Aller au contenu principal
PITCH/OS
Connexion
LÉGAL · DPA

Contrat de sous-traitance (Art. 28 RGPD)

Dernière mise à jour : 23 avril 2026

Le présent contrat de sous-traitance (ci-après le « DPA » — Data Processing Agreement) est conclu en application de l’article 28 du Règlement général sur la protection des données (RGPD — Règlement UE 2016/679) entre :

Le « Responsable du traitement »
Le Client B2B (club, académie, fédération, organisation sportive) ayant souscrit au Service PITCH/OS, identifié dans le contrat principal d’abonnement ou Order Form associé.
Le « Sous-traitant »
Thinkspark SRL (SRL de droit belge) — BCE 0829.393.055 — TVA BE0829393055
Siège social : Bd G. Van Haelen 167, 1190 Forest, BELGIQUE
Éditeur de la plateforme PITCH/OS
Contact RGPD : dpo@pitch-os.app

Ci-après dénommés ensemble les « Parties » et individuellement une « Partie ». Le présent DPA fait partie intégrante du contrat principal de fourniture du Service (CGU et/ou Order Form signé) et prévaut sur toute disposition contradictoire de ce dernier en matière de protection des données.

01 / Définitions

Les termes en majuscules non définis dans le présent DPA ont le sens qui leur est donné par le RGPD :

  • « Données à caractère personnel » — au sens de l’article 4-1 RGPD.
  • « Traitement » — au sens de l’article 4-2 RGPD.
  • « Personne concernée » — toute personne physique identifiée ou identifiable dont les données sont traitées (Joueur, Coach, Parent, staff du Client).
  • « Sous-traitant ultérieur » — tout tiers engagé par le Sous-traitant pour traiter des Données à caractère personnel pour le compte du Responsable.
  • « Violation de données » — au sens de l’article 4-12 RGPD.
  • « Service » — la plateforme SaaS PITCH/OS et l’ensemble des fonctionnalités associées.

02 / Objet et durée

Le présent DPA a pour objet de définir les conditions dans lesquelles le Sous-traitant traite, pour le compte du Responsable, les Données à caractère personnel nécessaires à l’exécution du Service, dans le respect du RGPD et de toute législation nationale applicable (Loi Informatique & Libertés en France, Loi du 30 juillet 2018 en Belgique).

Le présent DPA prend effet à la date de souscription au Service et demeure applicable pendant toute la durée du contrat principal. Les obligations relatives à la confidentialité, à la restitution / destruction des Données et à la coopération en cas de demande de personnes concernées ou d’autorité survivent à la résiliation du DPA.

03 / Description du traitement (Art. 28.3 RGPD)

3.1 Nature et finalité du traitement

Hébergement, structuration, calcul, affichage et restitution des données saisies ou générées par les utilisateurs du Responsable dans le cadre des fonctionnalités du Service : gestion d’équipes, formations LMS, programmes d’entraînement, calendrier, suivi physique (ACWR, GPS, wellness), fiche joueur, marketplace coach, messagerie, exports et partages.

3.2 Catégories de Données traitées

  • Données d’identification (nom, prénom, email, avatar, identifiants OAuth).
  • Données de profil joueur (date de naissance, sexe, poste, club, licence, taille, poids, contact).
  • Données sportives (statistiques, scores coach, présences, historique matchs).
  • Données de santé sensibles (Art. 9 RGPD) : blessures, données wellness/RPE, données biométriques GPS, données morphologiques.
  • Données de paiement (identifiants Stripe uniquement, aucune donnée bancaire).
  • Contenus utilisateurs (médias, programmes, exercices, notes, messages).
  • Données techniques (logs d’accès, IP, user-agent, journaux d’audit).

3.3 Catégories de Personnes concernées

  • Coachs et staff sportif du Responsable.
  • Joueurs (majoritairement mineurs — U6 à U19).
  • Parents et représentants légaux des Joueurs mineurs.
  • Administrateurs et personnel administratif du Responsable.
  • Destinataires de partages de fiche (scouts, clubs tiers, agents — à l’initiative du Coach).

