Politique de Confidentialité

1. Objectif du document

Cette politique a pour but de vous expliquer de manière transparente comment nous traitons les données personnelles que vous nous confiez : quelles informations nous collectons, pour quelles raisons nous les utilisons et quelles mesures de sécurité nous appliquons pour les protéger.

Elle a été rédigée conformément à la réglementation française et européenne sur la protection des données, et respecte pleinement les principes du Règlement général sur la protection des données (RGPD – règlement UE 2016/679) en vigueur depuis le 25 mai 2018.

Pour toute question concernant cette Politique de Confidentialité, vous pouvez contacter notre Contact Protection des Données à l'adresse suivante : dpo@chooseandconnect.com

2. Champ d'application - Catégories de personnes concernées

Cette Politique s'applique aux traitements réalisés à l'égard des :

  • étudiants (utilisateurs personnes physiques, à partir de 14 ans) ;
  • parents (titulaires d'un compte Parent ou représentants légaux d'un utilisateur mineur) ;
  • recruteurs (personnes physiques agissant à titre professionnel et/ou représentants d'une personne morale) ;
  • établissements (représentants de comptes établissement) ;
  • propriétaires (Choose Your Place) ;
  • résidences Partenaires / Partenaires (Choose Your Place) ;
  • conseillers d'orientation (Annuaire des Conseillers d'orientation) ;
  • visiteurs publics.

3. Définitions

Les termes et expressions utilisés dans cette Politique ont la même signification que celle qui leur est attribuée à l'article 4 du RGPD.

Consentement : toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement.

Destinataire : la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu'il s'agisse ou non d'un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d'une mission d'enquête particulière conformément au droit de l'Union ou au droit d'un État membre ne sont pas considérées comme des destinataires ; le traitement de ces données par les autorités publiques en question est conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement.

Données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée ») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Fichier : tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.

Responsable du traitement : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre.

Sous-Traitant : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

Traitement : toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.

4. Coordonnées du responsable de traitement

TERRACODA
SAS au capital social de 40 000 €
RCS Nanterre 981 483 662
Siège social : 55 RUE DE L'EST, 92100 BOULOGNE-BILLANCOURT
Email : dpo@chooseandconnect.com

Les Recruteurs peuvent y publier des Offres de stages ou d'alternance. Ils sont, à ce titre, destinataires des données des candidats qui postulent via la Plateforme. Les Recruteurs sont responsables des traitements qu'ils effectuent sur les données reçues dans le cadre des candidatures.

5. Coordonnées du contact protection des données

Notre Référent / Contact protection des données ci-après « Contact protection des données » est là pour répondre à toutes les demandes, y compris d'exercice de vos droits, relatives à vos données à caractère personnel.

Vous pouvez le contacter par mail à l'adresse suivante : dpo@chooseandconnect.com

6. Données personnelles collectées

6.1. Données collectées à l'inscription et à la première connexion

L'inscription, la connexion et le compte utilisateur sont mutualisés sur l'ensemble des services de la plateforme (Choose & Connect, Choose Your Career, Choose Your Place). Certaines données sont centralisées au niveau du compte et réutilisées d'un service à l'autre sans nouvelle saisie ; d'autres sont propres à chaque application.

Données du compte (centralisées et communes à l'ensemble des services) :

  • prénom : demandé à l'inscription ;
  • adresse email : demandée à l'inscription ;
  • méthode d'authentification choisie :
    • fournisseur d'identité tiers (Google, Facebook, LinkedIn, Apple, Discord ou Microsoft) ;
    • email + code de vérification à usage unique (OTP). Le cas échéant, un mot de passe défini ultérieurement et de manière facultative par l'utilisateur ;
  • tranche d'âge : renseignée sur l'onboarding, obligatoire — 15 ans ou moins / 16-17 ans / 18 ans et plus —, afin de déterminer le statut mineur/majeur, les accès différenciés et, le cas échéant, le déclenchement du consentement parental. La tranche d'âge est déclarée par l'utilisateur lors de son parcours d'onboarding, dans l'application par laquelle il accède pour la première fois ; elle est ensuite enregistrée au niveau de son compte et réutilisée par les autres services, sans lui être redemandée ;
  • profil : renseigné sur l'onboarding, obligatoire — par exemple étudiant, parent ; afin d'activer ou non certaines fonctionnalités selon l'application et la tranche d'âge. Le profil déclaré dans une application est enregistré au niveau du compte afin d'être, le cas échéant, repris automatiquement dans les autres applications — voir §7, « Synchronisation des profils entre les applications » ;
  • adresse email du représentant légal : renseignée sur l'onboarding, obligatoire uniquement pour les utilisateurs ayant déclaré la tranche « 15 ans ou moins » ;
  • ville de résidence : renseignée une seule fois, enregistrée au niveau du compte et réutilisée par les services sans nouvelle saisie, utilisée pour personnaliser les résultats et à des fins de statistiques internes.

Données propres à chaque application :

  • les données spécifiques à chaque service décrites au §6.2 (CVthèque, préférences de colocation, etc.).

