Aller au contenu

Politique de confidentialité

Dernière mise à jour : 1er mai 2026

1. Responsable du traitement

Le responsable du traitement des données personnelles est FV – Fitness Vendor, éditeur du service Stopsport, joignable à l'adresse contact@fitness-vendor.com.

2. Rôle de la plateforme dans le traitement des données

Dans le cadre de l’utilisation du service Stopsport par les clubs de sport, les clubs utilisateurs agissent en tant que responsables du traitement des données personnelles de leurs membres.

La plateforme Stopsport agit en tant que prestataire technique et sous-traitant au sens de la réglementation applicable en matière de protection des données personnelles.

Les clubs sont responsables :

  • de la licéité des traitements qu’ils mettent en œuvre
  • du respect de leurs obligations légales vis-à-vis de leurs membres
  • de l’information des membres concernant l’utilisation de leurs données
  • de la gestion des demandes d’exercice de droits

Stopsport agit uniquement selon les instructions du club dans le cadre des fonctionnalités proposées par la plateforme.

3. Données collectées

Dans le cadre de l'utilisation de la Plateforme, nous collectons les données suivantes :

Gérants de clubs :

  • Adresse email et mot de passe (authentification)
  • Nom du club, SIRET, raison sociale, adresse
  • Coordonnées bancaires (IBAN et titulaire) : pour les clubs ayant activé Stripe Connect Express (mode par défaut depuis avril 2026), saisies directement auprès de Stripe lors de l'onboarding KYC et stockées exclusivement par Stripe. Pour les clubs encore en mode legacy non-Connect, IBAN, BIC et titulaire renseignés via la plateforme sont conservés en base et seront supprimés au passage à Connect.
  • Logo et préférences de personnalisation

Administrateurs réseau :

  • Adresse email et mot de passe (authentification)
  • Nom et prénom

Membres (demandeurs de résiliation) :

  • Nom, prénom, adresse email
  • Numéro de téléphone (optionnel)
  • Motif de résiliation et réponses au questionnaire
  • Score de satisfaction
  • Justificatif (si fourni)
  • Données de géolocalisation (latitude, longitude) : dérivées de l'adresse renseignée par le membre (via le service de géocodage api-adresse.data.gouv.fr), utilisées pour l'affichage des clubs à proximité via Mapbox et le calcul de distance. Les coordonnées sont conservées avec la demande de résiliation pour permettre le suivi du transfert inter-club

Journal d'audit réseau :

  • Identité de l'auteur des modifications (nom, email)
  • Date, heure et détail des paramètres modifiés

4. Finalités du traitement

Les données sont collectées pour :

  • Permettre la création et la gestion des comptes utilisateurs
  • Traiter les demandes de résiliation
  • Encaisser et reverser les paiements
  • Envoyer les notifications par email (confirmations, relances, récapitulatifs quotidiens de modifications réseau)
  • Générer des statistiques anonymisées pour le tableau de bord
  • Administrer les réseaux d'établissements (paramètres, invitations, journal d'audit)
  • Afficher les clubs à proximité du membre via un service de cartographie (Mapbox)
  • Transmettre des événements vers des systèmes tiers via des webhooks configurés par le club
  • Assurer le support technique (accès aux données du compte par les équipes FV – Fitness Vendor)
  • Stocker en interne les événements de navigation anonymisés (pages visitées, sources de trafic, type d'appareil) issus de Vercel Analytics afin d'établir des rapports de performance hebdomadaires
  • Mesurer la performance des actions de communication B2B et constituer des audiences à des fins de retargeting publicitaire (Meta Pixel et API Conversions), uniquement après consentement explicite du visiteur via la bannière de cookies
  • Générer des analyses automatisées de performance à l'aide d'un service d'intelligence artificielle (Anthropic), sur la base de données exclusivement agrégées et anonymisées, sans transmission de données personnelles

5. Base légale du traitement

  • Exécution du contrat : traitement des résiliations et des paiements
  • Intérêt légitime : amélioration du service et statistiques
  • Obligation légale : conservation des données de facturation

6. Sous-traitants et transferts

Vos données peuvent être traitées par les sous-traitants suivants :

