Vos questions, nos réponses !

Questions sur les abonnements AssoConnect

Qu'est-ce qu'un membre sur AssoConnect ?

Un membre correspond à une personne que vous avez enregistrée dans votre base de données. Il peut s'agir d'un bénéficiaire, d'un bénévole, d'un donateur, d'un adhérent, d'un membre du bureau, etc.

Que se passe-t-il si je dépasse le nombre de membres prévu dans mon abonnement ?

Si vous dépassez votre quota, nous vous enverrons simplement un email pour vous prévenir et vous indiquer le coût hors-forfait de chaque membre supplémentaire.

Puis-je acheter le logiciel ?

Non, AssoConnect est un logiciel en ligne, il fonctionne uniquement sur abonnement, avec engagement annuel ou mensuel, selon votre choix.
Cela a plusieurs avantages : vous n'avez rien à installer sur votre ordinateur, AssoConnect est accessible depuis n'importe quel appareil, et vous bénéficiez gratuitement (et sans surcoût) des évolutions du logiciel.
Enfin, acheter le logiciel représenterait un investissement très lourd que les petites associations ne pourraient pas supporter.

Puis-je changer d'offre en cours d'abonnement ?

Oui, vous pouvez passer à l'offre supérieure ou à l'offre inférieure à tout moment. Vous paierez le nouveau prix sur la période restante de votre abonnement.

Comment se passe le renouvellement de mon abonnement ?

À moins que vous ne vous désabonniez, votre abonnement sera automatiquement reconduit pour la période suivante.

Puis-je récupérer les informations saisies ?

Toutes les informations présentes sur AssoConnect sont exportables sous Excel, vous pouvez donc les récupérer avant de nous quitter.

Avez-vous un plan de réversibilité ?

Nous faisons des sauvegardes régulières de la base de données afin d’être en mesure de revenir à un état précédent en cas de grave dysfonctionnement.
Nous avons également un mécanisme nous permettant de revenir rapidement à la version précédente du logiciel suite à une mise à jour introduisant un bug en production.
Mais nous ne proposons pas à un client AssoConnect en particulier de revenir à un état antérieur de son compte.

Puis-je me désabonner à tout moment ?

Oui, vous pouvez vous désinscrire quand vous le souhaitez : votre offre ne sera plus renouvelée au terme de votre engagement (mensuel ou annuel).

Comment puis-je payer mon abonnement AssoConnect ?

Nous vous proposons 2 options de paiement :
- par carte bancaire (Visa, Mastercard, ...)
- par prélèvement

Comment fonctionne la période d'essai gratuit sur AssoConnect ?

L'essai gratuit vous permet de tester toutes les fonctionnalités d'AssoConnect pendant 30 jours, vous savez donc exactement à quoi vous attendre si vous décidez de passer le pas et vous abonner à AssoConnect !
L'essai est gratuit et vous êtes libre de supprimer votre compte quand vous le souhaitez.
Si vous souhaitez vous abonner à l’issue de votre essai gratuit, vous conservez exactement toutes les données que vous avez enregistrées sur votre plateforme, ou vous pouvez décider de tout supprimer et repartir à zéro.

Quelle est la fiabilité de vos services ?

Des sauvegardes automatiques de vos données et actions sont effectuées toutes heures.
Toutes nos données sont hébergées chez Azur, sur des serveurs situés en France.
Les données bancaires sont stockées chez notre partenaire S-Money qui possède l'agrément de la Banque de France.

Existe-t-il des frais additionnels ?

Les seuls frais additionnels sont les frais liés au paiement en ligne :
- paiement carte bancaire 1.9% + 0,25€ TTC (prix pour le réseau CB, à multiplier par 2 pour les cartes hors réseau CB)
- paiement prélèvement 0,5% + 0,20€ TTC
- paiement virement entrant 0,12% + 0,18€ TTC
- pour un rejet par la banque un montant forfaitaire de quarante euros (40€) est facturé par paiement rejeté.
Sur les pages de vente en ligne, ces frais sont calculés par participant.
Les quotas d'emails envoyés et de photos stockées sont normalement bien calibrés pour chaque offre mais, si vous le dépassez, nous vous facturons le hors-forfait (1,50€ par tranche de 1000 emails). Sont comptabilisés dans les mails envoyés tous les mails envoyés depuis le site : campagne d'emailing, envoi d'email rapide, confirmation d'inscription à un événement, campagne d'adhésion ou de don, etc.