3.4 Durée du traitement

La durée du traitement correspond à la durée du contrat principal, augmentée des durées légales de conservation applicables (notamment comptables) et de la période de purge technique (30 jours maximum après suppression demandée).

04 / Obligations du Sous-traitant

Le Sous-traitant s’engage à :

  • a) Traiter les Données uniquement sur instructions documentées du Responsable, telles que définies dans le contrat principal et le présent DPA, sauf obligation légale impérative à laquelle le Sous-traitant est soumis (auquel cas il en informe le Responsable, sauf interdiction légale).
  • b) Garantir la confidentialité en s’assurant que les personnes autorisées à traiter les Données sont soumises à une obligation de confidentialité contractuelle ou légale.
  • c) Mettre en œuvre les mesures techniques et organisationnelles requises par l’article 32 RGPD (cf. section 06 ci-après et Annexe 1).
  • d) Respecter les conditions relatives au recours à des sous-traitants ultérieurs (cf. section 05).
  • e) Assister le Responsable dans la mise en œuvre des obligations RGPD : réponse aux demandes des Personnes concernées (Art. 15 à 22), réalisation d’AIPD (Art. 35), consultation préalable de l’autorité (Art. 36), notification de violation (Art. 33-34).
  • f) Notifier au Responsable toute violation de Données dans un délai de 48 heures suivant la prise de connaissance, par email à l’adresse renseignée par le Responsable (avec à minima : nature de la violation, catégories et nombre approximatif de personnes et données concernées, conséquences probables, mesures prises ou envisagées).
  • g) Au choix du Responsable, supprimer ou restituer les Données à la fin de la prestation, et détruire les copies existantes, sauf obligation légale de conservation.
  • h) Mettre à disposition du Responsable les informations nécessaires pour démontrer le respect des obligations art. 28, et permettre des audits dans les conditions prévues à la section 09.

05 / Sous-traitants ultérieurs

Le Responsable autorise expressément le Sous-traitant à recourir aux sous-traitants ultérieurs listés en Annexe 2, qui font partie intégrante du présent DPA et sont essentiels à la fourniture du Service.

Le Sous-traitant informera le Responsable, par email à l’adresse de contact renseignée et/ou via une notification dans le Service, de tout projet de changement concernant l’ajout ou le remplacement d’un sous-traitant ultérieur, dans un délai minimum de trente (30) jours avant la modification effective. Le Responsable dispose de ce délai pour formuler une objection motivée.

En cas d’objection ne pouvant être levée par des mesures alternatives raisonnables, le Responsable pourra résilier la partie du Service affectée, sans indemnité de part et d’autre, et obtenir le remboursement de la fraction d’abonnement non consommée.

Le Sous-traitant impose à ses sous-traitants ultérieurs, par contrat écrit, des obligations de protection des données équivalentes à celles du présent DPA. Il demeure pleinement responsable vis-à-vis du Responsable de l’exécution par ses sous-traitants ultérieurs de leurs obligations.

06 / Mesures de sécurité (Art. 32 RGPD)

Le Sous-traitant met en œuvre les mesures techniques et organisationnelles décrites en Annexe 1, comprenant notamment :

  • Chiffrement TLS 1.2+ des communications (HTTPS partout).
  • En-têtes de sécurité stricts : CSP, HSTS preload, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy.
  • Hachage bcrypt des mots de passe.
  • Délégation des paiements à Stripe (PCI-DSS niveau 1).
  • Contrôles d’accès basés sur les rôles (RBAC) granulaires.
  • Journalisation des actions critiques (AdminAuditLog, SharedFicheAccessLog).
  • Sauvegardes automatiques quotidiennes, plan de reprise d’activité testé périodiquement.
  • Invalidation de session via tokenVersion en cas d’incident de sécurité.
  • IP hashées (SHA-256) dans les logs étendus pour minimiser les PII.
  • Procédure de revue de code et tests de sécurité réguliers.

