Politique de Confidentialité et de Gestion des Données à Caractère Personnel
Version 1.0 — En vigueur depuis le 17/03/2026
Sommaire
- Qui sommes-nous ?
- Périmètre et limites de la présente politique
- Responsabilité exclusive des associations pour les données qu'elles stockent
- Deux rôles juridiques distincts de MazyAsso
- Politique de gestion et d'utilisation des données à caractère personnel
- Consentement pour le traitement des données à caractère personnel
- Données collectées sur le site mazyasso.com
- Données des Administrateurs d'associations
- Données collectées dans le cadre des paiements
- Durées de conservation
- Destinataires et sous-traitants
- Transferts hors Union européenne
- Sécurité des données
- Cookies et traceurs
- Vos droits
- Modifications de la présente politique
- Contact et réclamations
1. Qui sommes-nous ?
MAZYASSO SAS est une société par actions simplifiée unipersonnelle au capital de 10 000 euros, immatriculée au Registre du Commerce et des Sociétés de Nanterre sous le numéro 991 475 120, dont le siège social est situé au 37 rue Ernest Cognacq, 92300 Levallois-Perret.
MazyAsso édite une plateforme SaaS de gestion dédiée aux associations loi 1901 (gestion des membres, adhésions, activités, événements, comptabilité, communication, paiements en ligne). MazyAsso est un éditeur de logiciel : elle fournit des outils techniques que les associations utilisent pour gérer leur propre activité.
MazyAsso agit également en qualité d'agent mandataire de Paysurf, établissement de paiement agréé par l'ACPR sous le numéro 17218, pour la collecte de paiements par carte bancaire pour le compte des associations partenaires.
Contact :
- E-mail général : contact@mazyasso.com
- Délégué à la Protection des Données (DPO) : dpo@mazyasso.com
- Adresse postale : MAZYASSO SAS — DPO, 37 rue Ernest Cognacq, 92300 Levallois-Perret
2. Périmètre et limites de la présente politique
⚠️ À lire attentivement avant de poursuivre.
La présente politique de confidentialité concerne exclusivement :
- Les données personnelles que MazyAsso collecte et traite en son nom propre dans le cadre de l'exploitation de ses propres outils et services (site mazyasso.com, gestion des comptes Administrateurs, facturation, vérification KYC, opérations de paiement) ;
- L'utilisation des outils et infrastructures techniques de MazyAsso (hébergement Scaleway, e-mails transactionnels Scaleway TEM, mesure d'audience Plausible, supervision Nightwatch, paiements Paysurf/Monetico).
Cette politique ne couvre pas et ne régit pas :
- Les données personnelles collectées, stockées et traitées par les associations partenaires via la Plateforme MazyAsso (données de membres, adhérents, participants, bénévoles, mineurs, etc.) ;
- Les pratiques en matière de confidentialité des associations elles-mêmes ;
- Le contenu uploadé, saisi ou configuré par les associations dans leurs espaces MazyAsso.
Pour ces données, chaque association est seule et entièrement responsable. Référez-vous à la politique de confidentialité propre à l'association dont vous êtes membre pour connaître la façon dont elle traite vos données personnelles.
3. Responsabilité exclusive des associations pour les données qu'elles stockent
3.1 MazyAsso est un outil technique neutre
MazyAsso est un prestataire de services techniques. Elle met à disposition des outils permettant aux associations de collecter, stocker et gérer des données personnelles. MazyAsso ne décide pas des données collectées par les associations, ne définit pas leurs finalités de traitement, et n'a pas d'initiative propre sur ces données.
À ce titre, pour toutes les données personnelles stockées par une association via la Plateforme MazyAsso :
- L'association est seule responsable de traitement au sens de l'article 4 du RGPD ;
- MazyAsso intervient uniquement en qualité de sous-traitant au sens de l'article 28 du RGPD, sur instruction exclusive de l'association ;
- La licéité du traitement, le choix des bases légales, l'information des personnes concernées, le respect des droits des personnes et la conformité réglementaire générale relèvent exclusivement de la responsabilité de l'association.