Le logiciel AssoConnect est-il conforme au RGPD ? Qu’en est-il de la confidentialité des données ?

AssoConnect est conforme au Règlement Général sur la Protection des Données personnelles (RGPD) entré en vigueur le 25 mai 2018.
Vos données vous appartiennent. Si vous souhaitez vous désabonner, vous pouvez récupérer l'intégralité de votre base sous format Excel.
Nous nous engageons à ne jamais communiquer vos données à un tiers à des fins commerciales. Nous vous invitons à découvrir à ce titre notre politique de confidentialité.

Quels sont les moyens techniques et organisationnels qui prouvent le niveau de conformité au RGPD de la solution (droit d'accès, de rectification, de suppression, portabilité,…) ?

1. Notre première action est de vous informer sur le traitement de vos données. Nous avons donc mis en place un centre de confidentialité accessible depuis n’importe quelle page de votre plateforme. Il a pour objet d’expliquer notre politique d’utilisation des données. Cette page servira aussi de centre de gestion du consentement. Nous souhaitons le développer davantage pour en faire un outil que vous pourrez vous-même utiliser avec vos propres contacts.
2. Nous avons formé une personne de l’équipe afin qu’elle devienne Data Protection Officer (DPO), l’équivalent de l’ancien Correspondant Informatique et Libertés (CIL), en contact avec la CNIL.
3. La protection des données passe tout d’abord par une protection légale. Assoconnect vient donc de changer ses CGUV pour y intégrer les obligations légales relatives à ce nouveau règlement. Nous avons donc solidifié le maillon qui nous joint.
4. Nous prenons un soin particulier à utiliser les dernières technologies en termes de sécurité des bases données.
5. Portabilité : vous pouvez à tout moment récupérer vos données (extraction excel).
6. Nous avons donc mené un audit auprès de l’ensemble de nos fournisseurs afin de nous assurer qu’ils s’engageaient contractuellement à respecter le RGPD.

Que se passe-t-il si je perds mon code d'accès à ma plateforme ?

Si vous oubliez vos codes d’accès à votre plateforme AssoConnect, il suffit de cliquer sur “Mot de passe oublié” sur votre page de connexion. Vous recevrez alors un email vous permettant de réinitialiser votre mot de passe.

Questions techniques sur AssoConnect

Modèle SaaS : le logiciel en ligne

Le service proposé fonctionne en SaaS (software as a service), c’est donc un logiciel en ligne. Le client n'achète pas un logiciel à installer sur ses propres serveurs mais bénéficie de la mise à disposition sur nos serveurs de nos moyens, services et expertises.
Les principaux avantages sont les suivants :
- Déploiement et mise en production rapide de la solution
- Aucune connaissance technique nécessaire chez le client pour profiter du service
- Aucune maintenance à prévoir pour le client
- Vous bénéficiez d'améliorations en continu
L'abonnement inclut toutes les mises à jour nécessaires pour assurer le fonctionnement de l'existant ainsi que les améliorations futures de l'outil.

Comme toute application web sur étagère, AssoConnect repose sur quatre aspects techniques principaux :

Le code : qui définit le fonctionnement de l’application Les données : qui permettent de mémoriser les informations traitées par le code.

L’infrastructure : qui fournit les ressources matérielles nécessaires à l’exécution du code, au transfert d’informations et au stockage des données.

Les services tiers : qui permettent à l’application de proposer des fonctionnalités avancées

Données bancaires

Chaque client dispose de son propre compte en ligne chez S-Money du groupe BPCE, établissement bancaire agréé par la Banque de France.
Les flux financiers ne transitent à aucun moment par nos propres comptes, les fonds sont stockés chez S-Money ainsi que les différentes pièces justificatives nécessaires à la tenue des comptes.
S-Money met à notre disposition un relevé de l'ensemble des opérations effectuées sur les différents comptes.
Ici aussi, nous nous appuyons sur l'expertise d'un professionnel du monde bancaire. L'accès à leur système est restreint à une liste blanche d'adresses IP.