Le Sous-traitant assure également la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et services de traitement, ainsi que des moyens permettant de rétablir la disponibilité des Données et l’accès à celles-ci dans des délais appropriés en cas d’incident.

07 / Transferts hors Union européenne

Tout transfert de Données hors de l’Espace Économique Européen est encadré conformément aux articles 44 à 49 du RGPD :

  • Décision d’adéquation de la Commission européenne (Art. 45) — pour les pays bénéficiant d’une telle décision (notamment EU-US Data Privacy Framework pour les sous-traitants ultérieurs certifiés).
  • Clauses Contractuelles Types (Art. 46.2.c) — Décision d’exécution UE 2021/914 du 4 juin 2021.
  • Mesures supplémentaires conformément aux Recommandations 01/2020 du CEPD post-arrêt Schrems II (CJUE C-311/18, 16 juillet 2020).

L’Annexe 2 précise pour chaque sous-traitant ultérieur sa localisation et le mécanisme de transfert applicable.

08 / Assistance aux droits des Personnes concernées

Le Sous-traitant met à disposition du Responsable les fonctionnalités techniques permettant de répondre aux demandes des Personnes concernées :

  • Export structuré des données d’un Joueur ou d’un compte (CSV/JSON) — droit d’accès et de portabilité.
  • Modification des données via les écrans de gestion — droit de rectification.
  • Suppression d’un compte / d’une fiche — droit à l’effacement (purge sous 30 jours, backups inclus).
  • Désactivation temporaire d’un compte — droit à la limitation.

Toute demande adressée directement au Sous-traitant par une Personne concernée relevant du Responsable est transmise à ce dernier dans un délai raisonnable, sauf si le Sous-traitant est légalement habilité à y répondre directement.

09 / Audit et inspection

Le Sous-traitant met à la disposition du Responsable, sur demande écrite, toutes les informations nécessaires pour démontrer le respect des obligations prévues à l’article 28 RGPD et au présent DPA. Cette mise à disposition peut prendre la forme :

  • De la documentation technique disponible (registre des traitements, politique de sécurité, rapports d’audit interne, certifications éventuelles ISO 27001, SOC 2).
  • De réponses écrites à des questionnaires de sécurité.
  • À titre exceptionnel et sur préavis raisonnable (minimum 30 jours), d’audits sur site pendant les heures ouvrables, conduits par un auditeur tiers indépendant lié par une obligation de confidentialité, à la charge du Responsable, sauf découverte d’un manquement substantiel imputable au Sous-traitant.

Les audits ne peuvent être réalisés plus d’une fois par période de douze (12) mois, sauf incident majeur ou demande motivée d’une autorité de contrôle.

10 / Confidentialité

Le Sous-traitant garantit que toute personne autorisée à traiter les Données s’engage à respecter la confidentialité, par contrat de travail, accord de confidentialité (NDA) ou obligation légale équivalente. Cette obligation survit à la fin de la relation contractuelle.

11 / Restitution / destruction des Données

À la fin du contrat principal, et au choix du Responsable exprimé par écrit dans un délai de trente (30) jours :

  • Soit le Sous-traitant restitue les Données dans un format structuré (CSV/JSON) puis les supprime de ses systèmes (production + backups) sous 90 jours.
  • Soit le Sous-traitant supprime directement les Données sous 90 jours.

À défaut d’instruction du Responsable dans le délai, le Sous-traitant procède à la suppression des Données sous 90 jours. Une attestation de destruction est fournie sur demande. Sont exclues de l’obligation de suppression les données conservées au titre d’une obligation légale (comptable, fiscale) ou pour la défense des droits en justice.

12 / Responsabilité

Le régime de responsabilité de chacune des Parties au titre du présent DPA est celui prévu par l’article 82 du RGPD. Toute limitation de responsabilité prévue au contrat principal s’applique également aux manquements au présent DPA, dans la limite permise par la loi applicable.

