Aller au contenu principal
PITCH/OS
Connexion
LÉGAL · RGPD

Politique de confidentialité

Dernière mise à jour : 23 avril 2026

Thinkspark SRL (ci-après « nous » ou « l’Éditeur »), éditeur de la plateforme PITCH/OS, accorde une importance majeure à la protection des données personnelles de ses Utilisateurs. La présente Politique de confidentialité décrit, conformément au Règlement général sur la protection des données (RGPD — Règlement UE 2016/679), à la Loi belge du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et, pour les utilisateurs établis en France, à la Loi Informatique & Libertés modifiée, quelles données nous collectons, dans quel but, sur quelle base légale, combien de temps nous les conservons, à qui elles sont communiquées et comment vous pouvez exercer vos droits.

01 / Responsable du traitement

Le responsable du traitement, au sens de l’article 4-7 du RGPD, est :

Dénomination sociale
Thinkspark SRL
Forme juridique
SRL de droit belge
Siège social
Bd G. Van Haelen 167, 1190 Forest, BELGIQUE
N° d’entreprise (BCE)
BCE 0829.393.055
N° TVA intracommunautaire
BE0829393055
RPM
Bruxelles
Contact RGPD / DPO
dpo@pitch-os.app
Autorité de contrôle compétente
Autorité de protection des données (APD) — Belgique
autoriteprotectiondonnees.be
L’Éditeur est établi en Belgique, l’APD belge est donc l’autorité chef de file au sens de l’article 56 RGPD. Les utilisateurs établis en France peuvent néanmoins saisir la CNIL (cnil.fr).

Pour les Utilisateurs B2B (clubs, académies, fédérations) qui confient à l’Éditeur le traitement de données pour leur propre compte, l’Éditeur agit comme sous-traitant au sens de l’article 28 du RGPD. Le contrat de sous-traitance applicable est consultable ici : DPA (Data Processing Agreement).

02 / Catégories de données collectées

2.1 Données d’identification et d’authentification

  • Email (identifiant de connexion, vérifié), nom, prénom, avatar facultatif.
  • Mot de passe — stocké sous forme de hachage bcrypt, jamais en clair.
  • Identifiants OAuth Google (lorsque l’Utilisateur choisit ce mode de connexion) — token chiffré.
  • Rôle (PUBLIC, COACH, PLAYER, PARENT, ACADEMY OWNER, ADMIN) et état du compte (actif, désactivé, supprimé).
  • Token de version de session (`tokenVersion`) — utilisé pour invalider les sessions actives en cas de reset password ou désactivation.

2.2 Données de profil Joueur

  • Date de naissance, sexe, poste principal et postes secondaires, pied fort.
  • Club, numéro de licence fédérale.
  • Téléphone (format libre, optionnel).
  • Taille (cm), poids (kg), taille parentale (mère, père) — pour calcul du %PAH (Beunen-Malina, Khamis-Roche).
  • Lien parent (rattachement à un ou plusieurs comptes ParentProfile).
  • Appartenance à une ou plusieurs équipes / académies.

2.3 Données sportives et de performance

  • Statistiques physiques (sprint, saut vertical, endurance, mensurations diverses).
  • Scores technique / tactique / mental sur 10 saisis par le Coach.
  • Données wellness auto-déclarées (RPE — Rate of Perceived Exertion, sommeil, douleur, fatigue, humeur).
  • Statistiques de matchs (minutes, buts, passes décisives, cartons, note coach, contexte, format, position).
  • Sessions GPS / wearables (distance, vitesse, fréquence cardiaque, sprints, accélérations, charge), source : Garmin, Polar, Apple Health, Fitbit, Catapult, Statsports, Playermaker, ou saisie manuelle.
  • Progression dans les formations LMS (modules complétés, scores aux quiz, certificats émis).
  • Présences aux entraînements et matchs (calendrier).

2.4 Données concernant la santé (catégorie particulière — Art. 9 RGPD)

Les données suivantes constituent des données de santé au sens de l’article 4-15 du RGPD et bénéficient d’une protection renforcée au titre de l’article 9 :

  • Historique des blessures : type, zone corporelle (HEAD, NECK, SHOULDER, ARM, ELBOW, WRIST, HAND, CHEST, BACK_UPPER, BACK_LOWER, ABDOMEN, HIP, GROIN, THIGH, KNEE, CALF, ANKLE, FOOT, TOE), sévérité (MINOR, MODERATE, SEVERE), dates de début et retour, jours d’indisponibilité, notes coach.
  • Données wellness auto-déclarées impliquant douleur ou état de santé subjectif.
  • Données biométriques GPS / fréquence cardiaque (collectées via wearables connectés).
  • Données morphologiques (taille, poids, sexe, taille parentale) — utilisées pour les courbes de croissance WHO et le calcul du %PAH.

