Politique de confidentialité
DecaSaaS, éditeur du site mypacer.fr et du service MyPacer Club, accorde la plus grande importance au respect de la vie privée et à la protection des données personnelles. La présente politique décrit, en toute transparence, les catégories de données collectées, les finalités de leur traitement, les durées de conservation et les droits dont vous disposez au titre du Règlement (UE) 2016/679 (« RGPD ») et de la loi n° 78-17 du 6 janvier 1978 modifiée.
Responsable de traitement
DecaSaaSExploitante : Estelle Chauveau
Appt C31, 86 avenue du Mont Aigoual, 83140 Six-Fours-les-Plages, France
SIREN : 101 961 100
Contact : contact@mypacer.fr
Compte tenu de la taille et du périmètre de l'activité, DecaSaaS n'est pas tenu de désigner un Délégué à la Protection des Données (DPO) au sens de l'article 37 du RGPD. Toute demande ou question relative à la protection de vos données peut être adressée directement à contact@mypacer.fr.
Périmètre du traitement
MyPacer Club traite uniquement trois catégories de données, décrites ci-après, et aucune autre. En particulier, le service ne constitue pas une base de données de résultats sportifs ou de profils d'athlètes.
1. Données des Clients et destinataires d'abonnement
| Donnée | Finalité | Base légale | Conservation |
|---|---|---|---|
| Nom du club, identifiant FFA, adresses email destinataires | Exécution de l'abonnement MyPacer Club, envoi des rapports hebdomadaires | Exécution d'un contrat (art. 6.1.b RGPD) | Durée de l'abonnement + 30 jours |
| Coordonnées de facturation (nom, raison sociale, adresse) | Émission et archivage des factures | Obligation légale comptable (art. L.123-22 Code de commerce) | 10 ans à compter de l'émission de la facture |
2. Données de prospection commerciale B2B
| Donnée | Finalité | Base légale | Conservation |
|---|---|---|---|
| Coordonnées publiques des clubs affiliés à la FFA (email, adresse, téléphone) | Prospection commerciale ciblée (B2B uniquement) | Intérêt légitime (art. 6.1.f RGPD) — norme CNIL prospection B2B | 3 ans à compter du dernier contact |
La prospection est conforme aux recommandations de la CNIL en matière de prospection entre professionnels : le message adressé est en rapport direct avec l'activité du destinataire, qui peut à tout moment s'y opposer via la mention « répondez STOP » figurant dans chaque message, ou en écrivant à contact@mypacer.fr.
3. Données d'athlètes : position de principe
MyPacer Club ne collecte, ne stocke et ne traite aucune donnée personnelle d'athlète au sens de l'article 4 du RGPD.
Concrètement :
- Les résultats sportifs (nom, performance, classement) sont extraits à la volée depuis la source publique www.athle.fr à chaque génération de rapport, mis en forme dans un courrier électronique, puis transmis aux abonnés du club. Aucune copie n'est conservée par MyPacer Club après envoi.
- Seules sont conservées, pour une durée maximale de cinq (5) semaines et à des fins strictement techniques de déduplication entre l'envoi hebdomadaire et le mécanisme de rattrapage, des empreintes cryptographiques SHA-256 tronquées à 48 bits. Ces empreintes, par construction, ne permettent pas de remonter à l'identité d'un athlète ni à son résultat.
- Les journaux techniques (logs) de l'application ne conservent, pour chaque envoi, que l'identifiant du club et l'adresse email du destinataire — à l'exclusion de toute donnée relative à un athlète.
Dans ces conditions, MyPacer Club n'est pas responsable de traitement au sens du RGPD à l'égard des athlètes dont les résultats sont relayés dans les rapports. Les données sont publiées par la Fédération Française d'Athlétisme, seule responsable de traitement, sur la base du consentement recueilli lors de la prise de licence fédérale.
Toute demande relative à la publication, la modification ou la suppression d'un résultat sur www.athle.fr doit être adressée directement à la Fédération Française d'Athlétisme.
Sous-traitants et transferts
Pour assurer la fourniture du service, DecaSaaS recourt aux sous-traitants suivants, chacun lié par un engagement de confidentialité et de conformité au RGPD :
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| OVH SAS | Hébergement du site et de l'infrastructure applicative | France (Union européenne) |
| Resend Inc. | Envoi des emails transactionnels (rapports, confirmations) | États-Unis |
| Henrri (Rivalis) | Émission des factures | France (Union européenne) |
Transfert hors Union européenne
L'envoi des emails transactionnels est confié à Resend Inc., société établie aux États-Unis. Ce transfert est encadré par un Data Processing Agreement (accord de sous-traitance) conclu avec Resend Inc. et par les Clauses Contractuelles Types (SCC) adoptées par la Commission européenne dans sa décision d'exécution (UE) 2021/914, garantissant un niveau de protection conforme aux exigences du RGPD.
