Aller au contenu principal
GYMKA
Se connecter
← Accueil

Politique de confidentialité

Conformité RGPD (Règlement (UE) 2016/679)

Dernière mise à jour : 29 mai 2026

1. Responsable du traitement

Le responsable du traitement des données personnelles collectées sur le site GYMKA est :

  • Éditeur : Fabien Dupont (société en cours de création)
  • Contact : fabienhaiko@gmail.com
  • Délégué à la protection des données (DPO) : non désigné — la taille de la structure ne requiert pas la désignation d'un DPO au sens de l'art. 37 RGPD. Les demandes liées aux données personnelles sont traitées directement par l'éditeur.

2. Données collectées

Nous collectons les données suivantes :

  • Données d'identification : nom, prénom, email, date de naissance, pays
  • Données de connexion : adresse IP, dates de connexion, navigateur utilisé
  • Données sportives : club, discipline pratiquée, résultats de compétitions, scores
  • Données médicales (optionnel) : certificats médicaux, blessures déclarées
  • Données de paiement (si abonnement) : traitées exclusivement par Stripe, jamais stockées par GYMKA
  • Données de communication : messages échangés via la messagerie interne

3. Finalités du traitement

Vos données sont utilisées pour :

  • Gérer votre compte utilisateur et votre profil sportif
  • Permettre votre inscription et participation à des compétitions
  • Calculer et afficher vos résultats et classements (conformes aux règlements officiels)
  • Communiquer avec vous (notifications, emails transactionnels)
  • Améliorer le service et résoudre les problèmes techniques
  • Respecter nos obligations légales et réglementaires

4. Base légale

Le traitement de vos données repose sur les bases légales suivantes :

  • Exécution du contrat : pour fournir le service GYMKA auquel vous adhérez (CGU)
  • Consentement : pour les données médicales et la newsletter (recueilli au signup)
  • Obligation légale : pour la conservation des données de facturation et d'audit
  • Intérêt légitime : pour la sécurité du service et la prévention de la fraude

5. Mineurs (moins de 15 ans en France, 16 ans dans l'UE)

Conformément au RGPD et à la loi française (Loi Informatique et Libertés modifiée), l'inscription d'un mineur de moins de 15 ans (16 ans dans certains pays de l'UE) nécessite le consentement préalable du titulaire de l'autorité parentale.

Le profil de l'enfant est géré par le parent jusqu'à ses 15 ans. À cet âge, l'enfant peut réclamer l'autonomie de son compte. Aucune messagerie publique n'est accessible aux mineurs en mode autonome tant que le compte n'est pas en statut active.

6. Durée de conservation

  • Compte actif : pendant toute la durée d'utilisation du service
  • Compte inactif : 3 ans après la dernière connexion, puis suppression ou anonymisation
  • Données de facturation : 10 ans (obligation comptable)
  • Logs de connexion : 12 mois (LCEN)
  • Résultats sportifs anonymisés : conservés indéfiniment pour les statistiques publiques

7. Destinataires des données

Vos données peuvent être communiquées aux destinataires suivants :

  • Personnel autorisé de GYMKA
  • Clubs et fédérations dont vous êtes membre (selon votre rôle)
  • Prestataires techniques (hébergement, paiement, email) sous contrat conforme RGPD
  • Autorités compétentes en cas de réquisition judiciaire

Aucune donnée n'est vendue ou cédée à des tiers à des fins commerciales.

8. Transferts hors UE

La base de données principale (Neon Postgres) est hébergée dans l'Union européenne (région eu-central-1, Frankfurt). Certains prestataires techniques sont en revanche basés aux États-Unis (Vercel, Stripe, Sentry, Cloudflare R2).

Ces transferts sont encadrés par :

  • le Data Privacy Framework (DPF) UE–USA approuvé par la Commission européenne le 10 juillet 2023 (décision d'adéquation 2023/1795) — Vercel, Stripe, Cloudflare et Sentry sont certifiés DPF ;
  • les Clauses Contractuelles Types (CCT) de la Commission européenne (décision 2021/914) en complément, comme mesure de garantie supplémentaire.

