Politique de Confidentialité

1. Introduction

OUIRACE SAS (ci-après « OuiRace », « nous », « notre » ou « nos ») s'engage à protéger la vie privée et les données personnelles de tous les utilisateurs de la Plateforme OuiRace. La présente Politique de Confidentialité explique comment nous collectons, utilisons, stockons et protégeons les données personnelles conformément au Règlement Général sur la Protection des Données (RGPD - Règlement UE 2016/679) et à la Loi Informatique et Libertés.

Informations sur la société

Délégué à la Protection des Données

Pour toute question relative à la présente Politique de Confidentialité ou au traitement des données personnelles :

2. Champ d'application de la présente Politique

La présente Politique de Confidentialité s'applique aux :

• Participants : personnes physiques s'inscrivant à des événements sportifs via la Plateforme
• Organisateurs : personnes physiques ou morales créant et gérant des événements sur la Plateforme
• Visiteurs : personnes naviguant sur la Plateforme sans créer de compte

La présente politique couvre toutes les données personnelles collectées via :

• Le site web OuiRace (www.ouirace.com)
• L'application mobile OuiRace
• Les communications par email
• Les interactions avec le support client

3. Responsables du traitement et responsabilité conjointe

3.1 Responsable principal du traitement

OuiRace agit en qualité de responsable principal du traitement pour :

• Les données de comptes utilisateurs (Participants et Organisateurs)
• Les données d'utilisation de la Plateforme et les statistiques
• Les données techniques (adresses IP, cookies, journaux)
• Les communications avec le support client

3.2 Responsables conjoints du traitement

Pour les données d'inscription des Participants, OuiRace et l'Organisateur de l'Événement sont responsables conjoints du traitement au sens de l'article 26 du RGPD. Cela signifie que :

• OuiRace collecte et traite les données d'inscription via la Plateforme
• L'Organisateur reçoit et utilise ces données pour gérer la participation à l'Événement
• Les deux parties sont responsables du respect des obligations en matière de protection des données
• Les Participants peuvent exercer leurs droits auprès d'OuiRace ou de l'Organisateur

L'accord de responsabilité conjointe définit :

• OuiRace est responsable de : la collecte sécurisée des données, le traitement des paiements, les mesures de sécurité des données, la mise à disposition d'outils pour l'exercice des droits des personnes concernées
• L'Organisateur est responsable de : l'exactitude des informations de l'Événement, l'utilisation appropriée des données des Participants, la réponse aux demandes des Participants, la suppression des données lorsqu'elles ne sont plus nécessaires

3.3 Sous-traitant

Stripe, Inc. agit en qualité de sous-traitant pour le traitement des paiements. Stripe traite les données de paiement pour notre compte et est lié par des obligations contractuelles de protection de ces données conformément aux normes du RGPD.

4. Données personnelles que nous collectons

4.1 Données collectées auprès des Participants

Lors de l'inscription à un Événement, nous collectons :

Données d'identité :

• Nom, prénom
• Date de naissance
• Genre (facultatif, pour les statistiques de l'Événement)

Données de contact :

• Adresse email
• Numéro de téléphone
• Adresse postale (si exigée par l'Organisateur)

Données liées à l'Événement :

• Événement et catégorie sélectionnés
• Date et heure d'inscription
• Préférences d'inscription

Données de paiement :

• Informations de carte bancaire (traitées et stockées par Stripe, non par OuiRace)
• Identifiant de transaction
• Date et montant du paiement
• Détails de facturation

Données facultatives :

• Coordonnées de la personne à contacter en cas d'urgence (si exigées par l'Organisateur)
• Informations médicales (si exigées par l'Organisateur pour la vérification du certificat médical)
• Taille de t-shirt ou autres préférences

4.2 Données collectées auprès des Organisateurs

Lors de la création d'un compte Organisateur, nous collectons :

Données d'identité (personnes physiques) :

• Nom, prénom
• Date de naissance
• Copie d'une pièce d'identité en cours de validité (carte d'identité ou passeport)

