Mise à jour le 09/02/2026
Escarcelle est un service de gestion d’épicerie sociale et solidaire opéré par Softinnov . Nous traitons des données personnelles de bénéficiaires pour le compte de nos clients (association, CCAS, CIAS, etc.). Cette page décrit en toute transparence comment ces données sont protégées.
Qui fait quoi ?
Lorsque vous utilisez Escarcelle, deux acteurs interviennent dans le traitement des données :
- Votre structure est le responsable de traitement. Vous décidez quelles données collecter et pourquoi.
- Softinnov est le sous-traitant. Nous traitons les données uniquement pour vous fournir le service.
Cette répartition est conforme à l’article 28 du RGPD et est formalisée dans l’Accord de traitement des données (DPA) disponible ci-dessous.
Quelles données sont traitées ?
Les catégories de données traitées dans Escarcelle sont strictement limitées à ce qui est nécessaire au fonctionnement du service :
- Identification : nom, prénom, genre, année de naissance, situation familiale
- Contact : adresse postale, courriel, téléphone
- Situation du foyer : composition du foyer, situation professionnelle
- Ressources : ressources et dépenses (type et montant)
Le traitement repose sur l’exécution du contrat (article 6.1.b du RGPD). Pour les épiceries adhérentes d’un réseau, Softinnov peut fournir à ce réseau des données statistiques anonymisées et agrégées, selon les termes du partenariat entre Softinnov et le réseau ou à la demande du Client.
Softinnov s’engage à ne jamais faire d’exploitation commerciale des données collectées, ni à les revendre ou les céder à un tiers.
Où sont stockées vos données ?
L’ensemble des données est hébergé dans l’Union européenne (UE). Aucun transfert vers un pays tiers hors UE n’est effectué.
L’infrastructure comprend :
- Un serveur principal
- Un serveur de secours avec réplication en temps réel sur un site géographiquement distinct
- Des sauvegardes quotidiennes stockées sur un troisième site géographiquement distinct
Le prestataire d’hébergement est soumis aux mêmes obligations de protection des données que Softinnov. Les détails techniques sont décrits dans l’Annexe Technique disponible ci-dessous.
Combien de temps sont-elles conservées ?
| Catégorie | Durée de conservation |
|---|---|
| Bénéficiaires actifs | Durée du contrat |
| Bénéficiaires inactifs | 3 ans maximum après la dernière activité |
| Sauvegardes | 60 jours |
| Fin de contrat | Suppression sous 60 jours |
Avant la fin du contrat, vous pouvez demander à récupérer l’intégralité de vos données dans un format structuré et lisible.
Sécurité des données
Softinnov met en oeuvre les mesures techniques et organisationnelles suivantes :
- Chiffrement des données en transit entre votre navigateur et nos serveurs
- Authentification sécurisée par identifiant et mot de passe chiffré (le mot de passe n’est pas accessible, même par les collaborateurs de Softinnov)
- Sauvegardes régulières avec rétention minimale de 30 jours, stockées sur un site géographique distinct
- Redondance géographique de l’hébergement
- Accès restreint aux infrastructures et limité au personnel habilité de Softinnov
- Journalisation des accès aux systèmes
En cas de violation de données, Softinnov s’engage à informer le client concerné dans un délai de 48 heures, en précisant la nature de l’incident, ses conséquences probables et les actions prises pour y remédier.
Droits des personnes concernées
Conformément au RGPD, les bénéficiaires disposent des droits suivants :
- Droit d’accès (article 15) : obtenir la confirmation que des données les concernant sont traitées
- Droit de rectification (article 16) : faire corriger des données inexactes
- Droit à l’effacement (article 17) : demander la suppression de leurs données
- Droit à la limitation (article 18) : demander la suspension du traitement
- Droit d’opposition (article 21) : s’opposer au traitement
- Droit à la portabilité (article 20) : recevoir les données dans un format structuré
- Droit relatif aux décisions automatisées (article 22) : ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé
Les demandes d’exercice des droits doivent être adressées au responsable de traitement (votre structure). Si une demande est adressée directement à Softinnov, nous la transmettons à la structure concernée dans un délai de 5 jours ouvrés.
En cas de litige, il est possible de saisir la Commission Nationale de l’Informatique et des Libertés (CNIL) .
Contact
Pour toute question relative à la protection des données :
SOFTINNOV
Délégué à la Protection des Données
BP 86225
75062 PARIS CEDEX 02
Délai de réponse : un mois à compter de la réception d’une demande complète.
Documents contractuels
- Accord de traitement des données (DPA) — Annexe au Contrat Principal définissant les engagements de Softinnov en qualité de sous-traitant (article 28 du RGPD)
- Annexe Technique — Infrastructure, hébergement et mesures de sécurité détaillées