Données facultatives renseignées par l'utilisateur (paramètres du compte) :

  • date de naissance (facultative ; lorsqu'elle est renseignée, elle permet d'affiner le statut d'âge) ;
  • genre (facultatif ; choix entre « Je suis un homme » / « Je suis une femme » / « Je ne souhaite pas répondre » ; lorsqu'il est renseigné, il est collecté afin de pouvoir produire, sous forme strictement agrégée et anonymisée, des statistiques transmises aux collectivités territoriales — communes, départements, régions — dans une finalité d'observation des publics étudiants et d'amélioration de l'offre territoriale d'orientation et de logement).

Données transmises par les fournisseurs d'identité tiers (le cas échéant) :

Lorsque l'utilisateur s'authentifie via un fournisseur d'identité tiers (Google, Facebook, LinkedIn, Apple, Discord ou Microsoft), ce dernier transmet à la Plateforme les données strictement nécessaires à la création et à la sécurisation du compte, à savoir a minima le prénom et l'adresse email. Apple peut transmettre une adresse email relais préservant la confidentialité de l'utilisateur. Aucune donnée supplémentaire n'est collectée auprès de ces fournisseurs.

6.2. Données renseignées sur le profil

Les utilisateurs peuvent compléter leur profil avec des informations supplémentaires, sans caractère obligatoire. Ces données sont utilisées uniquement à des fins internes de personnalisation du service et ne sont pas visibles par les autres utilisateurs (recruteurs, établissements) :

  • nom de famille ;
  • genre (facultatif - voir §6.1) ;
  • niveau scolaire (collégien, lycéen, étudiant, en réorientation) ;
  • établissement fréquenté ;
  • tout autre champ optionnel disponible sur la page profil.

Pour les comptes Étudiant accédant aux services de mise en relation (16 ans et plus) : des informations supplémentaires peuvent être renseignées dans le cadre de la CVthèque (biographie, CV, poste recherché, type de contrat, disponibilité, ouverture au télétravail). Ces données sont susceptibles d'être consultées par les Recruteurs inscrits sur la plateforme, dans les conditions décrites à l'article 9. Dans le cadre d'une candidature, un Recruteur peut demander au candidat de répondre à une question sous forme de fichier vidéo ou audio (challenge vidéo/audio). La soumission de ce fichier est à l'initiative exclusive du candidat et constitue une donnée à caractère personnel traitée dans le cadre de la procédure de candidature.

Pour les comptes Recruteur : données relatives à l'entreprise représentée, fonction occupée, offres publiées, numéro de téléphone et adresse email professionnelle.

Pour les comptes Établissement : nom de l'établissement, fonction occupée par le représentant.

Pour les Conseillers référencés dans l'Annuaire :

  • nom, prénom, photo, biographie, valeurs, services proposés, spécialités, publics ciblés, langues parlées, ville/département/région d'exercice, modalités (visioconférence, présentiel) ;
  • coordonnées professionnelles : email, téléphone, site web, liens vers réseaux sociaux (LinkedIn, Instagram, Facebook), URL de l'Outil de réservation tiers (ex. Calendly) ;
  • éléments documentaires fournis lors de la procédure d'admission (justificatifs d'activité professionnelle), conservés à des fins de traçabilité du Badge Certifié.

Pour les comptes accédant à Choose Your Place (16 ans et plus) :

  • Étudiants : photos de profil, biographie, préférences de colocation (lifestyle, genre préféré du ou des colocataires), budget, durée recherchée, ville et zone géographique de recherche, type de logement ;
  • Propriétaires et Résidences Partenaires : raison sociale ou nom, photos du logement, description, adresse précise du logement, prix, surface, type de logement, modalités de location, coordonnées de contact ;
  • pour les Étudiants, Propriétaires et Résidences Partenaires postant des Annonces : Données issues de la Vérification d'identité optionnelle : numéro de téléphone mobile vérifié par SMS, et le cas échéant données biométriques issues de la capture vidéo « liveness » (voir section spécifique ci-après) ;
  • La préférence de genre du colocataire, lorsqu'elle est renseignée par un Étudiant publiant une Annonce, est traitée uniquement dans le cadre de l'aide à la mise en relation entre colocataires partageant un même logement. Ce champ est désactivé pour les comptes Propriétaire et Résidence Partenaire et ne constitue pas un critère de recherche.

6.3. Données générées par l'utilisation des services

  • réponses au questionnaire RIASEC et profil RIASEC généré (2 lettres dominantes et scores) ;
  • métiers, formations, Journées Portes Ouvertes et établissements consultés ou mis en favori ;
  • historique de navigation et de recherche sur la plateforme ;
  • candidatures initiées via la plateforme ;
  • interactions (clics, recherches, annotations dans l'espace famille) ;
  • données techniques de connexion (adresse IP, date et heure de connexion) ;
  • données de support : échanges avec le support, demandes, réclamations ;
  • Choose Your Place : Matchs, conversations / messages échangés via la messagerie privée, candidatures logement transmises aux Résidences Partenaires, signalements émis ;
  • simulateur de budget : valeurs saisies par l'utilisateur, conservées localement, puis sur serveur lorsque l'Utilisateur enregistre sa simulation.

