fr/fr/plaintes.

9. Sécurité

Les données sont hébergées en Europe (Suisse — équivalence RGPD). Les mots de passe sont hachés (bcrypt). Les accès sont tracés (audit trail expurgé). Les communications utilisent TLS 1.2+ avec HSTS preload. Le chiffrement applicatif des données les plus sensibles et l'authentification multi-facteur pour les administrateur·rice·s sont en cours de déploiement.

10. Cookies

SGAA utilise uniquement des cookies essentiels nécessaires à l'authentification et à la sécurité de la session (access_token, refresh_token). Aucun cookie de mesure d'audience ou de marketing. Aucun bandeau de consentement n'est requis pour ces cookies essentiels (CNIL).

Retour à l'accueil

Dernière mise à jour : 19 avril 2026.