Politique de confidentialité
1. Introduction et identité du responsable de traitement
La protection de vos données personnelles est une priorité pour RaceUp. Cette politique de confidentialité vous informe sur la manière dont nous collectons, utilisons, stockons et protégeons vos données personnelles, conformément au Règlement Général sur la Protection des Données (RGPD - Règlement UE 2016/679) et à la loi n° 78-17 du 6 janvier 1978 modifiée (Loi Informatique et Libertés).
Responsable du traitement des données
| Responsable | Timothy ALCAIDE |
| Statut | Auto-entrepreneur |
| SIREN | 824 385 348 |
| SIRET | 824 385 348 00027 |
| Siège social | 11 rue du Professeur Jean Granier, 34070 Montpellier, France |
| contact@raceup.org | |
| Site web | https://raceup.org |
Délégué à la Protection des Données (DPO)
| DPO | Timothy ALCAIDE |
| contact@raceup.org |
2. Données personnelles collectées
2.1 Données des participants aux événements
Lors de votre inscription à un événement sportif via RaceUp, nous collectons les données suivantes :
Données d'identification :
- Nom et prénom
- Date de naissance
- Genre
- Nationalité (si requis par l'Organisateur)
Coordonnées :
- Adresse email
- Numéro de téléphone
- Adresse postale
Données relatives à l'événement :
- Épreuve choisie, catégorie, options
- Taille de vêtements (t-shirt, etc.)
- Club ou équipe sportive
- Numéro de licence sportive (FFA, FFTRI, etc.)
- Passeport Prévention Santé (PPS) ou certificat médical
- Informations de santé déclarées volontairement (allergies, besoins spécifiques)
- Contact d'urgence (nom et téléphone)
Données de paiement :
- Les données de paiement (numéro de carte, etc.) sont collectées et traitées exclusivement par Stripe, notre prestataire de paiement certifié PCI-DSS. RaceUp ne stocke jamais vos coordonnées bancaires.
Données techniques :
- Adresse IP
- Type et version du navigateur
- Système d'exploitation
- Pages visitées et durée de visite
- Source de trafic (referrer)
- Identifiants de session
2.2 Données des organisateurs d'événements
Si vous êtes un organisateur utilisant RaceUp, nous collectons en complément :
- Raison sociale ou nom de l'association/entreprise
- Forme juridique
- Numéro SIRET ou numéro RNA (associations)
- Numéro de TVA intracommunautaire (si applicable)
- Coordonnées du représentant légal
- Coordonnées bancaires (via Stripe Connect) pour recevoir les paiements
- Informations relatives aux événements créés
2.3 Cookies et traceurs
Nous utilisons des cookies pour :
Cookies strictement nécessaires (sans consentement) :
- Authentification et maintien de session
- Sécurité et prévention de la fraude
- Mémorisation des préférences techniques
Cookies analytiques (avec consentement) :
- Analyse de l'utilisation du site (statistiques anonymisées)
- Amélioration de l'expérience utilisateur
Vous pouvez gérer vos préférences de cookies via les paramètres de votre navigateur ou le bandeau de consentement affiché lors de votre première visite.
3. Finalités et bases légales du traitement
| Finalité | Base légale (Art. 6 RGPD) | Données concernées |
|---|---|---|
| Gestion des inscriptions aux événements | Exécution du contrat (Art. 6.1.b) | Données d'identification, coordonnées, données d'inscription |
| Transmission des inscriptions aux Organisateurs | Exécution du contrat (Art. 6.1.b) | Toutes données d'inscription |
| Traitement des paiements (via Stripe) | Exécution du contrat (Art. 6.1.b) | Données de paiement |
| Envoi de confirmations et billets | Exécution du contrat (Art. 6.1.b) | Email, données d'inscription |
| Gestion des comptes utilisateurs | Exécution du contrat (Art. 6.1.b) | Données d'identification, coordonnées |
| Gestion des comptes Organisateurs | Exécution du contrat (Art. 6.1.b) | Données professionnelles |
| Support client | Intérêt légitime (Art. 6.1.f) | Données d'identification, coordonnées, historique |
| Amélioration de la plateforme | Intérêt légitime (Art. 6.1.f) | Données techniques, données d'utilisation |
| Sécurité et prévention de la fraude | Intérêt légitime (Art. 6.1.f) | Données techniques, IP |
| Conservation des factures | Obligation légale (Art. 6.1.c) | Données de facturation |
| Réponse aux demandes légales | Obligation légale (Art. 6.1.c) | Toutes données pertinentes |
Traitement de données sensibles
Les données de santé (certificat médical, PPS, informations médicales) sont collectées sur la base de votre consentement explicite (Art. 9.2.a RGPD) et sont nécessaires pour permettre votre participation à l'événement conformément aux exigences de l'Organisateur et à la réglementation sportive.