Nom de domaine

Nous enregistrons les noms de domaine au nom de nos clients au sein de notre portefeuille de domaines de notre compte revendeur de Gandi, le 1er bureau d'enregistrement de noms de domaine en France. A tout instant, nous pouvons libérer le domaine pour en transférer la pleine gestion à un client qui le désire.
Pour tout nouveau nom de domaine, nous installons gratuitement un certificat SSL pour permettre une connexion au site internet via le protocole sécurisé HTTPS. Ces certificats sont fournis par Let's Encrypt, une autorité reconnue.

Le code

Technologies

Comme toute application, le code de AssoConnect s’appuie sur un ensemble de technologies.

AssoConnect a fait le choix d’utiliser des technologies :

- Libres (Open Source) : afin de bénéficier d’une entière transparence et ne pas dépendre d’entités tierces sous licence propriétaire

- Très largement utilisées et reconnues : afin de bénéficier d’une grande communauté permettant de résoudre simplement et rapidement des problématiques techniques

- Modernes : afin de fournir aux utilisateurs de AssoConnect la meilleure expérience et les meilleures performances possibles

Langage et “framework”

Comme toute application web, le code source de Assoconnect se compose de deux principales composantes :

Backend : le code exécuté sur les serveurs, invisible pour les utilisateurs, définissant comment sont traitées les actions faites par l’utilisateur

Frontend : le code exécuté dans le navigateur des utilisateurs, définissant comment sont affichées les informations à l’utilisateur

Un “Framework” est un ensemble d’outils qui viennent s’ajouter au langage de développement de base pour rendre le développement plus efficace et sûr.

Backend Le code “Backend” utilise les technologies suivantes :
- Langage : PHP (version 7.4)
- Framework : Symfony (version 4.4)

Frontend Le code “Frontend” utilise les technologies suivantes :
- Langage : JavaScript (version ES6)
- Framework : React (version 16)

Peut-on avoir accès au code pour le CMS ?

Non, l'accès au code n'est pas possible.

Équipes et organisation

Comme la plupart des entreprises éditeurs de logiciel moderne, l’équipe technique est organisée en deux sous-équipes :
- Produit : les personnes qui conçoivent l’interface et les fonctionnalités de AssoConnect.
- Développement : les personnes qui produisent l’application correspondant à ce qui a été conçu

Tout comme beaucoup d’équipes similaires à l’équipe technique de AssoConnect, nous travaillons avec les méthodologies Agile (Scrum) et Lean. Cette organisation nous permet de nous adapter le plus rapidement possible aux priorités de tous nos clients, et de produire les fonctionnalités de la manière la plus fluide possible.

Toutes nos équipes sont basées en France, à Paris. Certaines personnes travaillent à distance, de chez elles, toujours depuis la France.

L'infrastructure

Afin de pouvoir être réellement utilisés, le code et les données de l’application doivent être déployés sur un environnement d’exécution, qui est un ensemble de ressources matérielles. Comme beaucoup de sociétés éditant une application web sur étagère, AssoConnect n’est pas propriétaire de l’infrastructure sur laquelle repose l'application, car ce n’est pas son cœur de métier.

Nous faisons donc appel à différents sous-traitants pour assurer les services liés à l’infrastructure nécessaire à AssoConnect :
- L’hébergement : le fait de disposer des moyens matériels pour exécuter l’application et stocker les données.
- L’infogérance : le fait d’administrer l’hébergement, d’assurer son maintien en condition opérationnelle et de sécurité, et son amélioration continue.

Hébergement

Comme bon nombre d’éditeurs d’application web, AssoConnect a choisi de déployer l’application sur un environnement “Cloud”. Le “Cloud” est un environnement technique dont les ressources matérielles peuvent être partagées entre tous les clients du fournisseur. Le fournisseur assure que les données de tous ses clients sont compartimentées et qu’il est impossible pour un client A d’accéder aux données d’un client B. L’avantage du “Cloud” est de disposer d’une simplicité d’administration et de coûts réduits.

AssoConnect a fait le choix d’utiliser deux fournisseurs de services “Cloud” :
- Microsoft Azure pour héberger l’application et les données.
- Amazon AWS pour héberger les documents (images, PDF, …) téléversés dans AssoConnect par les utilisateurs.

Localisation

L’intégralité de l’infrastructure Azure de AssoConnect est situé en France : bases de données et serveurs web.
Les documents hébergés chez AWS sont eux situés en Irlande (membre de l’UE).