3.2 Décharge de responsabilité de MazyAsso
MazyAsso décline expressément toute responsabilité concernant :
- La nature, la quantité, la pertinence ou la licéité des données personnelles collectées par les associations via la Plateforme ;
- Le respect ou le non-respect par les associations de leurs obligations au titre du RGPD, de la loi Informatique et Libertés, et de toute réglementation sectorielle applicable (réglementation ACM pour les accueils de mineurs, réglementation relative aux données de santé, etc.) ;
- Les traitements de données sensibles (données de santé, données de mineurs, données biométriques, etc.) que des associations pourraient réaliser via la Plateforme sans en avoir informé MazyAsso ou sans disposer des autorisations nécessaires ;
- L'utilisation par une association d'une fonctionnalité de la Plateforme d'une manière non conforme à ses obligations légales propres ;
- Les conséquences — sanctions, amendes, injonctions, condamnations, atteintes aux droits des personnes — résultant de manquements réglementaires d'une association dans son usage de la Plateforme.
La mise à disposition d'une fonctionnalité par MazyAsso ne vaut en aucun cas validation de sa conformité dans le contexte spécifique de chaque association. Il appartient à chaque association de vérifier, sous sa propre responsabilité, que l'usage qu'elle fait de la Plateforme est conforme à la réglementation qui lui est applicable.
3.3 Politique de confidentialité propre à chaque association
Chaque association partenaire de MazyAsso est tenue, dans le cadre de ses CGU et du DPA (Accord de Traitement des Données) conclu avec MazyAsso, de disposer de sa propre politique de confidentialité à destination de ses membres et des personnes dont elle traite les données. Cette politique doit notamment mentionner l'utilisation de MazyAsso comme sous-traitant technique.
Si vous êtes membre d'une association et souhaitez exercer vos droits sur vos données (accès, rectification, effacement, etc.), adressez-vous directement à l'association. MazyAsso ne peut pas donner suite à ces demandes à la place de l'association et n'a pas accès individuellement aux données que les associations choisissent de stocker.
4. Deux rôles juridiques distincts de MazyAsso
En synthèse, MazyAsso intervient selon deux régimes juridiques clairement distincts :
| Contexte | Rôle de MazyAsso | Politique applicable |
|---|---|---|
| Site mazyasso.com, compte Administrateur, facturation, KYC, opérations de paiement | Responsable de traitement | La présente politique s'applique intégralement |
| Données collectées et stockées par une association via la Plateforme (membres, activités, documents, etc.) | Sous-traitant de l'association | Politique de confidentialité de l'association concernée |
5. Politique de gestion et d'utilisation des données à caractère personnel
5.1 Principes fondamentaux
MazyAsso s'engage à traiter les données personnelles dont elle est responsable dans le strict respect des principes suivants, tels qu'ils sont définis par l'article 5 du RGPD :
- Licéité, loyauté et transparence : toute collecte de données repose sur une base légale valide et les personnes sont informées de manière claire et accessible ;
- Limitation des finalités : les données sont collectées pour des finalités déterminées, explicites et légitimes, et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités ;
- Minimisation : seules les données strictement nécessaires aux finalités poursuivies sont collectées. MazyAsso ne collecte pas de données superflues ;
- Exactitude : les données sont tenues à jour dans la mesure du possible. Les utilisateurs sont invités à signaler toute inexactitude ;
- Limitation de la conservation : les données ne sont conservées que le temps nécessaire aux finalités pour lesquelles elles ont été collectées, dans le respect des obligations légales de conservation ;
- Intégrité et confidentialité : des mesures de sécurité techniques et organisationnelles appropriées sont mises en œuvre pour protéger les données contre tout accès non autorisé, perte, destruction ou divulgation ;
- Responsabilité (accountability) : MazyAsso est en mesure de démontrer sa conformité à ces principes.