Données d'identité (personnes morales) :

• Raison sociale ou nom de l'association
• Numéro d'immatriculation (SIREN/SIRET)
• Forme juridique
• Documents officiels (extrait Kbis, récépissé de préfecture, statuts)
• Identité du représentant légal et copie de sa pièce d'identité

Données de contact :

• Adresse email
• Numéro de téléphone
• Adresse postale
• Justificatif de domicile (de moins de 3 mois)

Données financières :

• Coordonnées bancaires (IBAN, BIC)
• Numéro d'identification fiscale
• Adresse de facturation

Données liées aux Événements :

• Événements créés et gérés
• Listes de participants et statistiques
• Transactions financières et virements
• Communications avec les Participants

4.3 Données collectées auprès de tous les utilisateurs

Données techniques :

• Adresse IP
• Type et version du navigateur
• Type d'appareil et système d'exploitation
• Préférences linguistiques
• Site web d'origine
• Pages consultées et temps passé
• Date et heure de la visite

Cookies et technologies similaires :

• Cookies de session (essentiels au fonctionnement de la Plateforme)
• Cookies d'analyse (avec consentement, pour l'amélioration de la Plateforme)
• Cookies de préférences (pour les paramètres utilisateur)

5. Comment nous utilisons les données personnelles

5.1 Base juridique du traitement

Nous traitons les données personnelles sur les fondements juridiques suivants :

Nécessité contractuelle (article 6(1)(b) du RGPD) :

• Traitement des inscriptions aux Événements
• Gestion des comptes utilisateurs
• Traitement des paiements
• Fourniture du support client
• Fourniture des services demandés par les utilisateurs

Obligation légale (article 6(1)(c) du RGPD) :

• Respect des obligations comptables et fiscales
• Vérification KYC (Know Your Customer) pour la lutte contre le blanchiment d'argent
• Réponse aux demandes légales des autorités
• Conservation des factures et documents financiers

Intérêt légitime (article 6(1)(f) du RGPD) :

• Prévention de la fraude et sécurité
• Amélioration de la Plateforme et statistiques
• Prospection commerciale auprès des clients existants (avec possibilité de désinscription)
• Défense des droits en justice

Consentement (article 6(1)(a) du RGPD) :

• Cookies non essentiels et statistiques
• Communications commerciales aux non-clients
• Champs de données facultatifs

5.2 Finalités du traitement

Nous utilisons les données personnelles aux fins suivantes :

6. Partage des données et destinataires

6.1 Au sein d'OuiRace

Les données personnelles peuvent être consultées par :

• L'équipe de support client (pour les demandes d'assistance)
• L'équipe technique (pour la maintenance et le dépannage de la Plateforme)
• L'équipe financière (pour le traitement des paiements et la comptabilité)
• La direction (pour les opérations et la conformité)

Tous les employés d'OuiRace sont soumis à des obligations de confidentialité et reçoivent une formation en matière de protection des données.

6.2 Organisateurs d'Événements

Les données d'inscription des Participants sont partagées avec l'Organisateur de l'Événement concerné, notamment :

• Nom, email, numéro de téléphone, date de naissance
• Détails d'inscription et préférences
• Toute information supplémentaire requise pour la participation à l'Événement

Les Organisateurs s'engagent à :

• Utiliser les données uniquement à des fins de gestion de l'Événement
• Protéger les données conformément au RGPD
• Ne pas partager les données avec des tiers sans consentement
• Supprimer les données lorsqu'elles ne sont plus nécessaires

6.3 Prestataires de services et sous-traitants

Nous partageons des données avec les catégories de prestataires de services suivantes :

Traitement des paiements :

• Stripe, Inc. - Traitement des paiements, prévention de la fraude, conformité PCI-DSS
• Données partagées : informations de paiement, détails des transactions
• Localisation : centres de données dans l'Union européenne
• Politique de confidentialité : https://stripe.com/privacy

Hébergement et infrastructure :

