Politique de confidentialité
Dernière mise à jour : 21 mai 2026
1. Responsable de traitement
MyGolfEvent SAS (en cours d'immatriculation), siège social : à compléter. Contact RGPD : contact@mygolfevent.org.
2. Données collectées
- Compte organisateur : email, nom complet, mot de passe (haché avec Argon2, jamais stocké en clair), secret TOTP (MFA optionnel mais recommandé).
- Joueurs inscrits par un club : nom, prénom, sexe, date de naissance, email, téléphone, n° de licence FFGolf, index handicap. Ces données sont fournies par le club organisateur, qui est responsable du recueil du consentement de ses joueurs.
- Inscriptions publiques : les mêmes champs + méthode de paiement choisie. Les coordonnées de paiement (carte bancaire) ne transitent jamais par nos serveurs — elles sont gérées par Stripe ou PayPal.
- Scores et statistiques : les coups joués par trou, classements, historique. Données techniques liées à la compétition.
- Logs techniques : adresse IP, user-agent du navigateur, horodatage des connexions. Conservés 90 jours.
3. Finalités
- Permettre l'organisation et le scoring de compétitions de golf
- Authentifier les utilisateurs et sécuriser les comptes
- Émettre les factures légales pour les paiements en ligne
- Envoyer les communications transactionnelles (reçus, invitations)
- Améliorer le service (anonymisation des données pour les statistiques internes)
4. Bases légales
- Exécution du contrat (Art. 6.1.b RGPD) pour les comptes payants, les factures, les inscriptions
- Intérêt légitime (Art. 6.1.f) pour la sécurité (logs, MFA, prévention de fraude)
- Consentement (Art. 6.1.a) pour les notifications push et les emails marketing (opt-out à tout moment)
- Obligation légale (Art. 6.1.c) pour la conservation des factures (10 ans, Art. L123-22 Code de Commerce)
5. Durées de conservation
- Comptes actifs : pendant toute la durée d'usage du service + 3 ans après la dernière activité
- Factures et reçus : 10 ans (obligation légale)
- Données scoring : pendant toute la durée d'utilisation, conservées sous forme anonymisée après effacement sur demande
- Logs techniques : 90 jours
- Audit log : 2 ans
6. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez d'un droit d'accès, de rectification, d'effacement, d'opposition, à la limitation du traitement, et à la portabilité.
Exercer vos droits en ligne : connectez-vous sur /me (lien magique reçu par email). Vous y trouverez :
- Un bouton « ⬇ Exporter mes données » qui télécharge l'ensemble de votre dossier au format JSON
- Un bouton « 🗑 Effacer mes données » qui anonymise immédiatement toutes vos données personnelles dans tous les clubs liés à votre email (les scores restent dans les classements sous forme anonyme pour préserver l'intégrité historique)
- Un toggle d'opt-out des emails de communication
Si vous ne pouvez pas exercer ces droits par ce canal, contactez contact@mygolfevent.org — nous répondrons sous 30 jours conformément au RGPD.
Recours : en cas de litige, vous pouvez introduire une réclamation auprès de la CNIL : cnil.fr/fr/plaintes.
7. Sécurité
- Chiffrement en transit : TLS 1.3 sur toutes les connexions (HTTPS forcé via Caddy + cert Let's Encrypt)
- Chiffrement au repos des données sensibles : téléphone, n° de licence, notes des joueurs sont chiffrés en base avec Fernet (AES-128-CBC + HMAC-SHA256)
- Mots de passe : Argon2id, jamais en clair
- MFA TOTP obligatoire pour les comptes super-admin de la plateforme, recommandé pour tous
- Sauvegardes : quotidiennes, chiffrées, conservées 14 jours en local + sauvegarde offsite chiffrée
- Accès aux serveurs : SSH par clé uniquement, password auth désactivée, fail2ban
- Notification d'incident : conformément à l'Art. 33 RGPD, nous nous engageons à notifier la CNIL et les personnes concernées dans les 72 heures en cas de violation de données
8. Sous-traitants
Les données sont traitées sur des serveurs situés dans l'Union européenne. Nos sous-traitants principaux :
- Hébergement : à préciser (Hetzner / OVH / Scaleway — toujours UE)
- Paiements : Stripe Payments Europe Ltd, PayPal (Europe) S.à r.l.
- Emails transactionnels : Postmark / Resend / opérateur SMTP au choix du client
- Notifications push : Apple Push Notification Service, Firebase Cloud Messaging
- Suivi d'erreurs : Sentry (PII désactivée — pas de corps de requête envoyé)
9. Cookies
MyGolfEvent utilise des cookies techniques strictement nécessaires au fonctionnement du service (session d'authentification). Aucun cookie de traçage publicitaire ou analytique tiers n'est posé sans votre consentement.
10. Modifications
Cette politique peut évoluer. Toute modification substantielle vous sera notifiée par email au moins 30 jours avant son entrée en vigueur.