5.2 Utilisation des données
MazyAsso n'utilise jamais les données personnelles dont elle est responsable à d'autres fins que celles pour lesquelles elles ont été collectées. En particulier :
- Les données des Administrateurs et des associations sont utilisées uniquement pour fournir et améliorer les services contractuels, et ne sont jamais cédées, louées ou vendues à des tiers ;
- Les données de paiement sont utilisées uniquement pour l'exécution des transactions et le respect des obligations légales ;
- Les données de navigation (Plausible Analytics) sont utilisées uniquement à des fins de mesure d'audience interne, sous forme anonymisée, et ne sont jamais transmises à des annonceurs ;
- MazyAsso n'utilise pas les données personnelles à des fins de profilage publicitaire, de scoring commercial ou de revente de données.
5.3 Gestion des accès internes
L'accès aux données personnelles au sein de MazyAsso est strictement limité aux personnes habilitées dont les missions le justifient, selon le principe du moindre privilège. Les données de chaque association sont cloisonnées et ne sont pas accessibles aux autres associations. Tout accès est tracé et journalisé.
6. Consentement pour le traitement des données à caractère personnel
6.1 Quand MazyAsso recueille-t-elle votre consentement ?
MazyAsso recueille votre consentement explicite uniquement lorsque la base légale du traitement l'exige. Conformément à l'article 6.1 a) du RGPD, le consentement est requis pour les traitements qui ne peuvent pas se fonder sur une autre base légale (exécution du contrat, obligation légale, intérêt légitime).
Les cas dans lesquels MazyAsso sollicite votre consentement sont les suivants :
| Traitement | Modalité de recueil du consentement |
|---|---|
| Dépôt de cookies analytiques (Plausible) | Bandeau de consentement affiché lors de la première visite sur mazyasso.com — case à cocher active |
| Inscription à la newsletter et communications commerciales | Case à cocher non pré-cochée dans le formulaire de contact ou d'inscription |
| Communications marketing par e-mail pour les prospects | Case à cocher non pré-cochée, avec description claire du contenu des communications |
6.2 Caractéristiques du consentement
Tout consentement recueilli par MazyAsso respecte les conditions posées par l'article 7 du RGPD :
- Libre : le consentement n'est pas conditionné à l'accès à un service. Refuser les cookies analytiques ou la newsletter n'empêche pas d'utiliser la Plateforme ou le site ;
- Spécifique : le consentement est recueilli séparément pour chaque finalité. Un consentement global n'est pas utilisé pour couvrir plusieurs traitements distincts ;
- Éclairé : la finalité du traitement, l'identité du responsable de traitement et les droits de la personne sont clairement indiqués au moment du recueil du consentement ;
- Univoque : le consentement est donné par un acte positif clair (case à cocher, clic sur un bouton de validation). Aucune case n'est pré-cochée. Le silence ou l'inaction ne vaut pas consentement.
6.3 Cas où le consentement n'est pas requis
Pour les traitements fondés sur d'autres bases légales, MazyAsso n'est pas tenue de recueillir un consentement :
| Traitement | Base légale | Consentement requis |
|---|---|---|
| Création et gestion du compte Administrateur | Exécution du contrat (art. 6.1 b) RGPD) | ❌ Non |
| Facturation et comptabilité | Obligation légale (art. 6.1 c) RGPD) | ❌ Non |
| Vérification KYC (LCB-FT) | Obligation légale (art. 6.1 c) RGPD) | ❌ Non |
| Exécution des paiements par carte | Exécution du contrat (art. 6.1 b) RGPD) | ❌ Non |
| Sécurité et prévention de la fraude | Intérêt légitime (art. 6.1 f) RGPD) | ❌ Non |
| Cookies strictement nécessaires | Nécessité technique (directive ePrivacy) | ❌ Non |
6.4 Retrait du consentement
Vous pouvez retirer votre consentement à tout moment, sans que cela n'affecte la licéité des traitements effectués avant ce retrait :
- Cookies analytiques : via le gestionnaire de cookies accessible en bas de chaque page de mazyasso.com ;
- Newsletter / communications commerciales : via le lien de désabonnement présent dans chaque e-mail, ou en écrivant à dpo@mazyasso.com ;
- Tout autre traitement fondé sur le consentement : en contactant dpo@mazyasso.com.
