Politique de confidentialité

1. Préambule

Glicéo est une plateforme SaaS de gestion dédiée aux clubs de patinage artistique et aux coachs indépendants. La présente politique de confidentialité décrit la manière dont Glicéo collecte, utilise, conserve et protège les données personnelles des utilisateurs (présidents, trésoriers, coachs, adhérents, parents) conformément au Règlement Général sur la Protection des Données (RGPD, Règlement UE 2016/679) et à la loi française Informatique et Libertés modifiée.

L'utilisation du service Glicéo implique la lecture et l'acceptation de la présente politique. Pour toute question relative à la protection de vos données, vous pouvez contacter contact@gliceo.com.

2. Responsable du traitement

Le responsable du traitement des données personnelles collectées via Glicéo est :

• Charles Calatayud, entrepreneur individuel
• Coordonnées : voir Mentions légales
• Contact protection des données : contact@gliceo.com

Répartition des rôles RGPD : pour les données des adhérents inscrits dans un club via Glicéo, le club est responsable de traitement et Glicéo agit comme sous-traitant au sens de l'article 28 du RGPD. Pour les données des comptes utilisateurs Glicéo (présidents, coachs, accès à la plateforme), Glicéo est responsable de traitement.

3. Données collectées

Glicéo ne collecte que les données strictement nécessaires au fonctionnement du service.

3.1 Compte utilisateur Glicéo

• Nom, prénom, adresse email
• Numéro de téléphone (facultatif)
• Mot de passe (haché via bcrypt, jamais stocké en clair)
• Préférences de notification

3.2 Fiche adhérent (saisie par le club)

• Nom de naissance, nom d'usage, prénom, date et lieu de naissance, sexe, nationalité
• Adresse postale, ville, code postal, pays
• Email et téléphone de l'adhérent ou du représentant légal
• Coordonnées du parent ou tuteur pour les mineurs
• Numéro de licence FFSG (Fédération Française des Sports de Glace), niveau d'examen, filière (loisir, compétition)
• Tailles de vêtements pour les costumes de gala (facultatif, saisie volontaire)

Aucune donnée de santé n'est hébergée par Glicéo. Allergies, traitements, certificats médicaux et toute information relevant de l'article 9 du RGPD restent gérés par le club hors plateforme.

3.3 Documents

• Licence FFSG, autorisation parentale, droit à l'image
• Justificatifs de paiement, factures, reçus fiscaux générés par le service
• Stockage chiffré dans un bucket Supabase Storage privé

3.4 Paiements

• Montant, date, statut, mode de règlement (CB, prélèvement SEPA, chèque, espèces)
• Référence Stripe pour les paiements en ligne (aucune donnée bancaire n'est stockée sur les serveurs Glicéo)
• Pour les prélèvements SEPA, le mandat est conservé par Stripe, Glicéo ne stocke qu'une référence

3.5 Données techniques

• Adresse IP, type de navigateur, système d'exploitation (logs serveur)
• Horodatage des connexions, actions sensibles (création, modification, suppression)
• Journal d'audit interne (ActionLog) pour les opérations critiques staff

3.6 Données d'usage

• Pages consultées, actions clés, parcours utilisateur (PostHog)
• Anonymisation par défaut, respect du signal Do Not Track du navigateur
• Champs sensibles systématiquement masqués (mots de passe, IBAN, emails)

4. Finalités du traitement

Les données collectées sont utilisées pour les finalités suivantes :

• Fourniture du service : authentification, gestion du club, suivi des adhésions, des paiements, des stages, des compétitions, des présences, de la billetterie.
• Communication transactionnelle : confirmations d'inscription, justificatifs de paiement, rappels d'échéance SEPA (mention légale 14 jours avant prélèvement), invitations aux stages et compétitions.
• Facturation de l'abonnement SaaS Glicéo et de la commission de service sur les paiements en ligne.
• Respect des obligations légales : comptabilité, conservation des pièces fiscales, génération du FEC pour les contrôles fiscaux, reçus fiscaux pour les dons éligibles à la déduction d'impôt.
• Sécurité : détection d'abus, prévention de fraude, journal d'audit, gestion des incidents.
• Amélioration du produit : analyse anonymisée de l'usage des fonctionnalités pour identifier les frictions et prioriser les évolutions.
• Support utilisateur : réponse aux questions techniques ou fonctionnelles via la mailbox de contact.