  • Supabase (base de données) — UE
  • Vercel (hébergement) — États-Unis, encadré par les clauses contractuelles types
  • Stripe Payments Europe Limited (paiements et versements) — Irlande (Block 4, Harcourt Centre, Harcourt Road, Dublin 2, D02 Y7C2). Données transmises : nom, prénom, email, montant des transactions. Base légale : exécution du contrat (article 6.1.b RGPD). Stripe Payments Europe Limited est certifié PCI-DSS niveau 1
  • Resend (emails transactionnels) — États-Unis, EU-US Data Privacy Framework
  • Sentry (monitoring d'erreurs) — États-Unis, clauses contractuelles types
  • Mapbox (cartographie et géolocalisation) — États-Unis, clauses contractuelles types (DPA Mapbox)
  • API Entreprise (gouv.fr) (vérification SIRET à l'inscription) — France, données publiques
  • Upstash (protection anti-abus) — UE
  • VirtuaGym (intégration optionnelle, recherche de membres) — Pays-Bas / États-Unis, activé uniquement sur demande du gérant
  • Microsoft Clarity (analyse d'usage, heatmaps, enregistrement de sessions anonymisées) — États-Unis, EU-US Data Privacy Framework (DPA Microsoft)
  • Anthropic (génération de rapports de performance automatisés à partir de données agrégées et anonymisées, aucune donnée personnelle transmise) — États-Unis, clauses contractuelles types (Politique de confidentialité Anthropic)
  • Intercom (support client intégré, chat en ligne) — États-Unis, clauses contractuelles types (DPA Intercom). Données transmises : identifiant utilisateur, adresse email et nom du gérant de club
  • Meta Platforms Ireland Ltd. (Meta Pixel et API Conversions, mesure de performance marketing et retargeting publicitaire) — Irlande / États-Unis, EU-US Data Privacy Framework (Politique de confidentialité Meta). Activé uniquement après consentement explicite du visiteur. Données transmises : adresse IP, agent utilisateur, identifiants de cookies Meta (_fbp, _fbc), événements de navigation (page vue, clic CTA, inscription, abonnement). Aucune donnée personnelle directement identifiante n'est transmise en clair (les emails sont hashés en SHA-256 avant envoi)

Transferts de données vers Stripe

Les données de paiement sont traitées par Stripe Payments Europe Limited (UE) et stockées dans des datacenters européens. En cas de transfert hors UE (rare), Stripe applique les Clauses Contractuelles Types (CCT) de la Commission européenne (Centre de confidentialité Stripe).

Les données ne sont jamais vendues à des tiers. L'utilisation de Meta Pixel et de l'API Conversions à des fins publicitaires est strictement encadrée par votre consentement préalable, révocable à tout moment via la bannière de cookies.

7. Durée de conservation

  • Données de compte : conservées tant que le compte est actif. Lors de la suppression, une période de grâce de 30 jours est appliquée avant la suppression définitive
  • Données de résiliation : conservées 3 ans en base active à compter de la dernière activité métier significative (création, changement de statut, paiement, remboursement, transfert, modification manuelle), puis archivées 2 ans en accès restreint pour les besoins de preuve en cas de litige. À l'issue de ces 5 ans cumulés, les données personnelles (nom, prénom, email, téléphone, justificatifs, nouvelle adresse) sont anonymisées de façon irréversible. Les données non personnelles (montants, dates, statut, motif) sont conservées à des fins statistiques et comptables
  • Données de facturation : 10 ans (obligation légale)
  • Logs techniques (sessions d'authentification, logs serveur) : 12 mois
  • Journal d'audit réseau : conservé pendant la durée de vie du réseau
  • Données de géolocalisation : conservées avec la demande de résiliation (durée identique aux données de résiliation)
  • Suivi de délivrabilité des emails : les emails transactionnels envoyés via Resend font l'objet d'un suivi de statut (envoyé, délivré, ouvert) via les webhooks du prestataire, à des fins de bon fonctionnement du service. Ces données sont conservées 12 mois

8. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

  • Droit d'accès : obtenir une copie de vos données
  • Droit de rectification : corriger des données inexactes
  • Droit de suppression : demander l'effacement de vos données
  • Droit de portabilité : recevoir vos données dans un format structuré
  • Droit d'opposition : vous opposer au traitement de vos données
  • Droit de limitation : restreindre le traitement

Pour exercer vos droits, contactez-nous à contact@fitness-vendor.com. Nous nous engageons à répondre dans un délai de 30 jours.

9. Sécurité

Nous mettons en place les mesures techniques et organisationnelles appropriées pour protéger vos données :

  • Chiffrement des données en transit (HTTPS/TLS)
  • Authentification sécurisée via Supabase Auth
  • Row Level Security (RLS) sur la base de données
  • Aucune donnée bancaire stockée sur nos serveurs (délégation à Stripe)

Mesures organisationnelles de sécurité

L’accès aux données personnelles est strictement limité aux personnes habilitées et uniquement lorsque cela est nécessaire à l’exercice de leurs fonctions.

Des mesures techniques et organisationnelles sont mises en place afin de garantir la confidentialité, l’intégrité et la disponibilité des données personnelles traitées dans le cadre du service.

Notification des violations de données

En cas de violation de données personnelles, FV – Fitness Vendor notifiera l’autorité de contrôle compétente conformément à la réglementation applicable.

Lorsque la violation est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, celles-ci seront également informées dans les meilleurs délais.

10. Cookies

La Plateforme utilise des cookies techniques essentiels au fonctionnement du service (session d'authentification), des cookies d'analyse d'usage (Microsoft Clarity, Vercel Analytics) pour améliorer l'expérience utilisateur, ainsi que des cookies marketing (Meta Pixel et API Conversions) pour mesurer la performance de notre communication B2B et permettre le retargeting publicitaire. Les cookies marketing ne sont déposés qu'après consentement explicite du visiteur via la bannière de cookies, et ce consentement est révocable à tout moment.

11. Modification de la politique de confidentialité

FV – Fitness Vendor se réserve le droit de modifier la présente politique à tout moment. La version en vigueur est celle publiée sur le site. Les Utilisateurs sont invités à consulter régulièrement ce document.

12. Réclamation

En cas de réclamation, vous pouvez contacter la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr.