Préambule
La présente Politique de Confidentialité (ci-après la « Politique ») décrit comment la société Ambassia (ci-après « nous », « notre », « la Plateforme ») collecte, utilise, conserve et protège les données personnelles des utilisateurs (ci-après « vous », « vos »), conformément au Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée (« Informatique et Libertés »).
Cette Politique s'applique à l'ensemble des services proposés via l'application mobile Ambassia (iOS et Android), le site web ambassia.net, et tout service annexe exploité par Ambassia.
En créant un compte ou en utilisant nos services, vous reconnaissez avoir pris connaissance de la présente Politique. Si vous n'acceptez pas les traitements décrits ci-dessous, nous vous invitons à ne pas utiliser la Plateforme.
Responsable du traitement
Le responsable du traitement des données personnelles collectées sur la Plateforme est la société Ambassia, dont les coordonnées complètes figurent dans nos mentions légales.
Pour toute question relative à la protection de vos données, vous pouvez contacter notre délégué à la protection des données (DPO) à l'adresse suivante : contact@ambassia.net.
Données personnelles collectées
Nous collectons uniquement les données strictement nécessaires au fonctionnement de nos services. Ces données sont réparties en plusieurs catégories :
3.1 — Données d'identification
| Donnée | Description | Source |
|---|---|---|
| Nom et prénom | Identité civile, nom légal complet | Inscription / Profil |
| Nom d'affichage | Nom affiché dans l'application | Inscription |
| Date de naissance | Vérification de l'âge minimum | Profil |
| Adresse e-mail | Identifiant de connexion, communications | Inscription |
| Photo de profil | Avatar affiché aux marques et dans la communauté | Onboarding |
| Vidéo de présentation | Vidéo d'introduction d'une minute | Onboarding |
| Biographie | Courte description libre | Profil |
3.2 — Données académiques et étudiantes
| Donnée | Description | Source |
|---|---|---|
| Établissement | Nom de l'université ou de l'école | Inscription |
| Campus | Campus de rattachement | Inscription |
| Ville | Ville du campus | Inscription |
| Année d'études | Niveau (L1 à M2+) | Inscription |
| Association étudiante | Nom de l'association et rôle (facultatif) | Profil |
| E-mail d'école | Adresse universitaire utilisée pour la vérification | Vérification |
| Justificatif étudiant | Carte étudiante ou certificat de scolarité (stocké de manière sécurisée) | Vérification |
3.3 — Données de profil et préférences
| Donnée | Description | Source |
|---|---|---|
| Compétences | Liste de compétences déclarées | Profil |
| Langues parlées | Langues maîtrisées | Profil |
| Disponibilités | Jours, créneaux horaires et heures par semaine | Onboarding / Profil |
| Préférence de missions | Type de mission préféré (terrain, digital, etc.) | Onboarding |
| Niveau d'engagement | Fréquence d'engagement souhaitée | Onboarding |
| Marque de rêve | Marque favorite déclarée lors de l'inscription | Onboarding |
| Réseaux sociaux | URL LinkedIn (requis), Instagram, TikTok (facultatifs) | Profil |
3.4 — Données financières et de paiement
| Donnée | Description | Source |
|---|---|---|
| IBAN | Coordonnées bancaires pour le versement des rémunérations | Profil |
| Historique des paiements | Montants, dates et statuts des virements | Automatique |
| Numéro fiscal | Identifiant fiscal (le cas échéant) | Profil |
| E-mail de facturation | Adresse pour l'envoi des reçus | Profil |
Note : Ambassia ne stocke jamais de numéro de carte bancaire. Les paiements sont traités via des prestataires certifiés PCI-DSS.
3.5 — Données de géolocalisation
| Donnée | Description | Source |
|---|---|---|
| Position GPS au check-in | Coordonnées latitude/longitude lors du pointage de mission | Application (GPS) |
| Distance au lieu de mission | Distance calculée entre votre position et le point de mission | Calculé côté serveur |
Important : La géolocalisation est utilisée uniquement au moment du check-in d'une mission (pointage), et uniquement lorsque la mission l'exige. Nous ne traçons pas votre position en continu. Vous pouvez refuser l'accès au GPS dans les réglages de votre téléphone — dans ce cas, le check-in GPS ne sera pas disponible.