6.4. Données non collectées

La plateforme n'a pas vocation à collecter les données suivantes :

  • données sensibles au sens de l'article 9 du RGPD (origine ethnique, opinions politiques, convictions religieuses, données de santé, etc.) à l'exception des données biométriques traitées dans le cadre de la Vérification d'identité optionnelle de Choose Your Place, dans les conditions de l'article 6.5 ci-après et sous réserve du consentement explicite de l'utilisateur ;
  • données de paiement (les éventuels paiements sont gérés par un prestataire tiers sécurisé) ;
  • adresse postale (sauf si renseignée volontairement dans un CV) ;
  • numéro de téléphone (sauf pour les comptes Recruteur, Propriétaire, Résidence Partenaire, Conseiller, et les utilisateurs ayant volontairement activé la Vérification d'identité de Choose Your Place).

Les utilisateurs sont invités à ne pas publier de données sensibles. Si de telles données sont communiquées volontairement (par exemple dans un CV), elles seront traitées uniquement à la demande de l'utilisateur et sous sa responsabilité, dans le cadre des finalités décrites.

6.5. Vérification d'identité et données biométriques (Choose Your Place)

Dans le cadre de Choose Your Place, l'utilisateur peut, à titre strictement facultatif, activer un dispositif de Vérification d'identité destiné à renforcer la confiance au sein de la communauté. Ce dispositif repose sur :

  • la capture d'une vidéo de courte durée (« liveness ») associée à la lecture de phrases prédéfinies. Cette vidéo constitue une donnée biométrique au sens de l'article 9 du RGPD ;
  • la vérification d'un numéro de téléphone mobile par envoi d'un code par SMS.

La base légale de ce traitement est le consentement explicite de l'utilisateur (article 9.2.a du RGPD).

Le consentement est recueilli à chaque enregistrement (consentement « one-shot ») : aucune autorisation persistante n'est délivrée. La capture vidéo est automatiquement supprimée sous 30 jours suivant la vérification, conformément aux durées de conservation prévues à l'article 11. L'utilisateur peut par ailleurs exercer son droit à l'effacement (art. 17 RGPD) pour solliciter la suppression anticipée de la vidéo, en adressant sa demande à dpo@chooseandconnect.com.

Ce dispositif n'a pas vocation à identifier une personne au sens du règlement eIDAS, ni à servir de vérification d'identité réglementée au sens de la lutte contre le blanchiment.

Il ne se substitue pas à un contrôle d'identité officiel et n'engage pas la responsabilité de TERRACODA SAS quant à l'identité réelle des utilisateurs vérifiés.

Durées de conservation spécifiques :

  • vidéo « liveness » : conservée le temps strict du contrôle puis supprimée sous 30 jours ;
  • numéro de téléphone vérifié : durée de vie du compte, puis suppression à la clôture.

Une analyse d'impact relative à la protection des données (AIPD) a été conduite en application de l'article 35 du RGPD. Elle est disponible sur demande motivée auprès du DPO.

7. Finalités et bases légales

Choose and Connect traite les données pour les finalités suivantes :