4. Destinataires des données
4.1 L'Organisateur de l'événement
IMPORTANT : Lorsque vous vous inscrivez à un événement, toutes vos données d'inscription sont transmises à l'Organisateur.
L'Organisateur devient responsable de traitement de ces données pour :
- L'organisation de l'événement (gestion des participants, sécurité)
- Les obligations réglementaires (assurances, fédérations sportives)
- La communication relative à l'événement
- La publication des résultats (sauf opposition de votre part)
Vous devez consulter la politique de confidentialité de l'Organisateur pour connaître ses pratiques en matière de protection des données.
4.2 Nos sous-traitants techniques
Nous faisons appel aux prestataires suivants, avec lesquels nous avons conclu des contrats conformes à l'article 28 du RGPD :
| Prestataire | Service | Localisation | Garanties |
|---|---|---|---|
| Vercel Inc. | Hébergement du site web | États-Unis | Clauses contractuelles types (CCT) |
| Supabase Inc. | Base de données, authentification | Singapour | Clauses contractuelles types (CCT) |
| Stripe Inc. | Traitement des paiements (PCI-DSS) | États-Unis | Clauses contractuelles types (CCT) |
4.3 Autorités compétentes
Vos données peuvent être transmises aux autorités administratives ou judiciaires sur réquisition légale (fiscales, judiciaires, etc.).
4.4 Fédérations sportives
Certains événements sont affiliés à des fédérations sportives (FFA, FFTRI, etc.). Dans ce cas, vos données et résultats peuvent être transmis à ces fédérations conformément à leurs règlements.
5. Transferts de données hors Union Européenne
Certains de nos prestataires sont situés en dehors de l'Union Européenne :
| Prestataire | Pays | Mécanisme de transfert |
|---|---|---|
| Vercel | États-Unis | Clauses contractuelles types (Décision 2021/914) |
| Stripe | États-Unis | Clauses contractuelles types (Décision 2021/914) |
| Supabase | Singapour | Clauses contractuelles types (Décision 2021/914) |
Ces transferts sont encadrés par les garanties appropriées conformément au Chapitre V du RGPD. Vous pouvez obtenir une copie de ces garanties en nous contactant.
6. Durée de conservation des données
| Type de données | Durée de conservation |
|---|---|
| Données d'inscription à un événement | Jusqu'à suppression par l'Organisateur ou sur votre demande (après l'événement) |
| Données de compte utilisateur | Durée de vie du compte + 3 ans après la dernière activité |
| Données de compte Organisateur | Durée du contrat + 3 ans |
| Données de facturation | 10 ans (obligation légale - Code de commerce, Art. L123-22) |
| Données de paiement (chez Stripe) | Selon la politique de Stripe et obligations légales |
| Logs techniques et sécurité | 12 mois |
| Cookies analytiques | 13 mois maximum |
À l'expiration de ces délais, les données sont supprimées ou anonymisées.
