S
StopSport
EN

Accord de traitement des données (DPA)

Dernière mise à jour : 4 avril 2026

Le présent accord de traitement des données (ci-après « DPA ») complète les Conditions Générales d'Utilisation de la Plateforme Stopsport et s'applique dans le cadre de la relation entre le club utilisateur et FV – Fitness Vendor.

1. Définitions et rôles

Responsable de traitement

Le club utilisateur de la Plateforme agit en qualité de responsable de traitement au sens du Règlement Général sur la Protection des Données (RGPD). Il détermine les finalités et les moyens du traitement des données personnelles de ses membres dans le cadre de la gestion des demandes de résiliation.

Sous-traitant

FV – Fitness Vendor, éditeur de la Plateforme Stopsport, agit en qualité de sous-traitant technique. Stopsport traite les données personnelles des membres uniquement pour le compte du club et conformément à ses instructions.

2. Finalités du traitement

Les données personnelles sont traitées dans le cadre des finalités suivantes :

  • Réception et transmission des demandes de résiliation
  • Traitement et suivi de l'état des demandes
  • Encaissement des frais de résiliation par le prestataire de paiement
  • Envoi de notifications par email (confirmation, acceptation, refus, rappels, récapitulatifs quotidiens de modifications réseau)
  • Versement des fonds collectés au club
  • Génération de statistiques anonymisées pour le tableau de bord du club
  • Transfert inter-club : lorsqu'un membre demande un transfert vers un club du même réseau ou du même propriétaire, ses coordonnées (nom, prénom, email, téléphone, nouvelle adresse) sont communiquées au club destinataire afin de faciliter la prise en charge. Ce transfert est initié par le membre lui-même dans le cadre du parcours de résiliation. Dans certains réseaux, le transfert peut être rendu obligatoire conformément aux conditions générales de vente du réseau
  • Administration de réseaux d'établissements : gestion des paramètres communs, invitations, journal d'audit des modifications
  • Affichage géographique des clubs du réseau à proximité du membre via un service de cartographie (Mapbox)
  • Transmission d'événements vers des systèmes tiers via des webhooks sécurisés configurés par le club ou le réseau
  • Gestion de la période de grâce de 30 jours lors de la suppression d'un établissement ou d'un réseau
  • Accès support : consultation des données du compte dans le cadre de l'assistance technique

3. Catégories de données traitées

Données des membres (personnes concernées)

  • Nom et prénom
  • Adresse email
  • Numéro de téléphone (optionnel)
  • Motif de résiliation
  • Réponses aux questionnaires
  • Score de satisfaction
  • Justificatif (si fourni)
  • Données de paiement (traitées par Stripe, non stockées par Stopsport)
  • Nouvelle adresse (en cas de déménagement ou mutation, si renseignée par le membre)
  • Données de géolocalisation (latitude, longitude) : collectées via le navigateur avec le consentement du membre, utilisées pour l'affichage des clubs à proximité via Mapbox. Ces données ne sont pas conservées après la session

Données partagées dans le cadre du transfert inter-club

Lorsqu'un membre demande un transfert vers un club du même réseau ou du même propriétaire, les données suivantes sont communiquées au club destinataire : nom, prénom, adresse email, numéro de téléphone (si renseigné), nouvelle adresse et club d'origine. Ce partage est initié par le membre dans le cadre du parcours de résiliation et vise à faciliter sa prise en charge par le club destinataire.

Données des gérants de clubs

  • Adresse email et identifiants de connexion
  • Informations de l'établissement (SIRET, raison sociale, adresse)
  • IBAN, BIC et titulaire du compte bancaire
  • Logo et préférences de personnalisation

Données des administrateurs réseau

  • Adresse email et identifiants de connexion
  • Nom et prénom

Données du journal d'audit réseau

  • Identité de l'auteur de la modification (email, nom)
  • Date et heure de la modification
  • Détail des paramètres modifiés (ancienne et nouvelle valeur)
  • Adresse IP de l'auteur

Les données d'audit sont conservées pendant la durée de vie du réseau.

Données transmises via les webhooks

Lorsque le club ou le réseau configure un webhook, les données suivantes peuvent être incluses dans les requêtes sortantes : nom et prénom du membre, adresse email, motif de résiliation, statut de la demande, identifiant du club. Le club est responsable du traitement de ces données à la destination.