5. Bases légales

Chaque traitement repose sur une base légale identifiée au sens des articles 6 et 9 du RGPD :

• Exécution du contrat (art. 6.1.b) : création de compte, gestion de l'abonnement, encaissement des cotisations, suivi des adhésions.
• Obligation légale (art. 6.1.c) : conservation des données comptables et fiscales pendant 10 ans, génération des reçus fiscaux pour les dons.
• Intérêt légitime (art. 6.1.f) : sécurité du service, prévention de fraude, journal d'audit, statistiques d'usage anonymisées. L'intérêt légitime de Glicéo est mis en balance avec les droits fondamentaux des personnes concernées.
• Consentement (art. 6.1.a) : envoi de notifications push, mesures d'audience non strictement nécessaires, communication non transactionnelle. Le consentement est recueilli explicitement et peut être retiré à tout moment.
• Consentement parental (art. 8 RGPD, art. 7-1 LIL) : pour les adhérents de moins de 15 ans, le consentement d'un titulaire de l'autorité parentale est requis avant tout traitement. Il est horodaté côté serveur.

6. Sous-traitants et destinataires

Glicéo recourt à des sous-traitants techniques pour fournir le service. Tous sont liés par un contrat de sous-traitance conforme à l'article 28 du RGPD.

La liste des sous-traitants est susceptible d'évoluer. Toute modification substantielle est notifiée aux clubs avec un délai d'opposition de 30 jours, conformément à l'article 28.2 du RGPD.

Aucune donnée n'est cédée ni vendue à des fins commerciales, à des fins publicitaires ou à des courtiers en données.

7. Durées de conservation

Les données ne sont conservées que pour la durée strictement nécessaire à la finalité poursuivie.

• Compte utilisateur actif : tant que le compte est utilisé.
• Compte utilisateur inactif : 3 ans après la dernière connexion, puis anonymisation automatique.
• Données comptables et fiscales (paiements, factures, reçus, FEC) : 10 ans à compter de la clôture de l'exercice (Code de commerce L123-22 et CGI).
• Justificatifs de paiement émis par Glicéo : 10 ans.
• Mandats SEPA : 13 mois après le dernier prélèvement (règle SDD Core), puis 10 ans côté Stripe pour les obligations légales.
• Logs techniques (IP, user-agent, audit) : 12 mois maximum.
• Sauvegardes : 30 jours glissants, restauration possible jusqu'à 30 jours en arrière.
• Cookies analytiques : 13 mois maximum, durée de vie conforme aux recommandations CNIL.

À l'issue de ces durées, les données sont soit supprimées définitivement, soit anonymisées de manière irréversible.

8. Vos droits RGPD

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :

Droit d'accès

Vous pouvez obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie. Un export JSON complet est disponible depuis votre profil dans la rubrique « Mon profil ».

Droit de rectification

Vous pouvez corriger toute donnée inexacte ou incomplète vous concernant. La plupart des champs sont éditables directement depuis votre profil. Pour les données saisies par le club (fiche adhérent), vous pouvez en faire la demande auprès du staff du club.

Droit à l'effacement

Vous pouvez demander la suppression de vos données dans les cas prévus par l'article 17 du RGPD. Un bouton « Supprimer mon compte » est disponible depuis votre profil. Les données opérationnelles sont anonymisées, les données fiscales et comptables sont conservées conformément à la loi pendant 10 ans.

Droit d'opposition

Vous pouvez vous opposer à tout moment à un traitement fondé sur l'intérêt légitime, notamment les notifications, la mesure d'audience analytique ou la communication non transactionnelle. Les paramètres sont accessibles depuis votre profil.

Droit à la portabilité

Vous pouvez récupérer vos données dans un format structuré, couramment utilisé et lisible par machine (JSON). Cet export est disponible en libre service depuis votre profil et peut être transmis à un autre service.

