Politique de confidentialité
Dernière mise à jour: 21 mars 2026
Cette politique suit une architecture GDPR-first — la norme la plus stricte est notre référence mondiale par défaut.
Il s'agit d'une Politique de Confidentialité unique et unifiée qui s'applique à tous les utilisateurs dans le monde. Les sections régionales pour l'Union européenne (RGPD), le Brésil (LGPD) et les États-Unis (CCPA/CPRA) sont incluses ci-dessous et s'appliquent en complément des dispositions générales. Lorsque la loi régionale offre des protections plus fortes, la loi régionale prévaut.
Introduction
Instrumento (« nous », « notre » ou « nos ») s'engage à protéger votre vie privée. Cette Politique de confidentialité explique comment nous collectons, utilisons, divulguons et protégeons vos informations lorsque vous utilisez notre plateforme de reporting d'impact pour les organisations à but non lucratif et les services associés.
En utilisant Instrumento, vous acceptez la collecte et l'utilisation de vos informations conformément à cette politique. Si vous n'êtes pas d'accord avec nos politiques et pratiques, veuillez ne pas utiliser nos services.
DPO / Encarregado: [email protected]
Informations que nous collectons
We collect personal information in three ways: information you provide directly, information generated automatically by your use of the platform, and information received from third-party services you connect.
Information You Provide Directly
- Name and email address when you register
- Organisation name and mission details
- Payment and billing information processed by Stripe
- Program data and participant information you upload into the platform
- Communications you send to our support team
Informations collectées automatiquement
- Données de journal et d'utilisation (adresse IP, type de navigateur, système d'exploitation)
- Informations sur l'appareil et identifiants uniques
- Données de localisation (localisation géographique générale basée sur l'adresse IP)
- Cookies et technologies de suivi similaires (voir notre Politique en matière de cookies)
Information from Third-Party Integrations
- Data from Google Sheets, Airtable, or other data sources you connect
- Authentication data from Google OAuth if you choose to sign in with Google
3. Bases Légales du Traitement
Nous traitons les données personnelles uniquement lorsqu'une base légale valide existe. Le tableau ci-dessous s'applique à l'échelle mondiale ; les suppléments régionaux des Sections 8 à 10 fournissent des détails supplémentaires.
| Activité de Traitement | Base Légale | S'applique à |
|---|---|---|
| Création et gestion de compte | Exécution du contrat | Tous les utilisateurs |
| Fourniture du service et fonctionnalités de la plateforme | Exécution du contrat | Tous les utilisateurs |
| Traitement des paiements | Exécution du contrat | Tous les utilisateurs |
| Support client | Exécution du contrat / Intérêt légitime | Tous les utilisateurs |
| Sécurité et prévention de la fraude | Intérêt légitime | Tous les utilisateurs |
| Analyse et amélioration de la plateforme | Intérêt légitime (avec consentement si requis) | Tous les utilisateurs |
| Respect des obligations légales | Obligation légale | Tous les utilisateurs |
| Communications marketing | Consentement (opt-in, obtenu séparément) | Tous les utilisateurs |
| Cookies non essentiels et suivi | Consentement (via bannière de cookies) | Tous les utilisateurs |
Lorsque le traitement est basé sur un intérêt légitime, nous avons effectué un test d'équilibre et déterminé que nos intérêts ne l'emportent pas sur vos droits fondamentaux. Vous pouvez demander une copie de cette évaluation à [email protected].
Lorsque le traitement est basé sur le consentement, vous pouvez le retirer à tout moment sans pénalité et sans perdre l'accès aux fonctionnalités principales de la plateforme.
Comment nous utilisons vos informations
Nous utilisons les informations que nous collectons aux fins suivantes :
We do not sell your personal information. We do not use your program participant data for any purpose other than delivering the Service to you.