Mesures de sécurité
Conformément à l'article 32 du RGPD, DecaSaaS met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque présenté par les traitements. Ces mesures incluent notamment :
- chiffrement des communications en transit via HTTPS/TLS pour l'ensemble des échanges avec le site, l'infrastructure applicative et les services de sous-traitants ;
- hébergement de l'infrastructure principale en Union européenne (OVH, France), dans des centres de données certifiés ISO/IEC 27001 ;
- contrôle d'accès strict aux données personnelles, limité aux seules personnes dûment habilitées au sein de DecaSaaS, sur la base du principe du moindre privilège ;
- journalisation des accès administratifs et des opérations sensibles, avec rotation automatique des journaux techniques ;
- séparation des environnements (développement, pré-production, production) et gestion versionnée du code source.
Ces mesures font l'objet d'un réexamen périodique et sont adaptées à l'évolution des risques et des bonnes pratiques de l'état de l'art.
Durées de conservation — récapitulatif
- Données Client actif (nom, emails destinataires, club) : durée de l'abonnement, puis suppression automatique 30 jours après résiliation ou expiration.
- Factures et pièces comptables : 10 ans (obligation L.123-22 du Code de commerce).
- Coordonnées de prospection B2B : 3 ans à compter du dernier contact effectif.
- Empreintes techniques de déduplication : 5 semaines (purge automatique programmée).
- Journaux techniques (logs) : 12 mois maximum, par rotation automatique.
Absence de décision automatisée et de profilage
Conformément à l'article 22 du RGPD, DecaSaaS vous informe que MyPacer Club ne met en œuvre aucun traitement reposant sur une décision automatisée, au sens de cet article, ni aucun profilage des personnes concernées. Les traitements réalisés — envoi de rapports hebdomadaires, prospection commerciale B2B, facturation — sont des opérations strictement opérationnelles et ne produisent aucun effet juridique ni aucune conséquence significative à l'égard des personnes concernées.
Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez, sous réserve de justifier de votre identité, des droits suivants sur les données vous concernant effectivement traitées par DecaSaaS :
- Droit d'accès — obtenir confirmation et copie des données vous concernant ;
- Droit de rectification — faire corriger toute donnée inexacte ou incomplète ;
- Droit à l'effacement — obtenir la suppression de vos données, sous réserve des obligations légales de conservation (notamment comptables) ;
- Droit à la limitation — demander la limitation du traitement dans les cas prévus par le RGPD ;
- Droit à la portabilité — recevoir vos données dans un format structuré et lisible par machine ;
- Droit d'opposition — vous opposer à tout moment à un traitement fondé sur l'intérêt légitime (notamment la prospection B2B) ;
- Droit de retirer votre consentement lorsque le traitement est fondé sur le consentement, sans remettre en cause la licéité des traitements antérieurs.
Pour exercer ces droits, il vous suffit d'adresser votre demande, accompagnée d'un justificatif d'identité le cas échéant, à : contact@mypacer.fr. Nous nous engageons à vous répondre dans un délai maximal d'un (1) mois à compter de la réception de votre demande, conformément à l'article 12 du RGPD.
Notification en cas de violation de données
En cas de violation de données à caractère personnel au sens de l'article 4.12 du RGPD (perte, destruction, altération, divulgation non autorisée ou accès non autorisé à des données), susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, DecaSaaS s'engage à :
- notifier la violation à la CNIL dans un délai maximal de 72 heures à compter de sa prise de connaissance, conformément à l'article 33 du RGPD ;
- informer sans délai indu les personnes concernées lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés, conformément à l'article 34 du RGPD, en décrivant en des termes clairs et simples la nature de la violation, ses conséquences probables et les mesures prises ou envisagées pour y remédier ;
- documenter chaque violation (nature, conséquences, mesures prises) dans un registre interne, afin de permettre à la CNIL d'en vérifier la conformité.
Réclamation auprès de la CNIL
Si, après nous avoir contactés, vous estimez que vos droits n'ont pas été respectés, vous disposez du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
CNIL — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07Site : www.cnil.fr
Cookies et traceurs
Le site mypacer.fr n'utilise aucun cookie de mesure d'audience, de publicité ou de suivi comportemental. Seuls peuvent être déposés des cookies strictement nécessaires au fonctionnement technique du site, dispensés de consentement au titre de l'article 82 de la loi Informatique et Libertés.
Modification de la présente politique
DecaSaaS se réserve le droit de faire évoluer la présente politique de confidentialité afin de l'adapter aux évolutions législatives, jurisprudentielles, techniques ou fonctionnelles. La version en vigueur est celle publiée sur le site à la date de la consultation. Toute modification substantielle sera portée à la connaissance des Clients actifs par courriel.