Redondance

Tous les services critiques à l’application (base de données et serveurs web), sont dupliqués dans plusieurs centres d’hébergement (“Datacenter”) répartis en France.

Infogérance

Afin d’administrer l’hébergement de l’application AssoConnect, nous avons fait le choix de passer par un prestataire français : Claranet.

Ce prestataire est responsable d’assurer :
- Le monitoring : surveiller les signes vitaux de l’infrastructure et effectuer les actions nécessaires afin de rétablir le service en cas de défaillance
- Le maintien en conditions opérationnelles et de sécurité : effectuer les mises à jour régulières des composants de l’infrastructure afin d’offrir toujours les meilleures performances et que chaque composant soit bien sécurisé

Les services tiers

Tout comme la plupart des solutions de gestion complètes, AssoConnect s’appuie sur un certain nombre de services tiers afin de compléter la gamme de ses fonctionnalités.

AssoConnect a fait le choix de sélectionner les services tiers :
- Les plus répandus et réputés
- Qui offrent la meilleure qualité de service
- Si possible français ou européen

Les principaux services tiers sur lesquels s’appuie AssoConnect sont :
- Adyen : prestataire de paiement (Pays-Bas)
- Linxo : compte en ligne (France)
- Slimpay : prélèvement SEPA des abonnements (France)
- Algolia : service de recherche textuelle (France)
- Mailgun : service d’envoi d’e-mails (USA)

PaaS (Platform as a Service)

Nos sites sont hébergés chez Microsoft Azure. De la même manière que nos clients externalisent la gestion du logiciel, nous leur confions la gestion technique et maintenance de nos serveurs pour nous concentrer sur notre cœur de métier, à savoir l’édition logicielle.
Nous sommes convaincus que chacun de nous (clients, Azure et nous-même) doit faire ce qu’il sait faire de mieux et ne pas se disperser. En cas de forte montée en charge, l’infrastructure de Azure allume davantage de serveurs pour assurer la disponibilité de notre service.
Les ressources allouées à nos instances sont dédiées : nous ne sommes pas impactés si un autre client de Azure subit un pic de visites.

Qualité du code chez AssoConnect

Qualité et sécurité

Avant d’être utilisé réellement par les utilisateurs, le code de AssoConnect passe par plusieurs phases de vérification et validation afin de garantir la meilleure qualité et sécurité :

- Dès la conception produit, nous interrogeons un panel d’utilisateurs pour comprendre leur besoin et leurs problématiques

- Avant d’élaborer une solution technique, nous identifions les tests fonctionnels que nous allons devoir valider : tests fonctionnels sur la partie du logiciel directement impactée et tests de non-régression sur les parties sensibles du logiciel.

- La conception technique est revue et validée en interne afin d’assurer une bonne cohérence et cohésion du code.

- Chaque changement de code est vérifié et validé par un deuxième développeur. Chaque fonctionnalité est découpée en petites briques qui sont chacune testée par un test dit unitaire. On s'assure que, pour une entrée donnée, la sortie de la fonction corresponde à ce qui est attendu. Nous n'effectuons de mise à jour en production qu'à condition que l'ensemble des tests soit au vert.

- Une batterie de tests automatisés, incluant une vérification des vulnérabilités connues, doit être validée.

- Nous faisons des tests manuels afin de valider le bon fonctionnement de chaque nouveau développement.

En cas de bug sur la plateforme, nos équipes techniques reçoivent un rapport détaillé pour être en mesure de corriger le bug même si l'utilisateur qui en a été victime ne le signale pas.

Ces rapports sont relevés plusieurs fois par jour pour être le plus réactif possible.

Questions de Sécurité concernant AssoConnect

Les données

Comme toute application, les données traitées par AssoConnect sont le fruit du travail de tous les utilisateurs et portent donc toute la valeur de l’application. C’est pourquoi il est primordial pour nous de ne jamais perdre ni divulguer les données des clients AssoConnect.

Pour cela, nous avons mis en place des solutions permettant de sauvegarder et sécuriser les données.

Sauvegarde

Toutes les données de l’application sont sauvegardées de la manière suivante :

- Sauvegarde de 30 jours glissants, avec un point de restauration à la minute près
Sauvegarde quotidienne conservée 1 an

Ceci signifie que nous pouvons retrouver toutes les données de AssoConnect :

- À n’importe quel instant (à la minute près) dans les 30 derniers jours. Par exemple : mardi il y a 2 semaines, à 17h46

- N’importe quel jour dans les 365 derniers jours. Par exemple : le 31 décembre de l’année dernière

Point important : La sauvegarde des données ne signifie pas que nous pouvons transmettre ces données sauvegardées à nos clients !

