RepairRÉSEAU APPRENANT
Dernière mise à jour · 17 juin 2026

Protection des données

La présente politique de gestion des données personnelles s'applique à la plateforme REPAIR, opérée par la MONA (Mission des Organismes de Tourisme de Nouvelle-Aquitaine). Elle est conforme au RGPD (Règlement UE 2016/679) et à la Loi Informatique et Libertés.

Chiffré
🇫🇷 France
RGPD
Réseau privé

Confidentialité

Tes données, une priorité.

On a construit Repair pour le réseau, pas pour en tirer de la data. Les règles sont claires, les données restent en France.

  • Hébergement local

    Tes données sont stockées sur des serveurs sécurisés en France.

  • Modification ou suppression à tout moment

    Gère ton profil en un clic — on ne retient rien si tu pars.

  • Accès réservé aux salariés du réseau

    Tes données sont protégées et ne sortent pas du cadre MONA.

Le détail légal article par article ci-dessous ↓

  1. Responsable de traitement
  • Organisme : MONA — Mission des Organismes de Tourisme de Nouvelle-Aquitaine
  • Politique MONA : politique de données personnelles et cookies de la MONA
  • Qualité : responsable de traitement au sens du RGPD (Règlement UE 2016/679)
  • Contact DPO : mona@monatourisme.fr
  • Plateforme : repair.mona-tourisme.fr

  1. Finalités du traitement

La plateforme REPAIR collecte et traite les données personnelles des salarié·e·s des organismes de tourisme membres du réseau MONA pour les finalités suivantes :

2.1 Création et gestion du profil professionnel

  • Permettre l'inscription et l'identification de l'utilisateur
  • Afficher un profil professionnel consultable par les membres du réseau
  • Faciliter la mise en relation entre salarié·e·s sur la base de compétences et expertises
  • Permettre la modification et la suppression du profil à tout moment

2.2 Moteur de recherche et mise en relation

  • Indexer les compétences, outils et expertises déclarés pour le moteur de recherche
  • Enrichir les résultats de recherche via un traitement IA (Mistral AI) appliqué aux données du profil
  • Permettre le contact direct entre membres via l'adresse e-mail professionnelle

2.3 Administration et modération

  • Modérer les profils avant publication (validation par l'équipe MONA)
  • Assurer la maintenance et la sécurité de la plateforme
  • Envoyer des notifications de mise à jour de profil (relance automatique tous les 6 mois)
  • Archiver les profils inactifs après absence de réponse

2.4 Amélioration de la plateforme (données anonymisées)

  • Analyser les tendances de recherche (requêtes anonymisées)
  • Suivre les compétences les plus recherchées dans le secteur du tourisme
  • Améliorer l'algorithme de recommandation

  1. Base légale des traitements

Chaque traitement repose sur une base légale conforme à l'article 6 du RGPD :

  • Consentement explicite (art. 6.1.a) : création et publication du profil, traitement des données par IA, contact via e-mail professionnel.
  • Intérêt légitime (art. 6.1.f) : modération des profils, sécurité de la plateforme, relances de mise à jour, statistiques anonymisées.

Le consentement est recueilli lors de l'inscription via une case à cocher explicite. Il peut être retiré à tout moment en supprimant le profil.

  1. Données personnelles collectées

4.1 Données d'identification et de contact

  • Nom et prénom
  • Adresse e-mail professionnelle
  • Organisme / structure employeur
  • Statut de la structure (OT, CDT, CRT, etc.)
  • Poste occupé

4.2 Données professionnelles (déclaratives)

  • Missions au quotidien
  • Compétences et expertises
  • Outils et logiciels maîtrisés (ex. Apidae, SEO, communication digitale…)
  • Expériences dont l'utilisateur est fier
  • Participation à des communautés du réseau MONA
  • Interventions dans l'enseignement supérieur (établissement, niveau)

4.3 Données techniques

  • Identifiant utilisateur et jeton de session (authentification Supabase)
  • Date de dernière mise à jour du profil
  • Journaux d'accès à des fins de sécurité (anonymisés)

  1. Hébergement et sous-traitants

Toutes les données sont hébergées exclusivement dans l'Union européenne, dans le respect du RGPD et sans transfert hors UE.

  • Supabase (base PostgreSQL, authentification, stockage des photos) — région Paris, France. Chiffrement TLS en transit et AES-256 au repos. Sauvegardes automatiques quotidiennes. DPA signé.
  • Vercel (hébergement de l'application web Next.js) — région Paris (CDG), France. Aucune donnée personnelle persistée côté Vercel — uniquement le rendu des pages.
  • Mistral AI (traitement IA de la recherche intelligente) — API hébergée en France. Les données transmises sont limitées aux champs du profil nécessaires à la recherche. Elles ne sont pas utilisées pour entraîner les modèles. DPA signé.
  • OVHcloud (envoi des e-mails transactionnels — SMTP) — France. E-mails d'inscription, validation, notifications de contact et réinitialisation de mot de passe.

