Politique de confidentialité

Dernière mise à jour : 29 avril 2026

Cette politique explique comment GroupMatching collecte, utilise et protège les données personnelles. Elle est conforme au Règlement Général sur la Protection des Données (RGPD, règlement UE 2016/679) et à la loi Informatique et Libertés.

1. Responsable de traitement

Le responsable du traitement des données collectées via la plateforme est :

[NOM_PRENOM], entrepreneur individuel
[ADRESSE_POSTALE]
Email : hello@groupmatching.app

Pour les données saisies par les clubs (joueurs, groupes, etc.), le club est responsable de traitement et GroupMatching agit en tant que sous-traitant au sens de l'article 28 RGPD.

2. Données collectées

2.1 Données du compte (Client = club)

Email du compte
Mot de passe (haché, jamais stocké en clair)
Nom du club
Date d'inscription, date de fin d'essai, statut d'abonnement
Identifiants Stripe (customer ID, subscription ID) si abonnement

2.2 Données saisies par le Club (incluant données de mineurs)

Le Client saisit ou importe des données concernant ses joueurs :

Prénom, nom, âge, niveau, disponibilités
Téléphone et email d'un représentant (parent, joueur majeur)
Notes libres, contraintes humaines (amis, fratrie, coach préféré)

Ces données peuvent concerner des mineurs. Le Club s'engage à recueillir les consentements parentaux nécessaires avant toute saisie conformément à l'article 8 RGPD.

2.3 Données techniques

Logs serveur (adresse IP, user agent, timestamps) — conservés 30 jours pour la sécurité
Cookie de session d'authentification (uniquement fonctionnel)

Aucun cookie publicitaire ou de tracking tiers n'est utilisé.

3. Finalités et bases légales

Exécution du contrat (art. 6.1.b RGPD) — fournir le service, gérer les paiements, le support
Obligations légales (art. 6.1.c) — facturation, comptabilité, lutte contre la fraude
Intérêt légitime (art. 6.1.f) — sécurité du service, prévention des abus

Aucune donnée n'est utilisée à des fins de marketing ou revendue à des tiers.

4. Sous-traitants

GroupMatching s'appuie sur des prestataires techniques pour fournir le service. Tous sont liés par un accord de sous-traitance conforme au RGPD.

Prestataire	Rôle	Hébergement
Vercel Inc.	Hébergement de l'application	UE / États-Unis (DPF)
Supabase Inc.	Base de données + auth	UE (Frankfurt / London)
Stripe Payments Europe Ltd.	Traitement des paiements	Irlande / États-Unis (DPF)

Les transferts hors UE (Vercel et Stripe) sont encadrés par le Data Privacy Framework approuvé par la Commission européenne (juillet 2023) ou des Clauses Contractuelles Types (CCT).

5. Durée de conservation

Données du compte : pendant toute la durée de l'abonnement, puis 90 jours après résiliation pour permettre la réactivation, puis suppression définitive.
Données saisies (joueurs, groupes) : même règle que ci-dessus, ou suppression à la demande du Client à tout moment.
Factures et données comptables : 10 ans (obligation légale).
Logs techniques : 30 jours.

6. Droits des personnes concernées

Conformément aux articles 15 à 22 RGPD, toute personne dont les données sont traitées peut exercer les droits suivants :

Accès à ses données
Rectification
Effacement (« droit à l'oubli »)
Limitation du traitement
Portabilité (export au format CSV directement depuis l'app)
Opposition
Retrait du consentement à tout moment

Pour exercer ces droits, écris à hello@groupmatching.app avec une preuve d'identité. Réponse sous 30 jours maximum.

Pour les données de joueurs mineurs, la demande doit être formulée par le club (responsable de traitement) ou par le représentant légal du mineur.

En cas de litige non résolu, tu peux saisir la CNIL.

7. Sécurité

Les mesures techniques et organisationnelles suivantes sont mises en œuvre :

Chiffrement TLS 1.3 sur toutes les communications
Mots de passe hachés avec bcrypt (via Supabase Auth)
Isolation par club via Postgres Row-Level Security (RLS)
Sauvegardes automatiques quotidiennes (Supabase)
Accès au code source restreint

8. Cookies

GroupMatching utilise uniquement des cookies strictement nécessaires au fonctionnement du service :

Cookie de session d'authentification (Supabase Auth)
Stockage local des préférences de l'utilisateur (rôle de l'appareil, dernière vue active)

Aucun cookie n'est utilisé à des fins publicitaires, statistiques tierces ou de profilage. Aucun consentement n'est donc requis (cf. délibération CNIL 2020-091).

9. Modification de cette politique

Cette politique peut être mise à jour. La date de dernière mise à jour est indiquée en haut. En cas de changement substantiel, les utilisateurs actifs sont notifiés par email.

10. Contact

Pour toute question concernant cette politique ou le traitement de tes données : hello@groupmatching.app

À adapter avant la mise en ligne en mode live : remplace les [PLACEHOLDERS] par tes vraies infos d'auto-entrepreneur. Si tu héberges Supabase dans une autre région, ajuste la mention. Fais relire par un juriste si tu peux — surtout pour la partie données mineurs qui est sensible.