Partage et divulgation des données
Nous ne vendons pas vos informations personnelles. Nous pouvons partager vos informations dans les circonstances suivantes :
- Prestataires de services : Fournisseurs tiers qui effectuent des services en notre nom (hébergement, traitement des paiements, analyses) dans le cadre d'accords de confidentialité stricts
- Transferts d'entreprise : Dans le cadre d'une fusion, d'une acquisition ou d'une vente d'actifs, vos informations peuvent être transférées à l'entité acquéreuse
- Exigences légales : Lorsque la loi, une ordonnance judiciaire ou une réglementation gouvernementale l'exige
- Protection des droits : Pour protéger nos droits, notre propriété, notre sécurité ou ceux de nos utilisateurs ou du public
- Avec votre consentement : Lorsque vous nous autorisez explicitement à partager vos informations
Conservation des données
Nous conservons vos informations personnelles aussi longtemps que nécessaire pour remplir les objectifs décrits dans cette Politique de confidentialité, sauf si une période de conservation plus longue est requise par la loi. Lorsque vous fermez votre compte, nous supprimerons ou anonymiserons vos informations personnelles dans les 90 jours, sauf si nous devons les conserver pour des raisons de conformité légale ou réglementaire.
- Account data: retained for the duration of your subscription plus 90 days following account closure.
- Program participant data: retained as long as your account is active and deleted within 90 days of account closure.
- Consent logs and data subject request records: retained for five years to satisfy audit requirements.
- Payment records: retained for seven years to comply with financial regulations.
Vous pouvez demander la suppression de vos données à tout moment en nous contactant à [email protected].
Sécurité des données
Nous mettons en œuvre des mesures de sécurité appropriées pour protéger vos informations :
- Chiffrement des données en transit via les protocoles TLS/SSL
- Authentification OAuth tierce (aucun mot de passe stocké sur nos serveurs)
- Contrôles d'accès basés sur les rôles au sein de la plateforme
- Infrastructure cloud gérée avec des contrôles de sécurité intégrés
- Traitement des paiements conforme PCI DSS Niveau 1 via Stripe
Bien que nous nous efforcions de protéger vos informations, aucune méthode de transmission sur Internet ou de stockage électronique n'est sécurisée à 100 %. Nous ne pouvons pas garantir une sécurité absolue, mais nous ferons des efforts raisonnables pour vous informer rapidement de toute violation de données conformément à la loi applicable. Pour plus de détails sur nos pratiques de sécurité, veuillez visiter notre <a href="/security">page Sécurité</a>.
8. Utilisateurs Européens — Supplément RGPD
Cette section s'applique aux utilisateurs situés dans l'Espace économique européen (EEE), au Royaume-Uni et en Suisse. Elle complète les dispositions générales ci-dessus et reflète les exigences du Règlement (UE) 2016/679 (RGPD) et, le cas échéant, du RGPD britannique.
8.1 Vos Droits en vertu du RGPD
Vous disposez des droits suivants, que vous pouvez exercer à tout moment en contactant [email protected] :
| Droit | Description | Délai de Réponse |
|---|---|---|
| Droit d'accès (Art. 15) | Obtenir confirmation du traitement et une copie de vos données personnelles | 30 jours |
| Droit de rectification (Art. 16) | Corriger des données inexactes ou incomplètes | 30 jours |
| Droit à l'effacement (Art. 17) | Demander la suppression ("droit à l'oubli") | 30 jours |
| Droit à la limitation (Art. 18) | Limiter le traitement dans certaines circonstances | 30 jours |
| Droit à la portabilité (Art. 20) | Recevoir vos données dans un format structuré et lisible par machine | 30 jours |
| Droit d'opposition (Art. 21) | S'opposer au traitement basé sur l'intérêt légitime | Cessation immédiate en attente d'examen |
| Droit de ne pas faire l'objet de décisions automatisées (Art. 22) | Demander un examen humain des décisions automatisées | 30 jours |
| Droit de retirer le consentement (Art. 7(3)) | Retirer le consentement à tout moment | Immédiat |
8.2 Architecture du Consentement (RGPD)
Pour les utilisateurs de l'UE, notre système fonctionne en mode opt-in strict. Aucun script, cookie ou suivi non essentiel n'est activé jusqu'à ce que vous les acceptiez explicitement via notre bannière de cookies. L'acceptation de nos Conditions d'Utilisation ne constitue pas un consentement au traitement des données. Le consentement est obtenu par un mécanisme séparé et granulaire et peut être retiré à tout moment via les Paramètres de Confidentialité de votre compte.