Ces mécanismes garantissent un niveau de protection équivalent au RGPD pour vos données.

9. Vos droits

Vous disposez des droits suivants sur vos données personnelles :

  • Droit d'accès (Art. 15) : obtenir une copie de vos données
  • Droit de rectification (Art. 16) : corriger des données inexactes
  • Droit à l'effacement / "droit à l'oubli" (Art. 17) : supprimer vos données
  • Droit à la limitation (Art. 18) : suspendre l'utilisation
  • Droit à la portabilité (Art. 20) : récupérer vos données dans un format structuré
  • Droit d'opposition (Art. 21) : refuser le traitement
  • Droit de retirer votre consentement à tout moment

Pour exercer ces droits, contactez-nous à fabienhaiko@gmail.com. Nous nous engageons à vous répondre dans un délai d'un mois.

Vous disposez également du droit de déposer une réclamation auprès de la CNIL (www.cnil.fr) si vous estimez que vos droits ne sont pas respectés.

10. Sécurité

Nous mettons en œuvre les mesures techniques et organisationnelles appropriées pour protéger vos données contre tout accès non autorisé, perte, altération ou divulgation : chiffrement TLS, mots de passe hashés (Argon2), JWT signés, isolation multi-tenant en base, journaux d'audit.

11. Comptes mail connectés (App Pulse)

L'application Pulse permet, à votre demande, de connecter un compte mail externe (Gmail, Outlook, Microsoft 365, ou tout serveur IMAP/SMTP générique) pour lire et envoyer des emails depuis l'app sans quitter GYMKA.

Données conservées : uniquement le jeton d'accès OAuth (ou le mot de passe d'application IMAP), votre adresse email, et le libellé du compte. Ces éléments sont chiffrés au repos en base de données (AES-256-GCM) avec une clé maîtresse stockée hors base.

Données NON conservées : le contenu de vos emails (objet, corps, destinataires, pièces jointes) n'est jamais stocké sur nos serveurs. Chaque consultation déclenche un appel temps réel à votre fournisseur (Gmail API / Microsoft Graph / IMAP) et la réponse vous est transmise sans persistance.

Périmètre des autorisations OAuth : nous demandons uniquement les autorisations nécessaires à la fonctionnalité (lecture, envoi, gestion des messages de votre compte). Nous n'accédons à aucune autre donnée de votre compte Google ou Microsoft. Vous pouvez consulter et révoquer ces autorisations à tout moment dans les paramètres de votre compte (Google : myaccount.google.com/permissions, Microsoft : account.microsoft.com/privacy).

Déconnexion : vous pouvez déconnecter un compte mail à tout moment depuis Pulse → Mail → menu du compte. La déconnexion supprime immédiatement le jeton chiffré de notre base et révoque l'autorisation côté fournisseur.

Confidentialité administrateur : ni l'équipe GYMKA, ni les administrateurs de votre club, ni les autres utilisateurs de la plateforme n'ont accès au contenu de vos emails ou à votre jeton. La confidentialité est technique (séparation par utilisateur en base + jeton chiffré) et applicative (aucun endpoint d'administration ne permet de lister ou lire les mails d'autrui).

Journaux : nous enregistrons uniquement les évènements techniques (connexion d'un compte, déconnexion, envoi d'un mail) avec horodatage et identifiant utilisateur — jamais le contenu, les destinataires ou les sujets. Ces journaux servent à l'audit de sécurité et au support technique.

12. Cookies

Le détail des cookies utilisés est disponible sur la page Cookies.

13. Modifications

La présente politique peut être modifiée à tout moment. Toute modification substantielle vous sera notifiée par email ou via une bannière sur le site. La date de dernière mise à jour figure en haut de ce document.

Bêta fermée : GYMKA est actuellement testé avec des clubs pilotes. Cette politique sera enrichie au fil des évolutions (notamment lors de l'activation des paiements via Stripe et du déploiement commercial). Pour toute question, contactez fabienhaiko@gmail.com.
Politique de confidentialité — GYMKA · GYMKA