Politique de Confidentialité
Dernière mise à jour : 12 avril 2026
Conforme au Règlement (UE) 2016/679 (RGPD) et à la loi Informatique et Libertés
1. Responsable de traitement
Le responsable du traitement des données à caractère personnel est :
Aucun Délégué à la Protection des Données (DPO) n'est obligatoire pour notre structure. Un référent RGPD est désigné au sein du bureau de l'association pour traiter toute demande relative à vos données.
2. Données collectées
Identification
- • Nom et prénom
- • Adresse email (identifiant de connexion)
- • Numéro de téléphone (optionnel)
- • Photo de profil (optionnelle)
Données de pratiquants
- • Prénom et nom du pratiquant
- • Date de naissance
- • Sexe
- • Informations de contact associées
Coordonnées postales
- • Adresse postale (optionnelle)
- • Code postal et ville
- • Coordonnées GPS (si autorisées)
Données financières
- • Montants des paiements (cotisations, activités, réservations)
- • Identifiants de transaction Stripe
- • Historique des paiements
Données techniques
- • Adresse IP et navigateur (journaux d'authentification)
- • Token de session (maintien de connexion)
- • Identifiant d'appareil et token FCM (notifications push — application mobile)
- • Modèle d'appareil, version OS, version application (mobile)
Données de communication
- • Historique des emails envoyés (objet, date)
- • Historique des SMS (contenu, date, statut de livraison)
- • Messages dans les conversations internes
- • Réponses aux sondages
3. Finalités et bases légales
| Traitement | Base légale | Fondement |
|---|---|---|
| Gestion du compte et de l'adhésion | Exécution du contrat | Art. 6.1.b RGPD |
| Inscriptions aux activités et gestion des dossiers | Exécution du contrat | Art. 6.1.b RGPD |
| Facturation et suivi des paiements | Exécution du contrat + Obligation légale | Art. 6.1.b et 6.1.c RGPD |
| Envoi d'emails d'information sur vos activités | Intérêt légitime | Art. 6.1.f RGPD |
| Newsletters et communications optionnelles | Consentement | Art. 6.1.a RGPD |
| SMS de rappel (cours, événements) | Intérêt légitime | Art. 6.1.f RGPD |
| Notifications push sur l'application mobile | Consentement (permission appareil) | Art. 6.1.a RGPD |
| Journaux de connexion et sécurité du système | Intérêt légitime (sécurité) | Art. 6.1.f RGPD |
| Réservations d'événements | Exécution du contrat | Art. 6.1.b RGPD |
| Archivage comptable des paiements | Obligation légale (10 ans) | Art. 6.1.c RGPD + L123-22 C. commerce |
4. Destinataires et sous-traitants
Nous ne vendons ni ne louons vos données. Certains prestataires accèdent aux données strictement nécessaires à leur mission, dans le cadre d'un contrat de sous-traitance conforme à l'article 28 du RGPD.
Données transmises : Montants, identifiants de transaction
Accord de traitement (DPA)Données transmises : Numéros de téléphone, contenu SMS
Accord de traitement (DPA)Données transmises : Adresses email, contenu des emails
Données transmises : Tokens de device, contenu des notifications
Accord de traitement (DPA)Données transmises : Toutes les données (stockage)
5. Durées de conservation
| Catégorie | Base active | Archive |
|---|---|---|
| Données de compte adhérent actif | Durée de l'adhésion | 3 ans après fin d'adhésion |
| Dossiers, inscriptions, pratiquants | Durée de la saison | 3 ans après fin d'adhésion |
| Paiements et factures | Exercice en cours | 10 ans (obligation légale) |
| Journaux d'authentification | — | 12 mois (purge automatique) |
| Historique emails et SMS | — | 12 mois (purge automatique) |
| Logs de performance | — | 90 jours (purge automatique) |
| Sessions d'authentification | 7 jours (actives) | Suppression automatique |
| Tokens push (FCM) | Durée de validité | Suppression automatique à expiration |
6. Vos droits
Conformément au RGPD (chapitres III et IV), vous disposez des droits suivants :
Droit d'accès (Art. 15)
Obtenir une copie de toutes vos données personnelles
Droit de rectification (Art. 16)
Corriger des données inexactes ou incomplètes
Droit à l'effacement (Art. 17)
Demander la suppression de vos données
Droit à la portabilité (Art. 20)
Recevoir vos données dans un format structuré (JSON)
Droit d'opposition (Art. 21)
Vous opposer au traitement fondé sur l'intérêt légitime
Droit de limitation (Art. 18)
Geler le traitement sans supprimer vos données
Comment exercer vos droits :
- Via la page "Mes données" dans votre espace adhérent (export et demande de suppression en ligne)
- Par email à rgpd@lechantou.fr
Délai de réponse : 1 mois (prorogeable à 3 mois si la demande est complexe, avec information préalable).