• Fournisseurs d'hébergement cloud (serveurs situés dans l'Union européenne)
• Données partagées : toutes les données de la Plateforme
• Certifications de sécurité : ISO 27001, SOC 2

Fournisseurs de services de messagerie :

• Envoi d'emails transactionnels (confirmations d'inscription, factures)
• Emails marketing (avec consentement)
• Données partagées : adresses email, noms, contenu des messages

Statistiques :

• Statistiques d'utilisation (anonymisées dans la mesure du possible)
• Données partagées : statistiques d'utilisation agrégées, données techniques
• Utilisées pour : amélioration de la Plateforme, suivi des performances

Tous les prestataires de services sont soigneusement sélectionnés et liés par des accords de traitement des données (DPA) garantissant la conformité au RGPD.

6.4 Obligations légales

Nous pouvons divulguer des données personnelles lorsque la loi l'exige :

• En réponse à des décisions de justice ou des procédures judiciaires
• Pour se conformer aux exigences réglementaires
• Pour protéger les droits, la propriété ou la sécurité d'OuiRace, des utilisateurs ou du public
• Dans le cadre d'une enquête ou de la prévention de la fraude

6.5 Transferts d'entreprise

En cas de fusion, acquisition, réorganisation ou cession d'actifs, les données personnelles peuvent être transférées à l'entité acquéreuse, sous réserve de :

• Protection continue en vertu de la présente Politique de Confidentialité
• Notification aux utilisateurs concernés
• Possibilité de s'opposer ou de supprimer les données

6.6 Tiers avec lesquels nous ne partageons PAS

7. Transferts internationaux de données

7.1 Lieu de stockage des données

Les données personnelles sont principalement stockées sur des serveurs situés dans l'Union européenne, garantissant une protection complète au titre du RGPD.

7.2 Transferts hors de l'UE

Certains prestataires de services (par exemple, Stripe) peuvent traiter des données en dehors de l'Espace économique européen (EEE). Dans ce cas, nous assurons une protection adéquate par :

• Clauses contractuelles types de l'UE (CCT) : garanties contractuelles approuvées par la Commission européenne
• Décisions d'adéquation : transferts vers des pays reconnus par l'UE comme offrant une protection adéquate
• Privacy Shield ou certifications équivalentes (le cas échéant)

7.3 Vos droits concernant les transferts internationaux

Vous avez le droit de :

• Demander des informations sur les transferts internationaux
• Obtenir une copie des garanties mises en place
• Vous opposer aux transferts dans certaines circonstances

Contactez dpo@ouirace.com pour plus d'informations.

8. Durées de conservation des données

Nous conservons les données personnelles uniquement pendant la durée nécessaire aux finalités décrites dans la présente politique :

8.1 Données des Participants

8.2 Données des Organisateurs

8.3 Données techniques

8.4 Procédure de suppression

À l'expiration des durées de conservation :

• Les données personnelles sont définitivement supprimées des bases de données actives
• Les sauvegardes contenant des données personnelles sont supprimées ou anonymisées
• Les données stockées par les prestataires de services sont supprimées conformément aux accords
• Seules les données statistiques anonymisées peuvent être conservées indéfiniment

9. Vos droits au titre du RGPD

En tant que personne concernée dans l'Union européenne, vous disposez des droits suivants :

9.1 Droit d'accès (article 15)

Vous avez le droit d'obtenir :

• La confirmation que vos données personnelles font l'objet d'un traitement
• L'accès à vos données personnelles
• Des informations sur les finalités du traitement, les catégories, les destinataires, les durées de conservation
• Une copie de vos données personnelles

Comment exercer ce droit : Envoyez un email à dpo@ouirace.com avec la mention « Demande d'accès » en objet. Joignez une preuve d'identité.

Délai de réponse : Dans un délai d'1 mois (prolongeable à 3 mois pour les demandes complexes).