MazyAsso s'engage à prendre en compte votre retrait de consentement dans les meilleurs délais et au plus tard dans un délai de 72 heures pour les traitements techniques (cookies), et de 10 jours ouvrés pour les traitements nécessitant une action manuelle (suppression d'une liste de diffusion).
7. Données collectées sur le site mazyasso.com
7.1 Navigation et mesure d'audience
MazyAsso utilise Plausible Analytics, un outil de mesure d'audience respectueux de la vie privée qui ne dépose pas de cookie traceur et ne collecte pas de données personnelles identifiables. Plausible mesure des métriques agrégées et anonymisées : pages vues, sources de trafic, durée de session, type d'appareil. Aucun profil individuel n'est constitué.
| Données | Finalité | Base légale | Conservation |
|---|---|---|---|
| Données de navigation agrégées et anonymisées | Mesure d'audience, amélioration du site | Intérêt légitime | Durée indéterminée (données anonymes) |
Pour en savoir plus : plausible.io/privacy
7.2 Formulaires de contact et de demande de démonstration
| Données | Finalité | Base légale | Conservation |
|---|---|---|---|
| Nom, prénom, e-mail, téléphone, nom de l'association | Réponse à votre demande, suivi commercial | Consentement ou intérêt légitime (contact professionnel) | 3 ans à compter du dernier contact |
| E-mail (newsletter) | Communications commerciales | Consentement | Jusqu'au retrait du consentement |
7.3 Cookies techniques
Des cookies strictement nécessaires sont déposés pour le bon fonctionnement du site (maintien de session, protection CSRF, mémorisation des préférences cookies). Ces cookies ne nécessitent pas de consentement. Voir notre Politique de gestion des cookies pour le détail complet.
8. Données des Administrateurs d'associations
8.1 Données d'identification et de compte
| Données | Finalité | Base légale | Conservation |
|---|---|---|---|
| Nom, prénom, e-mail, téléphone | Création et gestion du compte, authentification, communications de service | Exécution du contrat | Durée du compte + 3 ans |
| Mot de passe (haché et salé — jamais lisible en clair) | Authentification sécurisée | Exécution du contrat | Durée du compte |
| Adresse IP de connexion, horodatages, actions réalisées (logs) | Sécurité, détection de fraude, débogage | Intérêt légitime | 12 mois glissants |
8.2 Informations légales de l'association
| Données | Finalité | Base légale | Conservation |
|---|---|---|---|
| Dénomination, objet, siège, RNA, SIRET, statuts | Paramétrage de la Plateforme, conformité légale | Exécution du contrat | Durée du compte + 3 ans |
| IBAN / RIB au nom de l'association | Reversement des fonds collectés | Exécution du contrat | Durée du compte + 3 ans |
8.3 Données KYC
Dans le cadre de ses obligations LCB-FT, MazyAsso procède à la vérification d'identité des associations et de leurs représentants légaux avant activation des services de paiement.
| Données | Finalité | Base légale | Conservation |
|---|---|---|---|
| Pièce d'identité du représentant légal, statuts certifiés, PV de nomination, questionnaire client | Obligations LCB-FT (art. L.561-4-1 et s. CMF) | Obligation légale | 5 ans après fin de relation (art. L.561-12 CMF) |
Ces pièces sont transmises à Paysurf via l'API sécurisée et supprimées des systèmes MazyAsso dans le délai d'un mois suivant leur transmission.