8.3 Transferts Internationaux de Données
Lorsque des données personnelles sont transférées en dehors de l'EEE, nous nous appuyons sur les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne (Décision 2021/914) comme mécanisme de transfert pour tous les fournisseurs d'infrastructure cloud. Vous pouvez demander une copie des CCT applicables en contactant [email protected].
8.4 Autorité de Contrôle
Vous avez le droit d'introduire une réclamation auprès de votre autorité de contrôle locale de protection des données. Une liste des autorités de contrôle de l'UE est disponible sur : https://edpb.europa.eu/about-edpb/about-edpb/members_en
9. Utilisateurs Brésiliens — Supplément LGPD
Cette section s'applique aux utilisateurs situés au Brésil et reflète les exigences de la Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709/2018. Elle complète les dispositions générales ci-dessus.
9.1 Vos Droits en vertu de la LGPD
Conformément à l'Art. 18 de la LGPD, vous disposez des droits suivants, exerçables à tout moment en envoyant un e-mail à [email protected]. Nous répondons dans un délai de 15 jours suivant la réception de la demande.
| Droit | Description |
|---|---|
| Confirmation et accès (Art. 18, I–II) | Confirmer si nous traitons vos données et obtenir une copie |
| Correction (Art. 18, III) | Corriger des données incomplètes, inexactes ou obsolètes |
| Anonymisation, blocage ou suppression (Art. 18, IV) | Demander l'anonymisation, le blocage ou la suppression de données inutiles |
| Portabilité (Art. 18, V) | Recevoir vos données dans un format structuré pour un autre fournisseur |
| Suppression (Art. 18, VI) | Demander la suppression des données traitées sur la base du consentement |
| Information sur le partage (Art. 18, VII) | Savoir avec quelles entités vos données ont été partagées |
| Révocation du consentement (Art. 18, IX) | Révoquer le consentement à tout moment, sans pénalité |
| Révision des décisions automatisées (Art. 20) | Demander un examen humain des décisions prises par des moyens automatisés |
9.2 Délégué à la Protection des Données (DPO / Encarregado)
Conformément à l'Art. 41 de la LGPD, nous avons désigné un Responsable du Traitement des Données (Encarregado de Dados) chargé de traiter les demandes des personnes concernées et de maintenir la communication avec l'ANPD :
9.3 Bases Légales (LGPD Art. 7)
La cartographie complète des bases légales pour chaque activité de traitement est disponible à la Section 3 de ce document. Pour les données sensibles (Art. 5, II de la LGPD), nous exigeons le consentement explicite de la personne concernée ou une autre base légale prévue à l'Art. 11.
9.4 Notification d'Incident
En cas d'incident de sécurité présentant un risque significatif, nous notifierons l'ANPD et les personnes concernées dans les 72 heures, conformément à l'Art. 48 de la LGPD et à la Résolution CD/ANPD nº 2/2022.
9.5 Autorité Nationale
Vous pouvez déposer une plainte auprès de l'Autoridade Nacional de Proteção de Dados (ANPD) : www.gov.br/anpd
10. Utilisateurs des États-Unis — Supplément CCPA/CPRA
Cette section s'applique aux résidents de Californie et reflète les exigences du California Consumer Privacy Act (CCPA), tel que modifié par le California Privacy Rights Act (CPRA). Elle complète les dispositions générales ci-dessus.