Ces données ne sont accessibles qu’aux personnes habilitées (Coach de l’équipe, staff médical désigné le cas échéant, le Joueur lui-même, et son ou ses Parents rattachés). L’Éditeur ne les exploite à aucune autre fin (ni profilage commercial, ni transmission à des tiers non autorisés, ni revente).

2.5 Données de paiement

Les informations bancaires (numéros de carte, IBAN, codes de sécurité) ne sont jamais stockées sur nos serveurs. Elles sont collectées et traitées directement par Stripe Payments Europe Ltd. (processeur certifié PCI-DSS niveau 1). Nous ne conservons que :

  • Identifiant client Stripe (`stripeCustomerId`) et identifiant d’abonnement (`stripeSubscriptionId`).
  • Identifiant prix (`stripePriceId`) et statut d’abonnement (active, canceled, past_due, trialing, incomplete).
  • Date de fin de période en cours, indicateur d’annulation à la fin de la période.
  • Pour Player Plus : identifiants et statuts dédiés (`playerPlusStripeSubId`, etc.).

2.6 Données techniques et de sécurité

  • Journaux d’accès : adresse IP (potentiellement hashée SHA-256 pour les logs étendus comme `SharedFicheAccessLog`), user-agent, date et heure.
  • Journaux d’audit administrateur (`AdminAuditLog`) : actions critiques effectuées par les administrateurs.
  • Cookies techniques de session NextAuth, strictement nécessaires à l’authentification.
  • Hash du contenu des broadcasts admin (sha256, pas le contenu en clair) pour audit et déduplication.

2.7 Contenus utilisateurs

  • Médias téléversés (photos, clips vidéo de jeu, avatars) — hébergés chez Cloudinary.
  • Programmes, exercices, modules de formation créés par les Coachs.
  • Notes coach (publiques ou privées) sur les Joueurs (`CoachNote`).
  • Messages échangés (coach ↔ joueur, coach ↔ parent) — `Message`.
  • Tokens de partage de fiche (`SharedFicheToken`) — destinataire, scope d’inclusion, logs d’accès.

2.8 Données issues de la liste d’attente (waitlist)

  • Email, nom, profil candidat (COACH/CLUB/PLAYER/PARENT/OTHER), nom d’organisation, pays, notes libres (max 500 caractères), IP hashée.
  • Token d’invitation et date d’expiration (lorsque l’Éditeur invite à rejoindre la plateforme).

03 / Finalités et bases légales

Conformément à l’article 6 du RGPD (et l’article 9 pour les catégories particulières), nous traitons vos données sur les bases légales suivantes :

FinalitéBase légale (RGPD)
Création et gestion du compte, fourniture du Service (LMS, dashboard, fiche, calendrier, messagerie)Art. 6.1.b — exécution du contrat
Facturation, gestion des abonnements et des paiementsArt. 6.1.b — exécution du contrat / Art. 6.1.c — obligation légale (comptable, fiscale)
Marketplace Coach (mise en relation, encaissement Stripe Connect, commission)Art. 6.1.b — exécution du contrat
Suivi physique et calcul d’indicateurs (ACWR, charge, RPE)Art. 6.1.b — exécution du contrat / Art. 9.2.a — consentement explicite (données de santé)
Suivi GPS / wearables (synchronisation Garmin, Polar, Apple Health, etc.)Art. 6.1.a — consentement / Art. 9.2.a — consentement explicite
Gestion des blessures (historique, retour au jeu)Art. 9.2.a — consentement explicite (donnée de santé sensible)
Partage de fiche joueur via lien éphémère (SharedFicheToken)Art. 6.1.a — consentement (case minorConsentAck pour mineurs)
Notifications de service (email transactionnel, alertes)Art. 6.1.b — exécution du contrat / Art. 6.1.f — intérêt légitime
Sécurité, prévention de la fraude, audit administratifArt. 6.1.f — intérêt légitime / Art. 6.1.c — obligation légale
Liste d’attente, gestion des invitationsArt. 6.1.a — consentement
Communications commerciales sur produits similaires (clients existants)Art. 6.1.f — intérêt légitime (avec opt-out facile à chaque envoi)
Newsletters, promotions, prospection (non-clients)Art. 6.1.a — consentement préalable explicite
Amélioration produit (statistiques d’usage agrégées et anonymisées)Art. 6.1.f — intérêt légitime