En cas de litige non résolu, vous pouvez saisir la CNIL (Commission Nationale de l'Informatique et des Libertés).
7. Cookies et traceurs
Ce site utilise uniquement des cookies strictement nécessaires au fonctionnement du service. Aucun cookie publicitaire ni de suivi commercial n'est utilisé.
| Cookie | Finalité | Durée | Type |
|---|---|---|---|
| better-auth.session_token | Authentification — maintien de la session | 7 jours | Essentiel |
| cookie-consent | Mémorisation de votre choix de cookies | 365 jours | Essentiel |
Les cookies essentiels sont exemptés de consentement au sens de la directive ePrivacy, car ils sont strictement nécessaires au fonctionnement du service (lignes directrices CNIL sur les cookies, article 82 de la loi Informatique et Libertés).
8. Application mobile
L'application mobile (Android / iOS) traite des données complémentaires :
- •Token FCM (Firebase Cloud Messaging) : identifiant unique d'appareil pour l'envoi de notifications push. Stocké côté serveur et supprimé à expiration ou sur demande.
- •Modèle et OS de l'appareil : utilisés pour adapter le format des notifications.
- •Notifications push : envoyées uniquement après accord explicite de l'utilisateur dans les paramètres de l'appareil. Désactivables à tout moment.
Cette politique s'applique également à l'application mobile, conformément aux exigences de Google Play et Apple App Store.
9. Sécurité des données
- Connexions chiffrées HTTPS (TLS 1.2+) sur l'ensemble du site et de l'API
- Mots de passe hashés de manière irréversible (bcrypt/Argon2)
- Longueur minimale des mots de passe : 12 caractères
- Limitation du taux d'authentification (anti brute-force)
- Headers de sécurité (CSP, X-Frame-Options, HSTS)
- Accès restreint aux données (contrôle par rôles : adhérent / admin / superAdmin)
- Journaux d'impersonation (traçabilité des accès admin)
- Hébergement en France (o2switch, serveurs UE)
En cas de violation de données présentant un risque pour vos droits et libertés, nous notifierons la CNIL dans un délai de 72 heures (Art. 33 RGPD) et vous informerons directement si le risque est élevé (Art. 34 RGPD).
10. Données des mineurs
Pour les pratiquants de moins de 15 ans (seuil fixé par la loi française, Art. 8 RGPD), le traitement de leurs données nécessite le consentement conjoint du mineur et d'un titulaire de l'autorité parentale. Les responsables légaux peuvent exercer les droits RGPD au nom des enfants mineurs en contactant rgpd@lechantou.fr.
11. Modifications
Cette politique peut être mise à jour pour refléter des évolutions légales ou fonctionnelles. La date de dernière mise à jour est affichée en haut de page. En cas de modification substantielle, les adhérents seront informés par email.
Contact RGPD
Pour toute question ou pour exercer vos droits, contactez-nous à rgpd@lechantou.fr
Vous pouvez également utiliser la page "Mes données" dans votre espace adhérent pour exporter ou demander la suppression de vos données directement.
Droit de réclamation auprès de la CNIL : cnil.fr/fr/plaintes