9.2 Droit de rectification (article 16)

Vous avez le droit de :

• Corriger des données personnelles inexactes
• Compléter des données personnelles incomplètes

Comment exercer ce droit :

• Effectuez la mise à jour directement dans les paramètres de votre compte, ou
• Envoyez un email à dpo@ouirace.com avec les corrections

Délai de réponse : Dans un délai d'1 mois.

9.3 Droit à l'effacement / « Droit à l'oubli » (article 17)

Vous avez le droit de demander la suppression de vos données personnelles lorsque :

• Les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées
• Vous retirez votre consentement (lorsque le traitement est fondé sur le consentement)
• Vous vous opposez au traitement et il n'existe pas de motif légitime impérieux
• Les données ont fait l'objet d'un traitement illicite
• Une obligation légale impose l'effacement

Exceptions (nous pouvons conserver les données malgré une demande d'effacement) :

• Respect d'une obligation légale (fiscale, comptable)
• Constatation, exercice ou défense de droits en justice
• Fins d'archivage dans l'intérêt public

Comment exercer ce droit : Envoyez un email à dpo@ouirace.com avec la mention « Demande d'effacement » en objet.

Délai de réponse : Dans un délai d'1 mois.

9.4 Droit à la limitation du traitement (article 18)

Vous avez le droit de demander la suspension temporaire du traitement lorsque :

• Vous contestez l'exactitude des données (pendant la vérification)
• Le traitement est illicite mais vous préférez la limitation à l'effacement
• Nous n'avons plus besoin des données mais vous en avez besoin pour des actions en justice
• Vous vous êtes opposé(e) au traitement (dans l'attente de la vérification des motifs légitimes)

Comment exercer ce droit : Envoyez un email à dpo@ouirace.com avec la mention « Demande de limitation » en objet.

Délai de réponse : Dans un délai d'1 mois.

9.5 Droit à la portabilité des données (article 20)

Vous avez le droit de :

• Recevoir vos données personnelles dans un format structuré, couramment utilisé et lisible par machine (par exemple, CSV, JSON)
• Transmettre ces données à un autre prestataire de services

Ce droit s'applique uniquement aux données :

• Que vous nous avez fournies
• Traitées sur la base du consentement ou du contrat
• Traitées par des moyens automatisés

Comment exercer ce droit : Envoyez un email à dpo@ouirace.com avec la mention « Demande de portabilité » en objet.

Délai de réponse : Dans un délai d'1 mois.

Format fourni : Fichier CSV contenant les données de votre compte et d'inscription.

9.6 Droit d'opposition (article 21)

Vous avez le droit de vous opposer au traitement fondé sur :

• L'intérêt légitime : Vous pouvez vous opposer à tout moment pour des raisons tenant à votre situation particulière
• La prospection commerciale : Vous pouvez vous opposer à tout moment (y compris au profilage à des fins de prospection)

Comment exercer ce droit :

• Pour le marketing : Cliquez sur « Se désinscrire » dans tout email marketing, ou modifiez vos préférences dans les paramètres du compte
• Pour les autres traitements : Envoyez un email à dpo@ouirace.com avec la mention « Opposition » en objet

Délai de réponse : Dans un délai d'1 mois (désinscription marketing : immédiatement).

9.7 Droit de retrait du consentement (article 7(3))

Lorsque le traitement est fondé sur votre consentement, vous avez le droit de le retirer à tout moment.

Comment exercer ce droit :

• Modifiez vos préférences dans les paramètres du compte
• Cliquez sur « Se désinscrire » dans les emails
• Envoyez un email à dpo@ouirace.com

Remarque : Le retrait du consentement ne porte pas atteinte à la licéité du traitement fondé sur le consentement donné avant le retrait.