04 / Durées de conservation

Conformément au principe de limitation de la conservation (article 5.1.e du RGPD), chaque catégorie de données fait l’objet d’une durée de conservation déterminée :

CatégorieDurée
Compte actif (Utilisateur connecté)Tant que le compte existe
Compte inactif (aucune connexion)3 ans après la dernière activité (notification préalable, conformément à la délibération CNIL n° 2016-264)
Compte supprimé par l’UtilisateurEffacement effectif sous 30 jours (incl. backups)
Données de facturation (factures, pièces comptables)10 ans (Art. L.123-22 Code de commerce FR / Art. III.86 Code de droit économique BE)
Données fiscales (TVA, déclarations)6 à 10 ans selon les obligations applicables
Logs de sécurité, journaux d’accès12 mois maximum (Art. L.34-1 CPCE / délibération CNIL Logs)
Cookies de session NextAuthExpiration automatique après 30 jours d’inactivité
Tokens de partage de fiche (SharedFicheToken)Selon `expiresAt` défini par le Coach, ou révocation manuelle
Logs d’accès aux fiches partagées (SharedFicheAccessLog)12 mois après la dernière ouverture du token
Liste d’attente non convertie (statut PENDING / REJECTED)24 mois maximum, ou suppression sur demande
Tokens de réinitialisation de mot de passe1 heure (usage unique)
Données de prospection (non-clients)3 ans après le dernier contact actif

05 / Données concernant les mineurs

PITCH/OS est utilisé dans un contexte sportif où la majorité des Joueurs sont des mineurs (catégories U6 à U19). Nous appliquons un cadre renforcé pour ces traitements.

5.1 Âge de consentement numérique

  • France : 15 ans (article 7-1 LIL modifiée par la loi n° 2018-493 du 20 juin 2018, transposant l’article 8 RGPD).
  • Belgique : 13 ans (article 7 de la Loi du 30 juillet 2018).
  • En deçà de ces seuils : consentement conjoint du mineur et du ou des titulaires de l’autorité parentale, vérifiable (email parental confirmé + horodatage).

Référence : CNIL, « 8 recommandations pour renforcer la protection des mineurs en ligne » (2021) — notamment la Recommandation 4 sur la vérification de l’âge et le consentement parental, et l’avis APD belge n° 01/2020.

5.2 Engagements du Coach et du Parent

  • Le Coach qui crée une fiche pour un mineur s’engage, sous sa responsabilité exclusive, à avoir obtenu le consentement préalable des titulaires de l’autorité parentale, et à pouvoir en justifier sur demande.
  • Lors d’un partage de fiche d’un mineur via lien éphémère, le Coach doit cocher le marqueur `minorConsentAck` (trace d’audit horodatée).
  • Le Parent dispose d’un compte dédié lui permettant de consulter, exporter, demander la rectification ou l’effacement des données concernant son enfant.
  • Le Joueur mineur, lorsqu’il atteint l’âge de discernement (13 ans en BE, 15 ans en FR), peut exercer ses propres droits RGPD directement.

5.3 Conformité FIFA Article 19 / 19bis

Conformément à l’article 19 du Règlement FIFA sur le Statut et le Transfert des Joueurs (RSTP), les transferts internationaux de mineurs (<18 ans) sont en principe interdits, sauf exceptions strictement encadrées. L’article 19bis impose l’enregistrement obligatoire des mineurs au sein des académies. Pour ces situations, PITCH/OS :

  • Maintient un registre académie exportable au format adapté pour les fédérations (FFF, URBSFA).
  • Bloque par défaut tout flux scout/export international pour les profils <18 ans, avec alerte réglementaire au Coach.
  • Journalise tous les accès aux profils mineurs (qui consulte, quand).

Référence : FIFA RSTP 2023 — articles 19 & 19bis, Circular FIFA 1873, jurisprudence CAS 2014/A/3793 FC Barcelona v. FIFA.