Finalité de traitement Base légale
Création et gestion des comptes
Finalité : inscription, authentification, gestion du profil. 		Exécution d'un contrat (CGU/CGV) (art. 6.1.b RGPD).
Détermination du statut mineur/majeur et gestion des accès différenciés
Finalité : application des restrictions d'âge prévues à l'article 14 des CGU sur la base de la tranche d'âge déclarée, recueil et traçabilité du consentement parental pour les utilisateurs de 14 ou 15 ans. 		Obligation légale (art. 6.1.c RGPD) et intérêt légitime (art. 6.1.f RGPD).
Questionnaire RIASEC et recommandations métiers/formations Exécution du contrat (art. 6.1.b RGPD).
Personnalisation des résultats selon le profil et la localisation Exécution du contrat (art. 6.1.b RGPD).
Traitement des fichiers vidéo et audio soumis dans le cadre d'un challenge de candidature Exécution du contrat (art. 6.1.b RGPD).
Espace famille
Finalité : partage de favoris, annotations parent-enfant. 		Exécution du contrat (art. 6.1.b RGPD).
Gestion des pages Établissements (dont services payants le cas échéant)
Finalité : revendication, gestion et valorisation de la page établissement, statistiques associées. 		Exécution du contrat (art. 6.1.b RGPD).
Recueil et traçabilité du consentement parental Obligation légale (art. 6.1.c RGPD).
Assistance, support et gestion des réclamations
Finalité : support technique, réponse aux demandes, traçabilité des échanges. 		Intérêt légitime (qualité et continuité du service) (art. 6.1.f RGPD).
Sécurité, prévention de la fraude et gestion des incidents
Finalité : sécurité de la Plateforme, détection d'abus, protection des comptes, journalisation, audits. 		Intérêt légitime (sécurité) (art. 6.1.f RGPD).
Modération et conformité
Finalité : traitement des signalements, retrait/déréférencement de contenus illicites, prévention d'abus. 		Intérêt légitime (intégrité de la Plateforme, conformité) (art. 6.1.f RGPD).
Statistiques d'usage et amélioration du service
Finalité : mesures d'audience, performance, amélioration des fonctionnalités, analyses globales. 		Intérêt légitime (amélioration des services) (art. 6.1.f RGPD).
Communication (newsletter)
Finalité : envoi d'informations relatives aux services, nouveautés, contenus, événements. 		Ce traitement repose sur votre consentement (art. 6.1.a du RGPD), sauf exception concernant l'envoi d'emailing aux professionnels (B2B).
Désinscription : lien de désinscription dans chaque message ou demande à dpo@chooseandconnect.com.
Fourniture du service Choose Your Career (recherche d'offres, candidatures, CVthèque) Exécution du contrat (art. 6.1.b RGPD).
Fourniture du service Choose Your Place (recherche, publication d'Annonces, Matchs, messagerie, candidatures aux Résidences Partenaires) Exécution du contrat (art. 6.1.b RGPD).
Vérification d'identité optionnelle (Choose Your Place) — capture biométrique et vérification SMS Consentement explicite (art. 6.1.a et art. 9.2.a RGPD).
Transmission d'une Candidature logement à une Résidence Partenaire ou un Propriétaire Exécution du contrat (art. 6.1.a et 6.1.b RGPD).
Édition de l'Annuaire des Conseillers d'orientation et procédure d'admission (Badge Certifié) Exécution du contrat + intérêt légitime (art. 6.1.b et 6.1.f RGPD).
Mise en relation Étudiant ↔ Conseiller via redirection vers un Outil de réservation tiers Aucune donnée n'est collectée par TERRACODA à cette étape. L'utilisateur est informé par les CGU (art. 5.8.4 et 5.8.5) qu'il est redirigé vers l'Outil de réservation tiers du Conseiller, dont les conditions d'utilisation et la politique de confidentialité lui sont propres.
Production et transmission de statistiques agrégées aux collectivités territoriales
Finalité : observation des publics étudiants et amélioration de l'offre territoriale d'orientation et de logement. Cette finalité repose sur le genre lorsque l'utilisateur a choisi de le renseigner ; aucune donnée individuelle n'est transmise — seules des données agrégées et anonymisées le sont. 		Intérêt légitime (art. 6.1.f RGPD) — éventuellement mission d'intérêt public (art. 6.1.e) si la collectivité en fait formellement la demande.
Authentification par code de vérification (OTP) et vérification différée de l'adresse e-mail
Finalité : génération et vérification des codes à usage unique, vérification de l'adresse e-mail, envoi des emails de rappel et suspension des comptes non vérifiés à 72 heures. 		Exécution du contrat (art. 6.1.b RGPD) + intérêt légitime (sécurité - art. 6.1.f RGPD).
Synchronisation des profils entre les applications de l'écosystème
Finalité : tenue d'un registre central des profils (étudiant, parent) permettant, sur première connexion à une application, de reprendre le profil déjà déclaré dans une autre application et d'appliquer les règles d'accès et de blocage prévues par les CGU (ex : réservation de Choose Your Career et Choose Your Place aux utilisateurs éligibles). 		Exécution du contrat (art. 6.1.b RGPD).

Nous ne vendons jamais vos données personnelles. Nous n'utilisons pas vos données à des fins de publicité ciblée.

8. Prise de décision automatisée et algorithme de recommandation

Le traitement de vos données peut inclure des opérations de profilage au sens de l'article 4.4 du RGPD, notamment lors de l'analyse de vos résultats RIASEC ou de l'évaluation de la pertinence d'une Offre par rapport à votre profil. Ces opérations ne produisent toutefois aucune décision automatisée au sens de l'article 22 du RGPD : aucune décision n'est prise sans intervention humaine sur la base de ces seuls résultats.

La plateforme ne prend aucune décision automatisée produisant des effets juridiques ou significatifs à l'égard des utilisateurs au sens de l'article 22 du RGPD.

L'Application d'orientation utilise un algorithme de recommandation dont le fonctionnement est le suivant : mise en correspondance entre votre profil RIASEC (2 lettres dominantes et scores issus du questionnaire) et les profils RIASEC associés à chaque métier de notre base de données. Cet algorithme produit des suggestions à titre indicatif et ne constitue pas une décision automatisée au sens réglementaire.

Au sein du service Choose Your Career, les outils d'IA sont mis en place uniquement pour faciliter la recherche et classer les Offres par pertinence. L'IA ne produit en aucun cas de décision automatisée au sens de l'art. 22 RGPD.

Vous pouvez demander des explications sur le fonctionnement de cet algorithme à : dpo@chooseandconnect.com

9. Destinataires des données

Seules les personnes déterminées mentionnées ci-dessous peuvent avoir accès à vos données à caractère personnel.

Personnel interne : le personnel de TERRACODA habilité à les traiter dans la limite de ses attributions et au regard des finalités poursuivies.