7. Sécurité des données
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données :
Mesures techniques :
- Chiffrement des communications (HTTPS/TLS 1.3)
- Chiffrement des données sensibles au repos
- Authentification sécurisée (2FA disponible via Supabase)
- Contrôle d'accès basé sur les rôles (Row Level Security)
- Sauvegardes régulières et géographiquement distribuées
- Surveillance et détection d'intrusions
Mesures organisationnelles :
- Accès aux données limité au strict nécessaire
- Sensibilisation et formation du personnel
- Procédures de gestion des incidents
- Tests de sécurité réguliers
Paiements :
- 100% des paiements traités par Stripe (certifié PCI-DSS niveau 1)
- Aucune donnée de carte bancaire stockée par RaceUp
8. Vos droits sur vos données
Conformément au RGPD (articles 15 à 22), vous disposez des droits suivants :
8.1 Droit d'accès (Art. 15)
Vous pouvez obtenir la confirmation que des données vous concernant sont traitées et accéder à ces données ainsi qu'aux informations sur le traitement.
8.2 Droit de rectification (Art. 16)
Vous pouvez demander la rectification de vos données inexactes ou le complément de données incomplètes.
8.3 Droit à l'effacement (Art. 17)
Vous pouvez demander l'effacement de vos données dans les cas suivants :
- Les données ne sont plus nécessaires aux finalités
- Vous retirez votre consentement (si c'était la base légale)
- Vous vous opposez au traitement (intérêt légitime)
- Le traitement est illicite
- Effacement requis par une obligation légale
Exceptions : Ce droit ne s'applique pas lorsque le traitement est nécessaire au respect d'une obligation légale (ex : conservation des factures 10 ans) ou à la constatation, l'exercice ou la défense de droits en justice.
8.4 Droit à la limitation (Art. 18)
Vous pouvez demander la limitation du traitement dans certaines situations (contestation de l'exactitude, traitement illicite, etc.).
8.5 Droit à la portabilité (Art. 20)
Vous pouvez recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON, CSV), et les transmettre à un autre responsable de traitement.
8.6 Droit d'opposition (Art. 21)
Vous pouvez vous opposer à tout moment au traitement de vos données fondé sur l'intérêt légitime, pour des raisons tenant à votre situation particulière.
8.7 Droit de retirer votre consentement
Lorsque le traitement est fondé sur votre consentement, vous pouvez le retirer à tout moment, sans que cela n'affecte la licéité du traitement antérieur.
8.8 Droit de définir des directives post-mortem
Vous pouvez définir des directives relatives à la conservation, l'effacement et la communication de vos données après votre décès.
8.9 Comment exercer vos droits
Pour exercer vos droits, contactez-nous :
Par email : contact@raceup.org (ou dpo@raceup.org)
Par courrier : Timothy ALCAIDE - DPO, 11 rue du Professeur Jean Granier, 34070 Montpellier, France
Nous répondrons dans un délai d'un mois à compter de la réception de votre demande. Ce délai peut être prolongé de deux mois en cas de demande complexe.
Une pièce d'identité pourra vous être demandée pour vérifier votre identité.
9. Réclamation auprès de la CNIL
Si vous estimez que le traitement de vos données constitue une violation de vos droits, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
CNIL
3 Place de Fontenoy - TSA 80715
75334 PARIS CEDEX 07
Téléphone : 01 53 73 22 22
Site web : https://www.cnil.fr
10. Données des mineurs
Les événements sportifs peuvent être accessibles aux mineurs selon les conditions de chaque Organisateur.
Pour les mineurs de moins de 16 ans, le consentement doit être donné par le titulaire de l'autorité parentale. Le représentant légal effectuant l'inscription est responsable des informations fournies.
11. Modifications de la politique
Nous nous réservons le droit de modifier cette politique de confidentialité. Toute modification sera publiée sur cette page avec une nouvelle date de mise à jour.
En cas de modification substantielle affectant vos droits, nous vous en informerons par email ou notification sur la plateforme.
12. Contact
Pour toute question concernant cette politique ou vos données personnelles :
Email : contact@raceup.org
Courrier : Timothy ALCAIDE, 11 rue du Professeur Jean Granier, 34070 Montpellier, France
Date de dernière mise à jour : 13 janvier 2026
Cette politique de confidentialité est conforme au Règlement (UE) 2016/679 (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée (Loi Informatique et Libertés).