8.4 Données de facturation
| Données | Finalité | Base légale | Conservation |
|---|---|---|---|
| Coordonnées de facturation, historique des abonnements, factures | Facturation, obligations comptables et fiscales | Obligation légale (art. L.123-22 C.com.) | 10 ans |
9. Données collectées dans le cadre des paiements
9.1 Données de transaction
| Données | Finalité | Base légale | Conservation |
|---|---|---|---|
| Nom, prénom, e-mail du payeur | Émission du reçu de paiement, communication post-transaction | Exécution du contrat | 13 mois |
| Référence de transaction, montant, date, type de carte, statut | Traçabilité, gestion des contestations, obligations légales | Exécution du contrat / Obligation légale | 13 mois (CB) ; 5 ans (LCB-FT) |
| Données comptables liées aux transactions | Obligations comptables | Obligation légale (art. L.123-22 C.com.) | 10 ans |
| Adresse IP lors du paiement | Prévention de la fraude, 3DS2 | Intérêt légitime / Obligation légale | 12 mois |
9.2 Données de carte bancaire
Les données sensibles de carte (numéro complet, date d'expiration, CVV) sont saisies dans des champs sécurisés Monetico/Paysurf (Hosted Fields, certifiés PCI DSS niveau 1). Ces données ne transitent jamais par les serveurs de MazyAsso et ne sont jamais stockées par MazyAsso.
9.3 Tokenisation
Pour les paiements en plusieurs fois ou récurrents, un jeton cryptographique (token) peut être enregistré auprès de Paysurf. Ce jeton ne contient aucune donnée sensible. Vous pouvez demander sa suppression à tout moment à dpo@mazyasso.com.
10. Durées de conservation
| Catégorie de données | Durée | Fondement |
|---|---|---|
| Compte Administrateur actif | Durée de vie du compte | — |
| Données de compte après clôture | 3 ans | Prescription contractuelle |
| Pièces KYC (chez MazyAsso) | 1 mois après transmission à Paysurf | Accord de Partenariat Paysurf |
| Pièces KYC (chez Paysurf) | 5 ans après fin de relation | Art. L.561-12 CMF |
| Données de facturation et comptables | 10 ans | Art. L.123-22 C.com. |
| Données de transaction (obligations CB) | 13 mois | Règles réseaux CB |
| Données de transaction (LCB-FT) | 5 ans | Art. L.561-12 CMF |
| Jeton de carte | Jusqu'à révocation ou expiration | — |
| Logs de connexion | 12 mois glissants | Recommandation CNIL |
| Données de contact / prospection | 3 ans après dernier contact | Délibération CNIL |
| Newsletter | Jusqu'au retrait du consentement | Art. 7 RGPD |
| Données de navigation Plausible (anonymisées) | Indéterminée | Données anonymes |
11. Destinataires et sous-traitants
MazyAsso ne vend pas vos données personnelles. Les données sont communiquées uniquement aux destinataires suivants.
11.1 Sous-traitants techniques
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Scaleway SAS (Groupe Iliad) | Hébergement de la Plateforme (Serverless Containers, Object Storage) | France (Paris, fr-par) |
| Scaleway TEM | Envoi d'e-mails transactionnels | France (Paris, fr-par) |
| Paysurf / Monetico (Crédit Mutuel Alliance Fédérale) | Paiements par carte, tokenisation, authentification 3DS2 | France / UE |
| Plausible Analytics | Mesure d'audience anonyme du site | Union européenne |
| Laravel Nightwatch | Supervision et monitoring de la Plateforme | Union européenne |
11.2 Autorités compétentes
Sur réquisition légale : autorités judiciaires, ACPR, Tracfin, CNIL ou toute autorité habilitée par la loi.
12. Transferts hors Union européenne
Aucun transfert de données personnelles hors de l'Union européenne n'est réalisé. Toutes les infrastructures utilisées par MazyAsso sont localisées en France ou dans l'Union européenne. En cas d'évolution, MazyAsso en informera préalablement les personnes concernées et mettra en place les garanties appropriées (art. 46 et s. RGPD).