06 / Sous-traitants et destinataires

Vos données sont communiquées exclusivement aux destinataires nécessaires à la fourniture du Service. Tous nos sous-traitants au sens de l’article 28 RGPD sont liés par un contrat (DPA) garantissant un niveau de protection équivalent.

Aucune donnée personnelle n’est vendue, louée, ni cédée à des tiers à des fins commerciales.

Sous-traitantFinalitéLocalisationGaranties
Vercel Inc.Hébergement applicatif, edge / serverlessUSA (CDN mondial)SCC 2021/914 + EU-US DPF
Supabase Inc.Base de données PostgreSQLEU-West (Irlande)DPA, traitement intra-UE/EEE
Stripe Payments Europe Ltd.Paiements, abonnements, Stripe ConnectIrlande + USA (Stripe Inc.)PCI-DSS niveau 1, EU-US DPF, SCC
Cloudinary Ltd.Stockage et transformation médias (avatars, clips)USA + EU (multi-region)SCC 2021/914 + EU-US DPF
Resend Inc.Envoi d’emails transactionnelsUSA + EU (multi-region)SCC 2021/914
Google LLC (OAuth)Authentification optionnelle GoogleUSAEU-US DPF
Cloudflare R2 (le cas échéant)Sauvegardes médias / objetsEUTraitement intra-UE/EEE

La liste à jour des sous-traitants détaillés est consultable dans le DPA (Annexe 2). Toute évolution substantielle (ajout, remplacement) fait l’objet d’une notification préalable aux clients B2B disposant d’un contrat de sous-traitance.

07 / Transferts hors Union européenne

Certains de nos sous-traitants (Vercel, Stripe, Cloudinary, Resend, Google) sont établis ou opèrent depuis les États-Unis. Ces transferts sont encadrés conformément aux articles 44 à 49 du RGPD.

7.1 Mécanismes de transfert applicables

  • EU-US Data Privacy Framework (DPF) : décision d’adéquation de la Commission européenne du 10 juillet 2023 (C(2023) 4745 final). Les sous-traitants certifiés DPF garantissent un niveau de protection équivalent au RGPD.
  • Clauses Contractuelles Types (SCC) : Décision d’exécution UE 2021/914 du 4 juin 2021. Utilisées pour les sous-traitants non certifiés DPF ou en complément.
  • Mesures supplémentaires : chiffrement TLS en transit, chiffrement au repos, contrôles d’accès stricts, conformément aux Recommandations 01/2020 du Comité Européen de la Protection des Données (CEPD) post-arrêt Schrems II (CJUE C-311/18).

7.2 Décision « DPF » et arrêt Schrems II

L’arrêt Schrems II (CJUE, 16 juillet 2020, C-311/18) ayant invalidé le Privacy Shield, la Commission européenne a adopté en juillet 2023 le nouveau cadre EU-US Data Privacy Framework. Vous êtes informé que la conformité de ce cadre fait l’objet de recours pendants. En cas d’invalidation future, l’Éditeur s’engage à mettre en œuvre sans délai les mécanismes alternatifs nécessaires (renforcement SCC, hébergement UE exclusif lorsque techniquement possible).

08 / Vos droits RGPD

Conformément aux articles 12 à 22 du RGPD, vous disposez des droits suivants, exerçables à tout moment et gratuitement (sauf demande manifestement infondée ou excessive) en écrivant à dpo@pitch-os.app :

  • Droit d’accès (Art. 15) — obtenir la confirmation que vos données sont traitées et en recevoir une copie.
  • Droit de rectification (Art. 16) — corriger des données inexactes ou compléter des données incomplètes.
  • Droit à l’effacement / « droit à l’oubli » (Art. 17) — demander la suppression de vos données, sous réserve des obligations légales de conservation. Pour les mineurs, ce droit est renforcé (considérant 65 RGPD).
  • Droit à la limitation du traitement (Art. 18) — geler temporairement un traitement contesté.
  • Droit à la portabilité (Art. 20) — recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (export JSON ou CSV).
  • Droit d’opposition (Art. 21) — vous opposer à un traitement fondé sur l’intérêt légitime, ou à tout traitement à des fins de prospection.
  • Droit de retirer votre consentement à tout moment (Art. 7.3) — pour les traitements fondés sur cette base, sans que le retrait n’affecte la licéité du traitement antérieur.
  • Droit relatif aux décisions automatisées (Art. 22)PITCH/OS ne prend aucune décision produisant des effets juridiques fondée exclusivement sur un traitement automatisé.
  • Droit de définir des directives post-mortem — vous pouvez nous communiquer des directives concernant le sort de vos données après votre décès (article 85 de la Loi française Informatique & Libertés modifiée pour les utilisateurs établis en France ; en Belgique, le sort des données post-mortem relève des règles successorales générales).
  • Droit d’introduire une réclamation (Art. 77) — auprès de l’Autorité de protection des données belge (autoriteprotectiondonnees.be) en tant qu’autorité chef de file, ou auprès de l’autorité du pays où vous résidez (par exemple la CNIL en France).