Sous-traitants techniques : le personnel habilité de nos prestataires de services qui agissent sur instruction de TERRACODA et avec lesquels nous exigeons que vos données soient traitées conformément à des engagements en matière de confidentialité et de sécurité (article 28 du RGPD). Parmi les catégories de sous-traitants figurent notamment :

  • hébergement des applications et base de données (Heroku Postgres) : Heroku (Salesforce Inc.), région Europe ;
  • stockage de fichiers : Amazon Web Services (Amazon Web Services, Inc.), région Europe ;
  • solutions d'e-mailing, d'envoi de notifications et de SMS : Brevo (Sendinblue SAS, France) ;
  • outils de statistiques et de mesure d'audience : Google Analytics (Google LLC), sous réserve de votre consentement ;
  • prestataire de cartographie et de géocodage : OpenStreetMap Nominatim, nominatim.openstreetmap.org/search, BAN Gouvernement Français, api-adresse.data.gouv.fr/search ;
  • Le cas échéant, un prestataire de paiement en ligne (fonctionnalité à venir).

L'authentification des comptes s'appuie sur le logiciel Keycloak, auto-hébergé par TERRACODA sur son infrastructure d'hébergement ; il ne constitue pas un sous-traitant distinct.

La liste actualisée de nos sous-traitants principaux peut être communiquée sur simple demande à notre contact protection des données.

Fournisseurs d'identité tiers : lorsque l'utilisateur choisit de s'authentifier au moyen d'un compte tiers, des données d'authentification sont échangées avec le fournisseur concerné — Google (Google LLC), Facebook (Meta Platforms Inc.), LinkedIn (Microsoft Corporation), Apple (Apple Inc.), Discord (Discord Inc.), Microsoft (Microsoft Corporation). Ces fournisseurs agissent en qualité de responsables de traitement autonomes pour les traitements qu'ils opèrent dans le cadre de leurs propres services de connexion. L'utilisateur est invité à consulter leurs politiques de confidentialité respectives. CHOOSE AND CONNECT ne reçoit de ces fournisseurs que les données strictement nécessaires à la création et à la sécurisation du compte (prénom, adresse email).

Recruteurs : pour les utilisateurs âgés de 16 ans et plus apparaissant dans la CVthèque, leurs informations peuvent être consultées par les Recruteurs inscrits sur la plateforme. Si l'étudiant ne souhaite pas y apparaître, seuls les Recruteurs chez qui il a postulé pourront voir ses informations.

Les fichiers vidéo et audio soumis dans le cadre d'un challenge de candidature sont accessibles uniquement depuis le compte du Recruteur ayant publié l'offre concernée. TERRACODA met en œuvre des contrôles d'accès techniques afin de limiter la consultation à ce seul compte.

Toutefois, TERRACODA ne peut pas techniquement empêcher un Recruteur de filmer son écran lors du visionnage, de transmettre le fichier à un tiers, ou de permettre à une tierce personne de visionner le contenu depuis son poste. Ces usages relèvent de la seule responsabilité du Recruteur. En acceptant les CGU, le Recruteur s'engage à utiliser ces fichiers dans le strict cadre de l'évaluation des candidatures et à ne pas les diffuser, transmettre ou utiliser à d'autres fins. TERRACODA décline toute responsabilité en cas d'usage non conforme du fichier par le Recruteur au-delà des limites techniques de la plateforme.

Établissements partenaires : uniquement si l'utilisateur clique volontairement sur « Découvrir l'école » ou demande à être mis en relation avec un établissement. Seules les données strictement nécessaires sont alors transmises (prénom, email, et le cas échéant formation consultée). L'établissement destinataire devient responsable du traitement des données qu'il reçoit. Aucune donnée n'est transmise à des annonceurs, data brokers ou tout autre tiers commercial.

Conseillers d'orientation référencés dans l'Annuaire : aucune donnée n'est transmise par TERRACODA SAS à un Conseiller. L'utilisateur souhaitant prendre rendez-vous est redirigé vers l'Outil de réservation tiers du Conseiller (par exemple Calendly), dont l'éditeur agit en qualité de responsable ou de sous-traitant pour le compte du Conseiller. Les conditions d'utilisation et la politique de confidentialité de cet outil sont propres à son éditeur.

Autres utilisateurs (Étudiants, Propriétaires, Résidences Partenaires) dans le cadre d'un Match Choose Your Place : les Utilisateurs ayant accepté réciproquement une mise en relation accèdent à une messagerie privée. Les informations postées sur cette messagerie par chaque utilisateur sont alors partagées dans le cadre strict de cette mise en relation.

Collectivités territoriales (communes, départements, régions) : uniquement sous forme de statistiques agrégées et anonymisées (jamais de données individuelles), aux fins d'observation des publics étudiants et d'amélioration de l'offre territoriale. Aucune donnée nominative n'est transmise.

Autorités compétentes : les tiers autorisés tels que des autorités administratives ou judiciaires lorsque la loi l'exige.

10. Transfert des données hors UE

Vos données personnelles peuvent être transférées en dehors de l'Union Européenne, notamment lorsque nous faisons appel à des sous-traitants techniques ou à des fournisseurs d'identité établis dans des pays tiers (hébergement, stockage, mesure d'audience, authentification).