Un Data Processing Agreement (DPA) est signé avec chaque sous-traitant conformément à l'article 28 du RGPD.

  1. Durées de conservation
  • Profil actif — données conservées pendant toute la durée d'activité du compte.
  • Profil inactif (sans mise à jour depuis 6 mois) — une relance par e-mail est envoyée. Sans réponse sous 30 jours, le profil est archivé (non visible) et supprimé après 12 mois d'inactivité totale.
  • Après suppression du compte — les données sont supprimées dans un délai maximum de 30 jours des systèmes actifs. Les sauvegardes sont purgées selon le cycle de rétention (30 jours glissants).
  • Journaux techniques — 12 mois maximum, anonymisés.

  1. Droits des utilisateurs

Conformément au RGPD (articles 15 à 22), chaque utilisateur dispose des droits suivants sur ses données personnelles :

  • Droit d'accès (art. 15) — consulter l'ensemble des données enregistrées dans votre profil, directement depuis l'interface REPAIR.
  • Droit de rectification (art. 16) — modifier vos informations à tout moment depuis votre espace profil.
  • Droit à l'effacement (art. 17) — supprimer définitivement votre profil et toutes vos données associées, en un clic depuis l'interface.
  • Droit à la portabilité (art. 20) — exporter vos données dans un format standard (CSV, JSON) depuis votre profil ou sur demande à la MONA.
  • Droit d'opposition (art. 21) — vous opposer à un traitement particulier (notamment pour les statistiques anonymisées) en contactant le DPO.
  • Droit de retrait du consentement — retirer votre consentement à tout moment, sans que cela ne remette en cause la licéité des traitements antérieurs.

Pour exercer vos droits : contactez mona@monatourisme.fr en précisant vos nom, prénom et organisme. Délai de réponse : 30 jours maximum.

En cas de litige non résolu, vous pouvez saisir la CNIL ou toute autorité de contrôle compétente.

  1. Sécurité des données

La MONA et son prestataire technique mettent en œuvre les mesures techniques et organisationnelles suivantes :

  • Chiffrement des communications : HTTPS / TLS 1.3 de bout en bout
  • Chiffrement des données au repos : AES-256 sur la base PostgreSQL et le bucket photos (Supabase)
  • Authentification par tokens JWT signés, avec rotation automatique des sessions
  • Isolation des données par Row Level Security PostgreSQL : chaque membre n'accède qu'aux informations auxquelles il a droit
  • Accès aux profils restreint aux salarié·e·s connecté·e·s et validé·e·s par l'équipe MONA
  • Les coordonnées (e-mail) sont visibles uniquement des membres authentifiés
  • Modération humaine avant toute publication de profil
  • Sauvegardes automatiques quotidiennes (Supabase), rétention 7 à 30 jours, tests de restauration périodiques
  • Hébergement dans l'Union européenne (Supabase Paris, Vercel CDG, OVHcloud France)
  • Aucune transmission de données personnelles hors Union européenne

  1. Cookies et traceurs

La plateforme REPAIR utilise uniquement des cookies strictement nécessaires à son fonctionnement (authentification, session). Aucun cookie publicitaire ni aucun traceur tiers à des fins marketing n'est utilisé.

Les données de navigation (requêtes de recherche) sont anonymisées et utilisées exclusivement pour améliorer la plateforme.

  1. Traitement par intelligence artificielle

La plateforme utilise Mistral AI pour enrichir les résultats du moteur de recherche. Ce traitement :

  • Analyse les champs déclaratifs du profil (compétences, outils, missions) pour en améliorer la pertinence dans les résultats de recherche
  • Ne génère pas de décision automatisée produisant des effets juridiques sur les utilisateurs
  • N'utilise pas les données pour entraîner des modèles d'IA tiers
  • Est couvert par un DPA avec Mistral AI, avec données hébergées en France

L'utilisateur est informé de ce traitement lors de l'inscription.

  1. Mise à jour de la politique

La présente politique peut être mise à jour pour refléter les évolutions de la plateforme ou de la réglementation. Les utilisateurs seront informés par e-mail de toute modification substantielle. La date de version figure en en-tête du document.

La version en vigueur est toujours accessible depuis la page d'accueil de la plateforme REPAIR.

  1. Contact

  1. Ressources MONA
  • Modèle de DPA avec Mistral AI — PDF — document interne MONA à garder à disposition en cas de contrôle.
  • Guide de l'utilisateur REPAIR — PDF — 2026 — lien à venir.

  1. Résumé
  • Hébergement local — vos données sont stockées sur des serveurs sécurisés en France.
  • Modification ou suppression de votre profil en un clic à tout moment.
  • Accès réservé aux salarié·e·s du réseau — vos données sont protégées et ne sortent pas du cadre du réseau MONA.

Une question, une demande liée à tes données personnelles ? Écris-nous à mona@monatourisme.fr — on te répond sous 30 jours maximum. Voir aussi la charte d'engagement →