S
StopSport
EN

Accord de traitement des données (DPA)

Dernière mise à jour : 9 mars 2026

Le présent accord de traitement des données (ci-après « DPA ») complète les Conditions Générales d'Utilisation de la Plateforme Stopsport et s'applique dans le cadre de la relation entre le club utilisateur et FV – Fitness Vendor.

1. Définitions et rôles

Responsable de traitement

Le club utilisateur de la Plateforme agit en qualité de responsable de traitement au sens du Règlement Général sur la Protection des Données (RGPD). Il détermine les finalités et les moyens du traitement des données personnelles de ses membres dans le cadre de la gestion des demandes de résiliation.

Sous-traitant

FV – Fitness Vendor, éditeur de la Plateforme Stopsport, agit en qualité de sous-traitant technique. Stopsport traite les données personnelles des membres uniquement pour le compte du club et conformément à ses instructions.

2. Finalités du traitement

Les données personnelles sont traitées dans le cadre des finalités suivantes :

  • Réception et transmission des demandes de résiliation
  • Traitement et suivi de l'état des demandes
  • Encaissement des frais de résiliation par le prestataire de paiement
  • Envoi de notifications par email (confirmation, acceptation, refus, rappels)
  • Versement des fonds collectés au club
  • Génération de statistiques anonymisées pour le tableau de bord du club

3. Catégories de données traitées

Données des membres (personnes concernées)

  • Nom et prénom
  • Adresse email
  • Numéro de téléphone (optionnel)
  • Motif de résiliation
  • Réponses aux questionnaires
  • Score de satisfaction
  • Justificatif (si fourni)
  • Données de paiement (traitées par Stripe, non stockées par Stopsport)

Données des gérants de clubs

  • Adresse email et identifiants de connexion
  • Informations de l'établissement (SIRET, raison sociale, adresse)
  • IBAN, BIC et titulaire du compte bancaire
  • Logo et préférences de personnalisation

4. Obligations du sous-traitant

FV – Fitness Vendor s'engage à :

  • Traiter les données personnelles uniquement sur instruction documentée du club
  • Ne pas traiter les données à d'autres fins que celles définies dans le présent accord
  • Garantir la confidentialité des données traitées
  • Veiller à ce que les personnes autorisées à traiter les données s'engagent à respecter la confidentialité
  • Mettre en œuvre les mesures techniques et organisationnelles appropriées pour assurer la sécurité des données
  • Ne pas communiquer les données à des tiers non autorisés

5. Mesures de sécurité

Stopsport met en œuvre les mesures de sécurité suivantes :

  • Chiffrement des données en transit (HTTPS/TLS)
  • Authentification sécurisée via Supabase Auth
  • Row Level Security (RLS) sur la base de données, garantissant l'isolation des données entre clubs
  • Aucune donnée bancaire stockée sur les serveurs de Stopsport (délégation à Stripe)
  • Rate limiting sur les routes sensibles pour prévenir les abus
  • Protection SSRF sur les URL de webhooks
  • Vérification de signature sur les webhooks entrants (Stripe)
  • Signature HMAC-SHA256 sur les webhooks sortants

6. Sous-traitants ultérieurs

FV – Fitness Vendor fait appel aux sous-traitants ultérieurs suivants pour le fonctionnement de la Plateforme :

Sous-traitantServiceLocalisation
Supabase Inc.Base de données et authentificationUnion européenne
Vercel Inc.HébergementÉtats-Unis (clauses contractuelles types)
Stripe Payments Europe, Ltd.Traitement des paiementsUE (Irlande)
Brevo (ex-Sendinblue)Emails transactionnelsFrance / UE
UpstashProtection anti-abus (rate limiting)Union européenne

Le club est informé de tout changement de sous-traitant ultérieur. En cas d'objection légitime, le club peut résilier son utilisation de la Plateforme.

7. Durée de conservation des données

  • Données de compte : conservées tant que le compte est actif, puis supprimées sous 30 jours après suppression du compte
  • Données de résiliation : 3 ans après la dernière activité
  • Données de facturation : 10 ans (obligation légale)
  • Logs techniques : 12 mois

À l'expiration des durées de conservation, les données sont supprimées ou anonymisées.

8. Suppression et restitution des données

À la fin de la relation contractuelle, le club peut demander :

  • La restitution de l'ensemble de ses données dans un format structuré et lisible
  • La suppression de ses données et de celles de ses membres

La demande doit être adressée à contact@fitness-vendor.com. FV – Fitness Vendor s'engage à y répondre dans un délai de 30 jours.

Certaines données peuvent être conservées au-delà de cette période lorsque la loi l'exige (notamment les données de facturation).

9. Assistance RGPD

FV – Fitness Vendor s'engage à assister le club dans le respect de ses obligations au titre du RGPD, notamment pour :

  • Répondre aux demandes d'exercice de droits des personnes concernées (accès, rectification, suppression, portabilité, opposition, limitation)
  • Notifier le club en cas de violation de données personnelles dans un délai de 72 heures après en avoir pris connaissance
  • Fournir les informations nécessaires à la réalisation d'analyses d'impact relatives à la protection des données (AIPD) si le club en fait la demande
  • Coopérer avec les autorités de contrôle compétentes

10. Notification des violations de données

En cas de violation de données personnelles, FV – Fitness Vendor s'engage à :

  • Notifier le club dans un délai de 72 heures après avoir pris connaissance de la violation
  • Fournir toutes les informations nécessaires permettant au club de remplir ses propres obligations de notification auprès de l'autorité de contrôle et des personnes concernées
  • Documenter la violation, ses effets et les mesures correctives prises

11. Droit applicable

Le présent accord est régi par le droit français et par le Règlement (UE) 2016/679 (RGPD).

12. Contact

Pour toute question relative au présent accord, vous pouvez contacter FV – Fitness Vendor à l'adresse : contact@fitness-vendor.com.