3.6 — Contenus produits dans le cadre des missions
| Donnée | Description | Source |
|---|---|---|
| Preuves de réalisation | Photos, vidéos, liens ou réponses à des formulaires soumis pour valider une mission | Utilisateur |
| Leads collectés | Données de prospects recueillies lors de missions de collecte (nom, e-mail, téléphone du prospect) | Utilisateur (formulaire) |
| Message de candidature | Lettre de motivation envoyée lors d'une candidature à une mission | Utilisateur |
3.7 — Données d'utilisation et de performance
| Donnée | Description | Source |
|---|---|---|
| Missions favorites | Missions ajoutées aux favoris | Application |
| Entreprises suivies | Entreprises suivies dans l'application | Application |
| Score de fiabilité | Score calculé à partir du nombre de missions réalisées, absences, ponctualité, qualité des preuves | Calculé côté serveur |
| Historique des missions | Candidatures, affectations, statuts, dates clés (candidature, check-in, soumission, validation, paiement) | Automatique |
| Événements analytiques | Actions agrégées dans l'application (impressions, clics, partages) avec identifiant utilisateur et plateforme | Automatique |
3.8 — Données techniques et de sécurité
| Donnée | Description | Source |
|---|---|---|
| Appareil et OS | Type d'appareil, système d'exploitation, version | Automatique |
| Version de l'application | Version installée de l'app Ambassia | Automatique |
| Jeton de notification | Token push utilisé pour l'envoi de notifications | Automatique |
| Journal d'erreurs | Rapports de plantage anonymisés via Crashlytics | Automatique |
| Adresse IP | Collectée automatiquement par nos serveurs et sous-traitants techniques | Automatique |
3.9 — Données de communication et communauté
| Donnée | Description | Source |
|---|---|---|
| Notifications | Préférences de notification, historique de lecture, horodatage d'envoi et de réception | Application |
| Groupes WhatsApp | Liens d'invitation aux groupes de mission, nombre d'ouvertures, horodatage | Application |
| Publications communautaires | Contenus publiés dans les fils communautaires de l'application | Utilisateur |
3.10 — Données de parrainage
| Donnée | Description | Source |
|---|---|---|
| Source de découverte | Comment vous avez découvert Ambassia (association, ami, réseaux sociaux, etc.) | Onboarding |
| Parrain | Identifiant de l'utilisateur vous ayant référé, le cas échéant | Inscription |
Finalités et bases légales du traitement
Chaque traitement de données repose sur une base légale identifiée conformément à l'article 6 du RGPD :
| Finalité | Base légale | Données concernées |
|---|---|---|
| Création et gestion de votre compte | Exécution du contrat | Identification, données académiques, photo, vidéo |
| Mise en relation avec les marques | Exécution du contrat | Profil, compétences, disponibilités, score de fiabilité |
| Gestion et suivi des missions | Exécution du contrat | Candidatures, affectations, preuves, check-in GPS |
| Versement des rémunérations | Exécution du contrat | IBAN, historique de paiement, données fiscales |
| Vérification du statut étudiant | Exécution du contrat | E-mail d'école, justificatif étudiant |
| Prévention de la fraude et modération | Intérêt légitime | Score de fiabilité, journal d'activité, données techniques |
| Amélioration des services | Intérêt légitime | Événements analytiques, données d'usage agrégées |
| Support client | Exécution du contrat | Échanges, données de compte |
| Envoi de notifications transactionnelles | Exécution du contrat | Jeton push, préférences de notification |
| Envoi de communications marketing | Consentement | E-mail, préférences marketing |
| Mesure d'audience (cookies) | Consentement | Cookies, adresse IP |
| Obligations comptables et fiscales | Obligation légale | Factures, données de paiement |
| Réponse aux réquisitions judiciaires | Obligation légale | Toute donnée pertinente sur demande légale |
| Rapports de plantage et stabilité | Intérêt légitime | Journal d'erreurs, appareil, version |
Durée de conservation
Nous conservons vos données personnelles uniquement pendant la durée nécessaire aux finalités pour lesquelles elles ont été collectées :
| Catégorie de données | Durée de conservation |
|---|---|
| Données de compte (profil, préférences) | Pendant toute la durée d'utilisation de la Plateforme, puis 3 ans après la dernière activité |
| Justificatifs de vérification étudiante | Jusqu'à la fin de la vérification, puis supprimés sous 30 jours après validation |
| Données de missions (preuves, leads) | Durée de la mission + 12 mois pour gestion des réclamations |
| Données de paiement et de facturation | 10 ans conformément aux obligations comptables et fiscales françaises |
| Données de géolocalisation (check-in) | 12 mois |
| Journaux de connexion et adresses IP | 12 mois conformément aux obligations légales (LCEN) |
| Données de consentement marketing | Jusqu'au retrait du consentement, au maximum 3 ans après le dernier contact |
| Rapports de plantage | 90 jours |
| Événements analytiques | 14 mois (anonymisation après ce délai) |
| Vidéo de présentation | Durée du compte + 30 jours après suppression du compte |
À l'expiration de ces délais, les données sont supprimées de manière définitive ou irréversiblement anonymisées.