Ces transferts sont encadrés par des garanties appropriées, conformément à la réglementation applicable :

  • Adhésion au Data Privacy Framework (DPF) UE–États-Unis pour : Google LLC (Google Analytics), Salesforce, Inc. (Heroku, dont Heroku Postgres), Amazon Web Services, Inc. (AWS), ainsi que les fournisseurs d'identité Google, Meta (Facebook), LinkedIn / Microsoft et Discord ;
  • Clauses Contractuelles Types (CCT) de la Commission européenne pour : Apple Inc. (« Se connecter avec Apple ») ;
  • ou toute autre mesure reconnue par la Commission européenne comme assurant un niveau de protection adéquat.

Les prestataires établis dans l'Union européenne (Brevo, BAN) ne donnent lieu à aucun transfert hors UE. OpenStreetMap Nominatim est opéré depuis le Royaume-Uni, qui bénéficie d'une décision d'adéquation de la Commission européenne.

Pays vers lesquels des transferts sont susceptibles d'intervenir : États-Unis (sous DPF actif et/ou CCT) et Royaume-Uni (adéquation).

Vous pouvez obtenir une copie de ces garanties ainsi que la liste des pays et partenaires concernés en contactant notre contact protection des données à l'adresse suivante : dpo@chooseandconnect.com

11. Durée de conservation des données

Vos données personnelles ne sont conservées que pendant la durée strictement nécessaire à la fourniture de nos services, c'est-à-dire pendant toute la période d'utilisation de votre compte jusqu'à sa clôture effective.

À compter de votre dernière connexion, les données associées à votre compte sont conservées au maximum pendant deux ans, sauf obligations légales contraires.

Une fois ces délais expirés et votre compte définitivement clôturé, vos informations sont irrémédiablement anonymisées. Les données ainsi rendues anonymes ne sont utilisées qu'à des fins statistiques, par exemple pour analyser l'usage des fonctionnalités de la plateforme ou la performance des offres publiées.

Les catégories de données personnelles ci-dessous pourront par ailleurs être conservées pour des durées plus longues dans les cas suivants :

  • les données de contact nécessaires à l'envoi de nos communications et newsletters sont conservées jusqu'au désabonnement de la personne ou 3 ans après le dernier contact ou la dernière interaction. Vous pouvez décider de faire jouer votre droit d'opposition à tout moment, soit en nous envoyant un e-mail à l'adresse contact@chooseandconnect.com, soit via le lien de désinscription intégré dans nos emails ;
  • conformément à la législation française, les conventions et contrats générés via la plateforme Choose and Connect sont conservés pendant une durée de cinq (5) ans pour répondre aux obligations légales et réglementaires ;
  • les fichiers vidéo et audio soumis dans le cadre d'un challenge de candidature sont conservés pendant 30 jours à compter de la clôture de l'offre concernée, puis supprimés définitivement. Le candidat peut demander leur suppression anticipée en exerçant son droit à l'effacement auprès de dpo@chooseandconnect.com ;
  • les données permettant d'établir la preuve d'un droit ou d'un contrat, ou conservées au titre du respect d'une obligation légale, pourront faire l'objet d'une politique d'archivage intermédiaire afin de satisfaire aux obligations légales, comptables et fiscales. Il s'agit notamment du délai de prescription de droit commun de 5 ans prévu à l'article 2224 du code civil. En cas de procédure contentieuse, vos données à caractère personnel ainsi que toute informations, documents, pièces contenant les données à caractère personnel tendant à établir les faits susceptibles d'être reprochés pourront être conservés pour la durée de la procédure, y compris pour une durée supérieure de celles indiquées ci-dessus ;
  • les données relatives à la gestion des demandes de droit issus du RGPD sont conservées pour toute la durée nécessaire au traitement et seront par la suite archivées pour la durée de prescription pénale applicable (6 ans) ;
  • les données techniques d'identification (adresse IP, dates et heures de connexion) sont conservées pendant un (1) an conformément aux obligations légales de traçabilité ;
  • les données de traçabilité du consentement parental (email du représentant légal, adresse IP, décision, version des documents présentés) sont conservées pendant toute la durée d'activité du compte du mineur, pour 6 ans (durée de prescription pénale) ou 5 ans selon la nature des éventuels litiges ;
  • annonces de logement : durée de publication choisie par le publiant, puis 90 jours d'archivage post-désactivation, puis suppression ;
  • messages échangés via la messagerie privée (Matchs Choose Your Place) : conservés tant que l'un des deux comptes est actif, supprimés 30 jours après la fermeture du dernier compte concerné ;
  • candidatures logement transmises aux Résidences Partenaires : 12 mois côté CnC (à des fins de preuve et de gestion des litiges), durée propre côté destinataire ;
  • données biométriques (vidéo liveness) : supprimées sous 30 jours après validation du contrôle ;
  • numéro de téléphone vérifié dans Choose Your Place : durée de vie du compte ;
  • éléments documentaires d'admission Conseiller : durée du référencement + 5 ans aux fins de preuve ;
  • conversations et leads de l'Annuaire des Conseillers : aucune donnée conservée côté CnC ;
  • codes de vérification (OTP) : durée de validité de 15 minutes, à usage unique ; non conservés au-delà ;
  • registre des profils inter-applications (tranche d'âge, profil étudiant/parent) : conservé pour la durée de vie du compte, puis supprimé ou anonymisé à la clôture, dans les conditions générales prévues au présent article ;
  • journalisation de la vérification différée et des rappels (statut de vérification de l'email, emails de rappel, suspension à 72 h) : conservée pour la durée de vie du compte aux fins de sécurité et de preuve.