Droit à la limitation

Dans certains cas (contestation de l'exactitude des données, opposition en cours d'examen), vous pouvez demander que le traitement soit limité.

Droit de retirer son consentement

Pour les traitements fondés sur le consentement (notifications push, mesure d'audience non essentielle), vous pouvez retirer votre accord à tout moment, sans que cela remette en cause la licéité des traitements antérieurs.

Droit de réclamation

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL).

Pour exercer l'un de ces droits, vous pouvez utiliser les outils en libre service depuis votre profil, ou contacter contact@gliceo.com. Un délai de réponse d'un mois maximum est garanti, prolongeable de deux mois en cas de demande complexe (art. 12.3 RGPD).

9. Protection des mineurs

Une large part des adhérents inscrits via Glicéo sont des mineurs. Glicéo applique des règles renforcées :

• Seuil de consentement numérique en France : 15 ans (RGPD art. 8, transposé par art. 7-1 LIL).
• Moins de 15 ans : l'inscription nécessite le consentement d'un titulaire de l'autorité parentale, horodaté en base.
• 15 ans et plus : consentement personnel possible, mais le contrat club reste signé par le représentant légal jusqu'à la majorité civile.
• Pas de profilage ni de décision automatisée sur les mineurs.
• Pas de mesure d'audience activée pour les enfants identifiés tant qu'ils ne disposent pas eux-mêmes d'un compte Glicéo.
• Aucune donnée de santé hébergée, conformément à la position de la CNIL sur la minimisation des données.

10. Sécurité

Glicéo met en œuvre les mesures techniques et organisationnelles adaptées au niveau de risque, conformément à l'article 32 du RGPD :

• Chiffrement TLS 1.3 sur toutes les connexions web et API
• Chiffrement au repos des bases de données (Supabase, AES-256)
• Authentification à deux facteurs (MFA) disponible pour tous les comptes
• Contrôle d'accès par rôle (RBAC) au sein de chaque club
• Row Level Security activée sur l'ensemble des tables Postgres
• Hachage bcrypt des mots de passe (jamais en clair)
• Monitoring continu des erreurs et anomalies (Sentry)
• Sauvegardes quotidiennes avec drill de restauration documenté
• Journal d'audit pour les actions sensibles (modifications financières, accès aux données personnelles)
• Scrubbing systématique des PII dans les logs applicatifs

11. Cookies et traceurs

Glicéo utilise uniquement les cookies suivants :

• Cookies strictement nécessaires : session, authentification, préférences. Pas de consentement requis (CNIL).
• Cookies de mesure d'audience (PostHog) : configurés pour respecter le signal Do Not Track, anonymisation IP, masquage des champs sensibles, durée 13 mois.

Aucun cookie publicitaire, aucun cookie de profilage commercial, aucun cookie tiers de réseau social ne sont déposés.

12. Transferts hors UE

Certains sous-traitants techniques (Vercel, Resend) opèrent depuis les États-Unis. Ces transferts sont encadrés par des clauses contractuelles types adoptées par la Commission européenne (décision 2021/914) et par les engagements de ces sous-traitants en matière de protection des données.

Les données primaires (base de données et fichiers) sont hébergées dans l'Union européenne (Supabase, région eu-west-1, Irlande).

13. Délégué à la protection des données

Glicéo n'est pas tenu de désigner un Délégué à la Protection des Données (DPO) au sens de l'article 37 du RGPD compte tenu de la structure actuelle. Le responsable du traitement assure néanmoins le rôle de point de contact pour toute question de protection des données.

Contact dédié : contact@gliceo.com avec l'objet « RGPD ». Un DPO externe pourra être désigné à l'avenir si le volume ou la nature des traitements le justifie.

14. Modifications de la politique

La présente politique est susceptible d'évoluer pour refléter les changements légaux, réglementaires ou techniques. Toute modification substantielle est notifiée aux utilisateurs concernés par email au moins 30 jours avant son entrée en vigueur.

La version en vigueur est toujours disponible à l'adresse /confidentialite. La date de dernière mise à jour figure en haut de page.