Destinataires des données
Vos données personnelles ne sont jamais vendues, louées ou échangées à des tiers à des fins commerciales propres. Elles peuvent être communiquées aux catégories de destinataires suivantes, dans le strict respect du principe de minimisation :
6.1 — Marques partenaires
Lorsque vous postulez ou êtes affecté à une mission, la marque concernée a accès aux données nécessaires à la bonne exécution de la mission : nom, prénom, photo, campus, compétences, score de fiabilité, réseaux sociaux, preuves soumises, et leads collectés. La marque n'a pas accès à vos données financières, votre adresse e-mail personnelle ou votre numéro de téléphone.
6.2 — Sous-traitants techniques
Nous faisons appel à des sous-traitants pour l'exploitation de nos services. Ces sous-traitants agissent sur nos instructions et sont contractuellement tenus à la confidentialité et à la sécurité des données :
- Google Cloud Platform (Google Ireland Ltd) — infrastructure cloud, localisation des données en Europe (région europe-west)
- Expo (EAS) — distribution des mises à jour de l'application mobile
6.3 — Autorités publiques
Vos données peuvent être transmises aux autorités administratives ou judiciaires compétentes sur réquisition légale ou dans le cadre d'obligations fiscales.
Transferts de données hors Union européenne
Nous hébergeons vos données au sein de l'Union européenne (régions Google Cloud europe-west). Certains sous-traitants techniques (notamment Google LLC pour certains services) peuvent être amenés à traiter des données aux États-Unis.
Dans ce cas, ces transferts s'effectuent dans un cadre juridique sécurisé :
- Décision d'adéquation de la Commission européenne (EU-US Data Privacy Framework le cas échéant)
- Clauses contractuelles types (SCCs) adoptées par la Commission européenne
- Mesures supplémentaires de protection (chiffrement, pseudonymisation)
Vous pouvez obtenir une copie des garanties mises en place en nous écrivant à contact@ambassia.net.
Vos droits
Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès (art. 15 RGPD) — obtenir la confirmation que vos données sont traitées et en recevoir une copie complète
- Droit de rectification (art. 16 RGPD) — faire corriger toute information inexacte ou incomplète
- Droit à l'effacement (art. 17 RGPD) — demander la suppression de vos données (« droit à l'oubli »), sous réserve de nos obligations légales de conservation
- Droit à la limitation du traitement (art. 18 RGPD) — restreindre temporairement le traitement de vos données dans certains cas
- Droit d'opposition (art. 21 RGPD) — vous opposer au traitement fondé sur l'intérêt légitime ou à des fins de prospection commerciale
- Droit à la portabilité (art. 20 RGPD) — récupérer vos données dans un format structuré, couramment utilisé et lisible par machine
- Droit de retirer votre consentement — à tout moment pour les traitements fondés sur votre consentement, sans affecter la licéité des traitements effectués avant le retrait
- Droit de définir des directives post-mortem — concernant la conservation, l'effacement et la communication de vos données après votre décès (loi Informatique et Libertés, art. 85)
Comment exercer vos droits
Vous pouvez exercer l'un de ces droits en nous écrivant à contact@ambassia.net, en précisant votre identité et l'objet de votre demande. Nous nous engageons à y répondre sous un délai maximum d'un (1) mois à compter de la réception de la demande. Ce délai peut être prolongé de deux mois supplémentaires en cas de demande complexe, auquel cas nous vous en informerons.
Vous pouvez également supprimer votre compte directement depuis les paramètres de l'application. La suppression entraîne l'effacement de vos données personnelles dans les délais indiqués à la section 5, sous réserve des obligations légales de conservation.
Réclamation auprès de la CNIL
En cas de désaccord persistant concernant le traitement de vos données, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- En ligne : www.cnil.fr/fr/plaintes
- Par courrier : CNIL — 3, Place de Fontenoy — TSA 80715 — 75334 PARIS CEDEX 07
Protection des mineurs
La Plateforme Ambassia est destinée aux étudiants majeurs (18 ans et plus). Nous ne collectons pas sciemment de données concernant des mineurs de moins de 18 ans. Si nous découvrons qu'un mineur s'est inscrit, son compte sera supprimé et ses données effacées dans les meilleurs délais.
Si vous êtes parent ou tuteur et pensez qu'un mineur a créé un compte, contactez-nous à contact@ambassia.net.