En cas de décès d'un utilisateur, et sous réserve que Choose and Connect en ait été informé, les données personnelles sont également anonymisées, sauf directives particulières communiquées à Choose and Connect conformément à la législation en vigueur.

Par ailleurs, en vertu de la réglementation française, nous sommes tenus de conserver certaines données techniques d'identification (telles que l'adresse IP, les dates et heures de connexion ou les pages consultées) pendant une durée d'un an, afin de répondre à nos obligations légales en matière de traçabilité et de sécurité.

12. Utilisateurs mineurs âgés de 14 ou 15 ans

12.1. Accès à la plateforme

La plateforme Choose and Connect est accessible aux utilisateurs à partir de 14 ans révolus. Les utilisateurs âgés de 14 ou 15 ans sont soumis aux dispositions du présent article.

Les services de mise en relation avec les recruteurs (Choose Your Career) ainsi que le service Choose Your Place sont réservés aux utilisateurs âgés de 16 ans et plus.

L'Annuaire des Conseillers d'orientation est consultable sans création de compte et sans restriction d'âge, conformément à l'article 5.8.5 des CGU. La prise de rendez-vous s'effectuant via un Outil de réservation tiers hors du contrôle de la Plateforme, il appartient au représentant légal d'un utilisateur mineur de vérifier l'opportunité d'une telle démarche et d'y donner son accord.

12.2. Mécanisme de recueil du consentement parental

Pour les utilisateurs âgés de 14 ou 15 ans, la création du compte et le traitement des données personnelles sont subordonnés à l'accord préalable d'un parent ou représentant légal, conformément à l'article 8 du RGPD et à l'article 45 de la loi Informatique et Libertés.

Le mécanisme mis en œuvre est le suivant :

Lors de son parcours d'inscription ou d'entrée dans l'application, le mineur sélectionne la tranche d'âge « 15 ans ou moins » et renseigne l'adresse email de son représentant légal. La plateforme vérifie automatiquement que cette adresse est différente de celle du mineur. Son compte est alors placé au statut « en attente de consentement parental » : il peut naviguer sur la plateforme mais ne peut pas utiliser les fonctionnalités nécessitant un traitement actif de ses données (test RIASEC, mise en favori, etc.).

Un email est adressé au représentant légal contenant un lien vers une page de consentement, sur laquelle il doit cocher explicitement la case : « Je suis bien le représentant légal de [prénom de l'enfant] », puis donner ou refuser son consentement.

Le représentant légal dispose d'un délai de 5 jours pour se prononcer. Sans réponse à l'issue de ce délai, le consentement est réputé refusé. En cas de refus, le mineur en est notifié et peut relancer son représentant légal à deux (2) reprises maximum. En cas d'accord, le compte est débloqué et le mineur notifié.

12.3. Traçabilité du consentement

Quelle que soit la décision du représentant légal, les éléments suivants sont enregistrés et conservés :

  • adresse email du représentant légal ;
  • adresse IP au moment de la décision ;
  • nature de la décision (accord ou refus) et horodatage ;
  • version des CGU et de la présente Politique de Confidentialité présentées au moment du consentement.

Ces données constituent la preuve du consentement au sens du RGPD.

12.4. Engagements spécifiques concernant les mineurs

TERRACODA SAS s'engage à :

  • ne pas utiliser les données des mineurs à des fins publicitaires ou de profilage commercial ;
  • ne pas transmettre les données des mineurs à des tiers à des fins commerciales ;
  • limiter les traitements aux finalités d'orientation et de mise en relation prévues par les CGU (Application d'orientation, Choose Your Career et Choose Your Place pour les 16 ans et plus uniquement) ;
  • permettre aux parents ou représentants légaux d'exercer les droits RGPD au nom de l'enfant via dpo@chooseandconnect.com.

12.5. Transmission des données aux établissements

Lorsque le mineur s'inscrit volontairement à un événement (ex. Journée Portes Ouvertes) ou effectue une demande d'information auprès d'un établissement via la plateforme, les données strictement nécessaires (prénom et adresse email) sont transmises à l'établissement concerné, dans le cadre du consentement préalable donné par le représentant légal et à la seule initiative du mineur. L'établissement destinataire agit en qualité de responsable de traitement pour les données reçues.

13. Cookies

La plateforme utilise deux catégories de cookies :

Cookies strictement nécessaires (aucun consentement requis) :

  • cookie de session d'authentification (durée de session) ;
  • préférences utilisateur (12 mois).

Cookies analytiques et statistiques (soumis à votre consentement, conformément à l'article 82 de la loi n° 78-17 du 6 janvier 1978) :

  • prestataire : Google Analytics ;
  • durée de conservation : 13 mois maximum ;
  • vous pouvez à tout moment retirer ou modifier votre consentement via le bandeau de gestion des cookies (lien « Mes préférences de cookies » accessible depuis toutes les pages).

Aucun cookie publicitaire n'est déposé. Aucun tracking tiers à des fins commerciales n'est mis en œuvre.