En effet, ces sauvegardes ont pour unique but d’assurer une restauration en cas de désastre technique, et pas de répondre à des demandes de restauration de données perdues suite à des manipulations de l’application.

Sécurité

AssoConnect ne dispose pas des moyens matériels pour stocker les données de l’application. Les données sont stockées par AssoConnect chez ses sous-traitants fournisseurs de service d’hébergement (cf. §Hébergement).

L’accès aux données est entièrement sécurisé :
- Accès restreint selon le rôle
- Protégé par une authentification par mot de passe fort
- Liste blanche d’adresses IP pouvant accéder aux données
- Protocole de communication chiffré

Connexion de l'utilisateur

Chaque utilisateur peut, s'il le souhaite, activer un mécanisme d'authentification en 2 étapes. Ce mécanisme est obligatoire pour tous nos employés.
Les mots de passe des utilisateurs ne sont pas stockés en clair mais hashés et salés. Le principe du hashage est de stocker une empreinte du mot de passe, cette empreinte étant calculée à partir d'une fonction dont on ne connaît pas l'inverse : on ne sait pas retrouver le mot de passe à partir de son empreinte. Pour connecter l'utilisateur, on calcule l'empreinte du mot de passe saisi et on la compare à l'empreinte stockée. Ainsi, en cas de piratage de notre base de données, les mots de passe ne sont pas accessibles à l'attaquant.

Connexion entre ordinateur et serveur

Nous mettons gratuitement à disposition de nos clients des certificats SSL pour permettre une connexion au site via le protocole sécurisé HTTPS. Ces certificats sont fournis par Let's Encrypt, une autorité reconnue.
Nous n'utilisons plus l'algorithme SHA-1 considéré comme obsolète pour le hashage, en faveur de SHA-256.

Email

L'envoi des emails passe par Mailgun.
Chaque email envoyé par la plateforme est signé avec la norme DKIM pour éviter tout risque d'usurpation. Nous avons également adopté la norme SPF afin de lutter contre le spam.

Paiement en ligne

Nous activons le système 3D Secure sur l'ensemble de nos paiements sans seuil minimum. Ce système conçu par Visa et Mastercard a pour objectif de limiter la fraude en s'assurant à chaque paiement que la carte est utilisée par son véritable titulaire.

Bug Bounty

Nous avons un programme privé chez Bounty Factory où nous invitons des développeurs informatiques à rechercher des failles de sécurité au sein du logiciel.

Données personnelles

En tant qu’outil de gestion pour les associations, l’application AssoConnect permet aux responsables d’association de récolter et traiter des informations personnelles des adhérents ou contacts de leurs associations.

AssoConnect ne récolte pas directement d’informations personnelles, mais permet aux gérants d’associations de le faire pour le compte de leur association.

AssoConnect n’est donc pas “Responsable de traitement”, mais bien “Sous-traitant” (au sens du RGPD).

À ce titre, AssoConnect assure la sécurité des données personnelles dès la conception du produit, un rôle de conseil et d’alerte en cas de constat de fuite.

Si nous arrêtons d’utiliser AssoConnect, quel est le processus de destruction des données ?

Les données sont effacées par des opérations automatisées, différentes selon chaque type de données, dans le respect des nécessités du RGPD.

Et si vous disparaissez, que deviennent mes données ?

Premièrement, les risques de disparition d’AssoConnect sont très faibles : nous existons depuis 2011, et le logiciel tel que vous le connaissez est commercialisé depuis 2014. Début 2020, nous travaillons avec plus de 15 000 associations qui sont des structures qui comptent jusqu’à plusieurs centaines de milliers de membres. Notre modèle économique d'abonnement à l'année nous permet des revenus réguliers et une stabilité financière.
Outre les risques extrêmement limités de fin d’activité, vous pouvez à tout moment sauvegarder sur votre ordinateur vos données en exportant quand vous le souhaitez sur excel la base de données et les documents comptables.
AssoConnect s’engage à ne pas revendre ni donner les données.


Félicitations d'être arrivé(e) au bout de toutes ces explications !