4. Obligations du sous-traitant

FV – Fitness Vendor s'engage à :

  • Traiter les données personnelles uniquement sur instruction documentée du club
  • Ne pas traiter les données à d'autres fins que celles définies dans le présent accord
  • Garantir la confidentialité des données traitées
  • Veiller à ce que les personnes autorisées à traiter les données s'engagent à respecter la confidentialité
  • Mettre en œuvre les mesures techniques et organisationnelles appropriées pour assurer la sécurité des données
  • Ne pas communiquer les données à des tiers non autorisés

5. Mesures de sécurité

Stopsport met en œuvre les mesures de sécurité suivantes :

  • Chiffrement des données en transit (HTTPS/TLS)
  • Authentification sécurisée via Supabase Auth
  • Row Level Security (RLS) sur la base de données, garantissant l'isolation des données entre clubs
  • Aucune donnée bancaire stockée sur les serveurs de Stopsport (délégation à Stripe)
  • Rate limiting sur les routes sensibles pour prévenir les abus
  • Protection SSRF sur les URL de webhooks
  • Vérification de signature sur les webhooks entrants (Stripe)
  • Signature HMAC-SHA256 sur les webhooks sortants

6. Sous-traitants ultérieurs

FV – Fitness Vendor fait appel aux sous-traitants ultérieurs suivants pour le fonctionnement de la Plateforme :

Sous-traitantServiceLocalisation
Supabase Inc.Base de données et authentificationUnion européenne
Vercel Inc.HébergementÉtats-Unis (clauses contractuelles types)
Stripe Payments Europe, Ltd.Traitement des paiementsUE (Irlande)
Resend Inc.Emails transactionnelsÉtats-Unis (EU-US Data Privacy Framework)
SwanVirements bancaires SEPAFrance / UE
Functional Software Inc. (Sentry)Monitoring d'erreursÉtats-Unis (clauses contractuelles types)
UpstashProtection anti-abus (rate limiting)Union européenne
Mapbox Inc.Cartographie et géolocalisationÉtats-Unis (clauses contractuelles types, DPA : https://www.mapbox.com/legal/dpa)
Anthropic PBCGénération de rapports de performance (données agrégées uniquement)États-Unis (clauses contractuelles types)
Google (Search Console API)Analyse de visibilité organique du siteÉtats-Unis (clauses contractuelles types)

Le club est informé de tout changement de sous-traitant ultérieur. En cas d'objection légitime, le club peut résilier son utilisation de la Plateforme.

7. Durée de conservation des données

  • Données de compte : conservées tant que le compte est actif. Lors de la suppression d'un établissement ou d'un réseau, une période de grâce de 30 jours est appliquée (données conservées en lecture seule). À l'issue de cette période, les données sont définitivement supprimées
  • Données de résiliation : 3 ans après la dernière activité
  • Données de facturation : 10 ans (obligation légale)
  • Logs techniques : 12 mois
  • Journal d'audit réseau : conservé pendant la durée de vie du réseau, supprimé lors de la suppression définitive du réseau
  • Données de géolocalisation : non conservées (utilisées uniquement pendant la session de sélection de club)

À l'expiration des durées de conservation, les données sont supprimées ou anonymisées.

8. Suppression et restitution des données

À la fin de la relation contractuelle, le club peut demander :

  • La restitution de l'ensemble de ses données dans un format structuré et lisible
  • La suppression de ses données et de celles de ses membres

La demande doit être adressée à contact@fitness-vendor.com. FV – Fitness Vendor s'engage à y répondre dans un délai de 30 jours.

Certaines données peuvent être conservées au-delà de cette période lorsque la loi l'exige (notamment les données de facturation).

9. Assistance RGPD

FV – Fitness Vendor s'engage à assister le club dans le respect de ses obligations au titre du RGPD, notamment pour :

  • Répondre aux demandes d'exercice de droits des personnes concernées (accès, rectification, suppression, portabilité, opposition, limitation)
  • Notifier le club en cas de violation de données personnelles dans un délai de 72 heures après en avoir pris connaissance
  • Fournir les informations nécessaires à la réalisation d'analyses d'impact relatives à la protection des données (AIPD) si le club en fait la demande
  • Coopérer avec les autorités de contrôle compétentes

10. Notification des violations de données

En cas de violation de données personnelles, FV – Fitness Vendor s'engage à :

  • Notifier le club dans un délai de 72 heures après avoir pris connaissance de la violation
  • Fournir toutes les informations nécessaires permettant au club de remplir ses propres obligations de notification auprès de l'autorité de contrôle et des personnes concernées
  • Documenter la violation, ses effets et les mesures correctives prises

11. Droit applicable

Le présent accord est régi par le droit français et par le Règlement (UE) 2016/679 (RGPD).

12. Contact

Pour toute question relative au présent accord, vous pouvez contacter FV – Fitness Vendor à l'adresse : contact@fitness-vendor.com.