Vous pouvez à tout moment modifier vos préférences en matière de cookies via le bandeau de gestion des cookies accessible depuis toutes les pages de la plateforme.

14. Sécurité des données

Conformément à l'article 32 du RGPD, Choose and Connect, développé par Terracoda, met en œuvre des mesures techniques et organisationnelles appropriées afin de garantir la confidentialité, l'intégrité et la disponibilité des données personnelles traitées sur la plateforme.

Ces mesures incluent notamment :

  • le chiffrement des données sensibles en transit et au repos (protocole TLS et chiffrement AES-256) ;
  • l'authentification sécurisée des utilisateurs via des protocoles conformes aux standards (mots de passe cryptés) ;
  • la mise en place de contrôles d'accès stricts permettant de limiter l'accès aux seules personnes habilitées en fonction de leurs rôles ;
  • des systèmes de surveillance et d'audit visant à détecter et prévenir toute tentative d'accès non autorisé ou de fuite de données ;
  • la réalisation régulière de tests de sécurité et audits afin de vérifier la robustesse des systèmes et corriger toute vulnérabilité.

Ces mesures sont mises en œuvre selon l'état de l'art et peuvent évoluer.

En cas d'incident de sécurité ayant un impact sur vos données personnelles, nous nous engageons à respecter les obligations légales en vigueur, notamment à notifier la CNIL et, le cas échéant, à vous informer dans les délais prévus par la réglementation.

15. Vos droits

Conformément à la réglementation sur les données à caractère personnel, vous disposez d'un droit :

  • droit d'accès (article 15 du RGPD) : vous pouvez obtenir la confirmation que des données personnelles vous concernant sont traitées et, le cas échéant, en recevoir une copie ainsi que des informations sur les traitements réalisés ;
  • droit de rectification (article 16 du RGPD) : vous pouvez demander la correction de données inexactes ou incomplètes vous concernant afin qu'elles soient mises à jour ;
  • droit à l'effacement (« droit à l'oubli ») (article 17 du RGPD) : vous pouvez demander la suppression de vos données personnelles dans les limites prévues par la loi, notamment lorsque celles-ci ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées ou lorsque vous retirez votre consentement ;
  • droit d'opposition (article 21 et 22 du RGPD) : vous pouvez, pour des raisons tenant à votre situation particulière, vous opposer au traitement de vos données, y compris à des fins de prospection ;
  • droit de retirer votre consentement : lorsque le traitement repose sur votre consentement, vous pouvez le retirer à tout moment sans affecter la licéité des traitements antérieurs ;
  • droit à la limitation (article 18 du RGPD) : vous pouvez demander la suspension temporaire de l'utilisation de vos données, par exemple le temps de vérifier leur exactitude ou de traiter une contestation sur leur usage ;
  • droit à la portabilité (article 20 du RGPD) : lorsque le traitement est fondé sur votre consentement ou sur l'exécution d'un contrat, vous pouvez demander à recevoir vos données dans un format structuré et lisible par machine, ou à ce qu'elles soient transmises directement à un autre responsable de traitement ;
  • droit de définir des directives post-mortem (Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, article 85) : vous pouvez définir des consignes relatives au sort de vos données après votre décès (conservation, effacement, communication).

Tous les droits énumérés ci-avant peuvent être exercés :

  • par courrier à l'adresse : TERRACODA - service protection des données - 55 RUE DE L'EST, 92100 BOULOGNE-BILLANCOURT ;
  • par mail : dpo@chooseandconnect.com.

Notez que vous n'avez pas besoin de payer des frais pour accéder à vos données à caractère personnel ou exercer vos droits. Cependant, nous pourrions exiger des frais raisonnables si votre demande était manifestement infondée, répétitive ou excessive.

Nous pouvons par ailleurs être amenés à vous contacter pour vous demander des informations complémentaires par rapport à votre demande afin de vous répondre.

Toute réponse vous sera d'ailleurs apportée dans un délai d'un (1) mois, extensible à trois (3) mois pour les demandes complexes (art. 12.3 RGPD).

16. Droit d'introduire un recours auprès d'une autorité de contrôle

Si vous estimez que vos droits relatifs à vos données personnelles ne sont pas respectés, vous pouvez introduire une réclamation (plainte) auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

  • site internet : www.cnil.fr ;
  • adresse postale : 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, France.

17. Modification de la politique de confidentialité

La Politique de confidentialité est susceptible d'être mise à jour afin notamment de se conformer à toute évolution législative, règlementaire, ou à toute modification de traitement entrainée par une évolution de nos services.

La version la plus actuelle régit notre utilisation de vos données à caractère personnel et sera toujours disponible sur demande auprès de TERRACODA.

Toute modification substantielle de la présente Politique de confidentialité sera portée à votre connaissance, au plus tard 15 jours avant son entrée en vigueur, par notification électronique à l'adresse associée à votre Compte et/ou par message affiché de manière visible sur la Plateforme lors de votre connexion. Les modifications imposées par une obligation légale ou réglementaire impérative entrent en vigueur immédiatement, sans préjudice de votre information.

Dernière mise à jour : 01/06/2026

Un souci ou une idée ?