Pour exercer vos droits, nous pouvons vous demander de justifier de votre identité. Nous nous efforçons de répondre à toute demande dans un délai d’un (1) mois, prolongeable de deux mois en cas de demande complexe (article 12.3 RGPD).

09 / Sécurité des données

Conformément à l’article 32 du RGPD, nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté aux risques :

  • Chiffrement TLS 1.2+ (HTTPS) sur toutes les communications client-serveur.
  • En-têtes de sécurité stricts : Content-Security-Policy, HSTS preload (max-age 2 ans), X-Frame-Options SAMEORIGIN, X-Content-Type-Options nosniff, Referrer-Policy strict-origin-when-cross-origin, Permissions-Policy restrictive.
  • Mots de passe stockés sous forme de hachage bcrypt (jamais en clair).
  • Délégation des paiements à Stripe (PCI-DSS niveau 1) — aucune donnée bancaire sur nos serveurs.
  • Contrôles d’accès basés sur les rôles (RBAC) : COACH / PLAYER / PARENT / ACADEMY OWNER / ADMIN.
  • Journalisation des actions critiques (AdminAuditLog) et revue régulière.
  • Sauvegardes automatiques de la base de données, restauration testée périodiquement (cf. docs/DISASTER_RECOVERY.md).
  • Invalidation de session via tokenVersion en cas de reset password, désactivation ou modification d’override.
  • IP hashées (SHA-256) dans les logs étendus pour minimiser les PII.
  • Sensibilisation continue de l’équipe et procédures de revue de code (security review).

10 / Notification de violation de données

Conformément aux articles 33 et 34 du RGPD, en cas de violation de données à caractère personnel susceptible d’engendrer un risque pour les droits et libertés des personnes, l’Éditeur s’engage à :

  • Notifier la violation à l’autorité de contrôle compétente (CNIL ou APD) dans les 72 heures suivant la prise de connaissance, sauf si la violation est peu susceptible d’engendrer un risque.
  • Informer sans délai les personnes concernées lorsque la violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés.
  • Documenter toute violation dans un registre interne (article 33.5 RGPD).
  • Coopérer avec les sous-traitants pour qualifier et notifier rapidement toute violation à la chaîne.

11 / Cookies et traceurs

PITCH/OS n’utilise que des cookies strictement nécessaires au fonctionnement du Service :

  • Cookie de session NextAuth — authentification (durée : 30 jours d’inactivité).
  • Cookie CSRF — protection contre les attaques cross-site request forgery.
  • Préférences d’affichage (thème, layout) — stockage local côté client.

Aucun cookie publicitaire, aucun traceur analytique tiers (Google Analytics, Meta Pixel, etc.) n’est déposé. Votre consentement préalable n’est donc pas requis au sens de l’article 82 de la Loi Informatique & Libertés et de la directive 2002/58/CE « ePrivacy ».

Si nous devions à l’avenir intégrer des traceurs non strictement nécessaires, un bandeau de consentement conforme aux lignes directrices CNIL (délibération n° 2020-091) et APD serait mis en place préalablement.

12 / Modifications de la présente Politique

La présente Politique peut être mise à jour pour refléter les évolutions légales, réglementaires, technologiques ou contractuelles. La date de dernière mise à jour figure en haut de page. Toute modification substantielle (changement de finalité, ajout d’un sous-traitant majeur, modification des durées de conservation) fera l’objet d’une notification par email aux Utilisateurs concernés et/ou via une bannière dans le Service.

13 / Contact et exercice des droits

Exercice des droits / DPO
dpo@pitch-os.app
Support général
contact@pitch-os.app
Autorité chef de file (BE)
autoriteprotectiondonnees.be
Autorité subsidiaire (FR)
cnil.fr

Version 1.023 avril 2026