Sécurité des données
Nous mettons en œuvre des mesures techniques et organisationnelles conformes à l'état de l'art pour protéger vos données :
- Chiffrement en transit — toutes les communications sont protégées par HTTPS/TLS
- Chiffrement au repos — les données stockées dans Google Cloud sont chiffrées automatiquement (AES-256)
- Contrôle d'accès — accès aux données limité au personnel habilité, selon le principe du moindre privilège
- Règles de sécurité Firestore — règles d'accès granulaires empêchant tout accès non autorisé aux documents
- Authentification forte — authentification avec vérification d'e-mail
- Surveillance et alertes — monitoring en temps réel des accès et anomalies
- Sauvegardes régulières — sauvegardes automatiques et géo-redondantes
- Formation des équipes — sensibilisation continue à la sécurité et à la protection des données
Notification d'incident : en cas de violation de données susceptible d'engendrer un risque élevé pour vos droits et libertés, nous vous en informerons dans les meilleurs délais et notifierons l'incident à la CNIL dans un délai de 72 heures, conformément à l'article 33 du RGPD.
Données collectées auprès de tiers (leads)
Dans le cadre de certaines missions, les étudiants ambassadeurs sont amenés à collecter des données de prospects (« leads ») pour le compte des marques partenaires. Ces données (nom, e-mail, téléphone, préférences, etc.) sont collectées via des formulaires intégrés à l'application.
- Un consentement explicite est recueilli auprès de chaque prospect avant la collecte, avec affichage du texte de consentement RGPD défini par la marque
- Ambassia agit en qualité de sous-traitant (au sens de l'article 28 du RGPD) pour le compte de la marque, qui est responsable du traitement de ces données de leads
- Les données de leads sont transmises à la marque et conservées par Ambassia pendant la durée de la mission + 12 mois maximum
- Un mécanisme de détection des doublons permet d'éviter la collecte de données redondantes
Décisions automatisées et profilage
Ambassia calcule un score de fiabilité pour chaque étudiant, fondé sur des critères objectifs : nombre de missions réalisées, ponctualité, taux de no-show, qualité des preuves soumises, réactivité. Ce score est visible par les marques partenaires et peut influencer votre positionnement dans les candidatures.
Ce calcul constitue un profilage au sens de l'article 22 du RGPD. Toutefois, aucune décision n'est prise de manière exclusivement automatisée sans intervention humaine : les décisions d'acceptation ou de refus de candidature sont toujours validées par une personne physique (équipe opérationnelle ou représentant de la marque).
Vous pouvez contester le calcul de votre score et demander une intervention humaine en nous contactant à contact@ambassia.net.
Consentement et gestion des préférences
Lors de votre inscription, nous recueillons votre consentement explicite pour le traitement de vos données conformément à la présente Politique. Ce consentement est horodaté et conservé.
Vous pouvez gérer vos préférences à tout moment :
- Notifications push — activables/désactivables dans les paramètres de l'application et de votre système d'exploitation
- Communications marketing — opt-in/opt-out dans les paramètres de votre profil ou via le lien de désabonnement dans chaque e-mail
- Cookies — via le bandeau de consentement du site web
- Géolocalisation — via les permissions de votre appareil mobile
Suppression de compte
Vous pouvez supprimer votre compte à tout moment depuis les réglages de l'application mobile, ou en nous contactant par e-mail. La suppression entraîne :
- L'effacement de vos données personnelles (profil, photo, vidéo, préférences) dans un délai de 30 jours
- L'anonymisation irréversible de vos données analytiques et statistiques
- La conservation des données de paiement et de facturation pendant 10 ans (obligation légale)
- La conservation des journaux de connexion pendant 12 mois (obligation légale)
Les missions en cours seront annulées et les paiements dus vous seront versés avant la clôture définitive du compte.
Modifications de la présente Politique
Nous nous réservons le droit de modifier la présente Politique pour refléter les évolutions législatives, réglementaires ou les améliorations apportées à nos services.
Toute modification substantielle vous sera notifiée par e-mail et/ou par notification dans l'application au moins quinze (15) jours avant son entrée en vigueur. La date de dernière mise à jour est indiquée en haut de cette page.
L'utilisation continue de la Plateforme après l'entrée en vigueur des modifications vaut acceptation de la Politique révisée.
Contact
Pour toute question relative à cette Politique, à vos données personnelles ou pour exercer vos droits, vous pouvez nous contacter :
- Par e-mail : contact@ambassia.net
- Par courrier : coordonnées disponibles dans nos mentions légales
Nous nous efforçons de répondre à toute demande dans un délai de 30 jours ouvrés.