9.8 Droit d'introduire une réclamation

Vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle en matière de protection des données :

9.9 Exercice de vos droits

Procédure générale :

1. Envoyez votre demande à dpo@ouirace.com en précisant :
   • En objet, le droit que vous souhaitez exercer
   • Une preuve d'identité (copie de la carte d'identité ou du passeport)
   • Une description claire de votre demande
2. Nous vérifions votre identité (des informations supplémentaires peuvent être demandées)
3. Nous répondons dans un délai d'1 mois (prolongeable à 3 mois pour les demandes complexes)
4. Nous fournissons les informations ou effectuons l'action demandée gratuitement

Demandes excessives ou manifestement infondées : Nous pouvons facturer des frais raisonnables ou refuser la demande.

10. Mesures de sécurité des données

OuiRace met en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles :

10.1 Mesures techniques

Chiffrement :

• Chiffrement SSL/TLS pour toutes les données en transit
• Chiffrement des données sensibles au repos
• Hachage sécurisé des mots de passe (algorithme bcrypt)

Contrôle d'accès :

• Contrôle d'accès basé sur les rôles (RBAC)
• Authentification multifacteur disponible
• Expiration automatique des sessions
• Exigences de mots de passe forts

Sécurité de l'infrastructure :

• Protection par pare-feu
• Systèmes de détection et de prévention des intrusions
• Correctifs de sécurité et mises à jour régulières
• Protection contre les attaques DDoS
• Environnements de production et de développement isolés

Protection des données :

• Sauvegardes automatisées quotidiennes
• Chiffrement des sauvegardes
• Plan de reprise d'activité
• Redondance des données sur plusieurs serveurs

Sécurité applicative :

• Validation et assainissement des entrées
• Protection contre les vulnérabilités courantes (injection SQL, XSS, CSRF)
• Tests et audits de sécurité réguliers
• Pratiques de développement sécurisé

10.2 Mesures organisationnelles

Politiques et procédures :

• Politique de protection des données
• Plan de réponse aux incidents
• Politique de contrôle d'accès
• Procédures de conservation et de suppression des données

Formation des employés :

• Formation régulière en matière de protection des données
• Accords de confidentialité
• Programmes de sensibilisation à la sécurité
• Procédures claires de traitement des données

Gestion des prestataires :

• Due diligence sur les prestataires de services
• Accords de traitement des données (DPA)
• Évaluations régulières de la sécurité des prestataires
• Exigences contractuelles de sécurité

Surveillance et audit :

• Journalisation et surveillance des accès
• Audits de sécurité réguliers
• Évaluations des vulnérabilités
• Tests d'intrusion (annuels)

10.3 Réponse en cas de violation de données

En cas de violation de données personnelles :

Détection et confinement :

• Investigation et confinement immédiats
• Évaluation de la portée et de l'impact
• Documentation des détails de la violation

Notification :

• Notification à la CNIL dans les 72 heures (en cas de risque élevé)
• Notification aux personnes concernées dans les meilleurs délais (en cas de risque élevé pour les droits et libertés)
• La communication comprend la nature de la violation, les conséquences probables et les mesures d'atténuation

Remédiation :

• Mise en œuvre de mesures correctives
• Prévention de futures occurrences
• Révision et mise à jour des procédures de sécurité

11. Cookies et technologies de suivi

11.1 Qu'est-ce qu'un cookie ?

Les cookies sont de petits fichiers texte stockés sur votre appareil lorsque vous visitez la Plateforme. Ils nous aident à fournir, protéger et améliorer nos services.

11.2 Types de cookies utilisés

Cookies essentiels (aucun consentement requis) :

• Gestion des sessions et authentification
• Sécurité et prévention de la fraude
• Équilibrage de charge et performance
• Préférences utilisateur (langue, paramètres d'affichage)

Cookies d'analyse (consentement requis) :

• Statistiques d'utilisation (pages consultées, temps passé)
• Sources de trafic et comportement des utilisateurs
• Suivi des erreurs et débogage
• Tests A/B et optimisation des fonctionnalités

Cookies marketing (consentement requis) :

• Reciblage et publicité
• Intégration des réseaux sociaux
• Suivi des campagnes email
• Suivi des conversions

11.3 Cookies tiers

Nous pouvons utiliser des cookies tiers provenant de :

• Google Analytics (statistiques d'utilisation)
• Plateformes de réseaux sociaux (boutons de partage)
• Réseaux publicitaires (reciblage)

Ces tiers disposent de leurs propres politiques de confidentialité.