Le Sous-traitant n’est responsable que du dommage causé par le traitement lorsqu’il n’a pas respecté les obligations du RGPD spécifiquement applicables aux sous-traitants, ou lorsqu’il a agi en dehors des instructions licites du Responsable, ou contrairement à elles.

13 / Droit applicable et juridiction

Le présent DPA est soumis au droit applicable au contrat principal et relève de la compétence des juridictions désignées par celui-ci. À défaut, il est soumis au droit belge et à la compétence exclusive du Tribunal de l'entreprise francophone de Bruxelles.

14 / Annexe 1 — Mesures techniques et organisationnelles

14.1 Mesures techniques

  • Chiffrement TLS 1.2+ en transit, chiffrement au repos sur les bases de données et stockages médias.
  • Hachage bcrypt des mots de passe (coût ≥ 10).
  • Authentification multi-facteurs disponible (recommandée pour les rôles ADMIN et ACADEMY OWNER).
  • Segmentation logique des données par rôle et par tenant (académie).
  • Validation stricte des entrées (Zod), protection injection SQL via Prisma ORM paramétré.
  • En-têtes HTTP de sécurité stricts (CSP, HSTS preload 2 ans, X-Frame-Options SAMEORIGIN, X-Content-Type-Options nosniff, Referrer-Policy, Permissions-Policy restrictive).
  • Surveillance applicative (monitoring), alertes en cas d’anomalie.
  • Sauvegardes automatiques quotidiennes, conservation 30 jours, restauration testée.
  • Plan de reprise d’activité documenté (cf. docs/DISASTER_RECOVERY.md).

14.2 Mesures organisationnelles

  • Politique de gestion des accès (principe du moindre privilège).
  • Contrats de travail / NDA avec clause de confidentialité pour tout intervenant.
  • Sensibilisation continue de l’équipe à la sécurité et au RGPD.
  • Procédure de gestion des incidents de sécurité (détection, qualification, notification).
  • Tenue d’un registre des traitements (Art. 30 RGPD).
  • Procédures formalisées de réponse aux demandes des Personnes concernées.
  • Revue de code (security review) pour toutes les modifications touchant aux données.

15 / Annexe 2 — Sous-traitants ultérieurs autorisés

NomRôleLocalisationGaranties
Vercel Inc.
Walnut, CA, USA		Hébergement applicatif (edge / serverless)USA (CDN mondial)SCC 2021/914 + EU-US DPF
Supabase Inc.
Singapour		Base de données PostgreSQL principaleEU-West (Irlande)DPA, traitement intra-UE/EEE
Stripe Payments Europe Ltd.
Dublin, Irlande		Paiements, abonnements, Stripe Connect (marketplace)Irlande + USAPCI-DSS niv. 1, EU-US DPF, SCC
Cloudinary Ltd.
Santa Clara, CA, USA		Stockage / transformation médias (avatars, clips)USA + EU multi-regionSCC 2021/914 + EU-US DPF
Resend Inc.
San Francisco, CA, USA		Envoi des emails transactionnelsUSA + EUSCC 2021/914
Google LLC (OAuth)
Mountain View, CA, USA		Authentification optionnelle GoogleUSAEU-US DPF
Cloudflare R2 (le cas échéant)Sauvegardes médias / objets froidsEUTraitement intra-UE/EEE

Toute évolution de cette liste est notifiée au Responsable selon la procédure prévue à l’article 05 du présent DPA.

16 / Acceptation et signature

L’acceptation du présent DPA s’effectue :

  • Soit par signature électronique d’un Order Form ou contrat principal renvoyant expressément au présent DPA.
  • Soit par acceptation explicite via la console d’administration B2B (case à cocher horodatée + email de confirmation).
  • Soit par signature manuscrite d’un exemplaire papier remis par l’Éditeur sur demande.

Pour toute question ou demande spécifique (clause additionnelle, audit, registre, assurance cyber), contactez dpo@pitch-os.app.

Version 1.023 avril 2026