10.1 Vos Droits en vertu de la CCPA/CPRA
| Droit | Description | Délai de Réponse |
|---|---|---|
| Droit de savoir | Demander la divulgation des catégories et des éléments spécifiques d'informations personnelles que nous avons collectés à votre sujet | 45 jours |
| Droit de suppression | Demander la suppression des informations personnelles que nous avons collectées, sous réserve d'exceptions | 45 jours |
| Droit de correction | Demander la correction d'informations personnelles inexactes | 45 jours |
| Droit d'opposition à la vente ou au partage | Nous ne vendons ni ne partageons d'informations personnelles à des fins de publicité comportementale. Aucun opt-out n'est requis. | N/A |
| Droit de limiter l'utilisation des informations personnelles sensibles | Limiter notre utilisation des informations personnelles sensibles aux fins nécessaires | 45 jours |
| Droit à la non-discrimination | Nous ne vous discriminerons pas pour l'exercice de l'un de ces droits | N/A |
10.2 Pas de Vente d'Informations Personnelles
Nous ne vendons pas d'informations personnelles telles que définies par la CCPA/CPRA. Nous ne partageons pas d'informations personnelles à des fins de publicité comportementale entre contextes. Vous pouvez vérifier cet engagement à tout moment en contactant [email protected].
10.3 Exercice de Vos Droits
Les résidents de Californie peuvent soumettre des demandes par e-mail à [email protected] avec l'objet "CCPA Request". Nous vérifierons votre identité avant de traiter votre demande et répondrons dans un délai de 45 jours.
11. Cookies et Technologies de Suivi
Nous utilisons des cookies et des technologies similaires pour exploiter la plateforme, mémoriser vos préférences et (avec votre consentement) analyser les modèles d'utilisation. Notre bannière de cookies vous permet d'accepter tous les cookies, de rejeter les cookies non essentiels ou de personnaliser vos préférences par catégorie.
- Les cookies essentiels sont toujours actifs et nécessaires au fonctionnement de la plateforme. Ils incluent l'authentification de session, les jetons de sécurité et les préférences de langue.
- Les cookies analytiques nous aident à comprendre comment les utilisateurs interagissent avec la plateforme. Ceux-ci ne sont activés qu'avec votre consentement.
- Les cookies de fonctionnalité mémorisent vos préférences et personnalisations. Ceux-ci ne sont activés qu'avec votre consentement.
- Les cookies marketing ne sont utilisés que si vous avez explicitement opté pour leur utilisation. Nous n'utilisons pas de cookies marketing par défaut.
Pour les utilisateurs de l'UE, tous les cookies non essentiels sont bloqués jusqu'à ce que vous fournissiez un consentement explicite. Pour les utilisateurs d'autres régions, les cookies non essentiels peuvent être actifs par défaut, mais peuvent être désactivés à tout moment via la bannière de cookies ou votre page Paramètres de Confidentialité.
Confidentialité des enfants
Nos services ne s'adressent pas aux personnes de moins de 18 ans. Nous ne collectons pas sciemment d'informations personnelles auprès d'enfants. Si vous pensez que nous avons collecté par inadvertance des informations d'un enfant, veuillez nous contacter immédiatement afin que nous puissions les supprimer.
Modifications de cette Politique de confidentialité
Nous pouvons mettre à jour cette Politique de confidentialité de temps à autre pour refléter les changements dans nos pratiques ou les exigences légales. Nous vous informerons des changements importants en publiant la politique mise à jour sur notre site Web et en mettant à jour la date de « Dernière mise à jour ». Votre utilisation continue de nos services après l'entrée en vigueur des modifications constitue une acceptation de la politique révisée.
Nous contacter
Si vous avez des questions, des préoccupations ou des demandes concernant cette Politique de confidentialité ou nos pratiques en matière de données, veuillez nous contacter :
Instrumento
5 Union Square West #1396
New York, NY 10003
Téléphone : +1 (480) 227-8607