11.4 Durée des cookies

• Cookies de session : Supprimés lorsque vous fermez votre navigateur
• Cookies persistants : Stockés pendant 13 mois maximum

11.5 Gestion des cookies

Vous pouvez gérer les cookies via :

Paramètres du navigateur :

• Bloquer tous les cookies
• Supprimer les cookies existants
• Autoriser les cookies de sites spécifiques
• Recevoir des notifications avant le dépôt de cookies

Bandeau de consentement aux cookies :

• Accepter ou refuser les cookies non essentiels
• Consulter et modifier les préférences en matière de cookies
• Accéder aux informations détaillées sur les cookies

Politique relative aux cookies : Pour plus d'informations, consultez notre Politique complète relative aux cookies à l'adresse www.ouirace.com/cookie-policy

12. Protection des données des mineurs

12.1 Conditions d'âge

Création de compte : Réservée aux personnes âgées de 18 ans ou plus.

Inscription aux Événements : Les mineurs peuvent s'inscrire à des Événements avec une autorisation parentale. Le parent ou le représentant légal doit :

• Fournir son consentement lors de l'inscription
• Remplir le formulaire d'inscription au nom du mineur
• Accepter les Conditions Générales
• Assumer la responsabilité de la participation du mineur

12.2 Droits des parents

Les parents ou représentants légaux ont le droit de :

• Accéder aux données personnelles de leur enfant
• Demander la rectification ou la suppression
• Retirer leur consentement
• S'opposer au traitement

12.3 Découverte de données de mineurs

Si nous découvrons que nous avons collecté des données d'un mineur de moins de 18 ans sans le consentement parental requis :

• Nous supprimons immédiatement les données
• Nous fermons le compte
• Nous informons la personne concernée de la suppression

13. Prise de décision automatisée et profilage

13.1 Utilisation limitée de l'automatisation

OuiRace utilise un traitement automatisé limité pour :

Détection de la fraude :

• Analyse automatisée des transactions de paiement
• Évaluation du risque pour les activités suspectes
• Signalement des inscriptions potentiellement frauduleuses

Recommandations d'Événements :

• Suggestion d'Événements basée sur les inscriptions passées
• Suggestions d'Événements géolocalisées
• Découverte personnalisée d'Événements

13.2 Vos droits

Vous avez le droit de :

• Ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou vous affectant de manière significative
• Obtenir une intervention humaine
• Exprimer votre point de vue
• Contester la décision

Remarque : Les mesures de détection de la fraude sont nécessaires à l'exécution du contrat et à la protection d'OuiRace et de ses utilisateurs.

14. Modifications de la présente Politique de Confidentialité

14.1 Mises à jour

Nous pouvons mettre à jour la présente Politique de Confidentialité pour refléter :

• Des modifications de nos pratiques de traitement des données
• De nouvelles fonctionnalités ou services
• Des exigences légales ou réglementaires
• Des recommandations de bonnes pratiques

14.2 Notification

Modifications substantielles :

• Publiées sur la Plateforme au moins 30 jours avant la date d'entrée en vigueur
• Notifiées aux utilisateurs inscrits par email
• L'utilisation continue après la date d'entrée en vigueur vaut acceptation

Modifications mineures :

• Publiées sur la Plateforme
• La notification peut ne pas être fournie
• Exemples : corrections typographiques, clarifications, exemples supplémentaires

14.3 Historique des versions

• Version 1.0 - 15 janvier 2025 : Version initiale

16. Références juridiques

La présente Politique de Confidentialité est conforme à :

• RGPD : Règlement UE 2016/679 du 27 avril 2016
• Loi Informatique et Libertés : Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (modifiée)
• Directive ePrivacy : Directive 2002/58/CE (telle que transposée en droit français)
• Code de la consommation
• Code civil