13. Sécurité des données
Mesures techniques :
- Chiffrement de toutes les communications en transit (TLS 1.2 minimum / HTTPS)
- Chiffrement des données sensibles au repos
- Isolation totale des données de carte bancaire (Hosted Fields PCI DSS niveau 1)
- Authentification forte des Administrateurs (mot de passe robuste, option 2FA)
- Cloisonnement strict des données entre associations
- Contrôle des accès selon le principe du moindre privilège
- Journalisation et supervision continue (Laravel Nightwatch)
- Sauvegardes quotidiennes automatiques, chiffrées, hébergées en France
En cas de violation de données :
- Notification à la CNIL dans les 72 heures (art. 33 RGPD)
- Information des personnes concernées dans les meilleurs délais en cas de risque élevé (art. 34 RGPD)
14. Cookies et traceurs
Résumé de notre utilisation des cookies. Pour l'information complète : Politique de gestion des cookies.
| Type | Exemples | Consentement |
|---|---|---|
| Strictement nécessaires | laravel_session, XSRF-TOKEN, cookie_consent_preferences |
❌ Non requis |
| Analytiques | Plausible Analytics (données anonymes, sans cookie traceur inter-sites) | ✅ Requis |
| Marketing | Aucun actuellement | — |
MazyAsso n'utilise aucun cookie publicitaire. Gérez vos préférences via le gestionnaire de cookies en bas de page.
15. Vos droits
Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants sur vos données traitées par MazyAsso en qualité de responsable de traitement :
| Droit | Article | Description |
|---|---|---|
| Accès | Art. 15 RGPD | Obtenir une copie des données vous concernant et les informations sur leur traitement |
| Rectification | Art. 16 RGPD | Faire corriger des données inexactes ou incomplètes |
| Effacement | Art. 17 RGPD | Demander la suppression de vos données, sous réserve des obligations légales de conservation |
| Limitation | Art. 18 RGPD | Restreindre le traitement dans certaines circonstances |
| Portabilité | Art. 20 RGPD | Recevoir vos données dans un format structuré et lisible par machine (JSON ou CSV) |
| Opposition | Art. 21 RGPD | S'opposer au traitement fondé sur l'intérêt légitime ; droit absolu pour la prospection |
| Retrait du consentement | Art. 7 RGPD | Retirer votre consentement à tout moment, sans effet rétroactif |
| Directives post-mortem | Art. 85 LIL | Définir le sort de vos données après votre décès |
Pour exercer vos droits, adressez votre demande accompagnée d'un justificatif d'identité :
- E-mail : dpo@mazyasso.com
- Courrier : MAZYASSO SAS — DPO, 37 rue Ernest Cognacq, 92300 Levallois-Perret
MazyAsso s'engage à répondre dans un délai d'un mois (pouvant être prolongé de deux mois en cas de demande complexe, avec notification dans le premier mois).
⚠️ Si votre demande porte sur des données détenues par une association (données de membre, d'adhérent, de participant), adressez-vous directement à l'association. MazyAsso n'a pas qualité pour répondre à ces demandes à sa place et ne dispose pas d'un accès individuel aux données que les associations stockent dans leurs espaces.
Réclamation auprès de la CNIL :
En l'absence de réponse satisfaisante de MazyAsso, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés :
- Site : www.cnil.fr
- Courrier : CNIL — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
16. Modifications de la présente politique
MazyAsso se réserve le droit de modifier la présente politique à tout moment. En cas de modification substantielle :
- Les Administrateurs sont informés par e-mail au moins 15 jours avant l'entrée en vigueur ;
- Les Visiteurs sont informés par un avis affiché sur mazyasso.com.
La version en vigueur est celle publiée à l'adresse mazyasso.com/politique-de-confidentialite, avec la date de dernière mise à jour.
17. Contact et réclamations
- E-mail : dpo@mazyasso.com
- Courrier : MAZYASSO SAS — DPO, 37 rue Ernest Cognacq, 92300 Levallois-Perret
Documents associés
MAZYASSO SAS — 37 rue Ernest Cognacq, 92300 Levallois-Perret — RCS Nanterre 991 475 120 — N° TVA : FR09991475120
Agent mandataire de Paysurf, EP agréé ACPR n° 17218