Politique de confidentialité
Version 1.0 — Document à valider par un conseil juridique avant publication officielle. Cette version est rédigée par l’équipe technique pour servir de base de travail.
L’application Fantastik Armada (« l’Application ») est éditée par l’Association Fantastik Armada (« l’Association »), association loi 1901 dont le siège est situé au 26 Allée des Cyprès, 77100 Meaux.
La présente politique décrit la manière dont l’Association collecte, utilise et protège les données personnelles de ses adhérents et utilisateurs.
1. Responsable du traitement
Association Fantastik Armada Président : Karim Ghajji SIREN : 451 037 139 Contact RGPD : fantastikarmada.meaux@gmail.com
2. Données collectées
Selon votre usage de l’Application, nous pouvons collecter :
| Catégorie | Données | Origine |
|---|---|---|
| Identité | Nom, prénom, date de naissance | Saisie utilisateur (signup) |
| Coordonnées | Email, téléphone, adresse postale, ville, code postal | Saisie utilisateur (signup + adhésion) |
| Vie professionnelle | Profession (optionnelle) | Saisie utilisateur (adhésion) |
| Données d’adhésion | Saison, tarif, statut de l’adhésion, méthode de paiement | Saisie + calcul automatique |
| Données médicales | Certificat médical de non-contre-indication (PDF/JPG/PNG) | Téléversement utilisateur |
| Données enfants mineurs | Nom, prénom, date de naissance des enfants rattachés au compte parent | Saisie par le parent |
| Données techniques | Identifiants d’appareil pour notifications push (ExpoPushToken), date de connexion | Génération automatique |
| Données de paiement | Identifiant de transaction HelloAsso ou Stripe, montant, statut | Reçu automatiquement du prestataire |
| Consentements RGPD | Acceptation des autorisations granulaires (image, sortie seule, intervention médicale, etc.) | Saisie utilisateur |
⚠️ Les coordonnées bancaires (numéro de carte) ne sont jamais collectées ni stockées par l’Association. Elles sont saisies directement sur les serveurs sécurisés de HelloAsso ou Stripe, qui sont les seuls à les manipuler.
3. Finalités et bases légales
| Finalité | Base légale (RGPD article 6) | Données concernées |
|---|---|---|
| Gérer l’adhésion à l’association | Exécution du contrat (art. 6.1.b) | Identité, coordonnées, adhésion |
| Délivrer les services sportifs (cours, événements) | Exécution du contrat (art. 6.1.b) | Identité, certificat médical, ticket événement |
| Encaisser la cotisation et les billets | Exécution du contrat + obligation légale | Données de paiement |
| Vérifier l’aptitude médicale | Obligation légale (Code du sport L231-2) | Certificat médical |
| Envoyer des notifications relatives à l’adhésion | Intérêt légitime (art. 6.1.f) | Identifiants d’appareil, identité |
| Diffuser des annonces du club aux adhérents actifs | Intérêt légitime + consentement | Identifiants d’appareil, identité |
| Utilisation de l’image dans la communication | Consentement (art. 6.1.a) | Photos et vidéos (sur consentement explicite) |
| Respecter les obligations comptables | Obligation légale (Code de commerce L123-22) | Données d’adhésion + paiement (conservation 10 ans) |
4. Mineurs
L’inscription d’un mineur de moins de 15 ans nécessite obligatoirement l’accord et la création d’un compte par un parent ou tuteur légal. L’enfant est rattaché au compte parental ; toutes les actions le concernant (adhésion, certificat médical, consentements, paiements) sont effectuées par le tuteur.
L’Association ne traite jamais directement les données d’un mineur sans l’accord exprès du responsable légal.
5. Durée de conservation
| Catégorie | Durée |
|---|---|
| Compte utilisateur actif | Toute la durée d’adhésion + 3 ans après la dernière adhésion |
| Données de paiement et adhésion | 10 ans (obligation comptable Code de commerce L123-22) |
| Certificat médical | Durée de l’adhésion + jusqu’à expiration du certificat |
| Identifiants push (ExpoPushToken) | Tant que l’application est installée sur l’appareil |
| Consentements (acceptation et retrait) | Toute la durée du compte, à des fins de preuve |
Après suppression du compte demandée par l’utilisateur, les données personnelles sont anonymisées mais les données comptables (paiements, adhésions historiques) sont conservées pour respecter l’obligation légale de conservation pendant 10 ans.
6. Destinataires des données
- L’équipe administrative de l’Association (président, trésorier, coachs autorisés) pour la gestion quotidienne.
- HelloAsso (Paris, France) pour le traitement des paiements en ligne d’adhésion.
- Stripe Payments Europe Ltd. (Dublin, Irlande) pour le traitement des paiements en ligne d’événements.
- Amazon Web Services EMEA SARL (Luxembourg, région eu-west-3 Paris) pour le stockage chiffré des certificats médicaux.
- Supabase Inc. (région UE Frankfurt) pour l’hébergement de la base de données.
- Expo, Inc. (États-Unis) pour le relais des notifications push vers Apple APNs et Google FCM.
Les transferts hors UE (Expo aux USA, Supabase Inc. en tant que société mère) sont encadrés par les clauses contractuelles types approuvées par la Commission européenne.
7. Sécurité des données
L’Association met en œuvre les mesures techniques et organisationnelles suivantes :
- Chiffrement applicatif des colonnes sensibles en base (téléphone, adresse, code postal, ville, profession) via algorithme AES-256-GCM avec une clé maîtresse non stockée en clair côté base de données.
- Mots de passe : stockés sous forme de hash bcrypt avec 12 rounds de salage.
- Tokens d’authentification : signés JWT HS256, expiration 15 minutes pour l’access token, 30 jours avec rotation pour le refresh token.
- Certificats médicaux : stockés chiffrés au repos (S3 server-side encryption AES-256) avec accès par URL pré-signées de 5 minutes uniquement.
- Communications réseau : HTTPS exclusif (TLS 1.2+).
- Principe du moindre privilège : les accès administratifs sont restreints aux rôles ADMIN et COACH explicitement.
8. Vos droits
Conformément au RGPD et à la loi Informatique et Libertés modifiée, vous disposez des droits suivants :
- Droit d’accès (article 15 RGPD) : obtenir une copie de vos données — bouton « Exporter mes données » dans l’application, section Profil > Mes données (RGPD).
- Droit à l’effacement (article 17 RGPD) : demander la suppression de votre compte — bouton « Supprimer mon compte » dans l’application, section Profil. L’historique comptable obligatoire (10 ans) est conservé en mode anonymisé.
- Droit de rectification (article 16 RGPD) : modifier vos informations — écran Profil.
- Droit d’opposition (article 21 RGPD) : retirer les consentements optionnels (notamment droit à l’image) — section « Mes autorisations » dans Profil.
- Droit à la portabilité (article 20 RGPD) : récupérer vos données dans un format structuré (JSON) — même endpoint que le droit d’accès.
Pour exercer ces droits ou pour toute question, contactez-nous à : fantastikarmada.meaux@gmail.com
Vous pouvez également introduire une réclamation auprès de la CNIL : www.cnil.fr — 3 Place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07.
9. Cookies et traceurs
L’application mobile native n’utilise aucun cookie HTTP. Les données techniques de session (tokens d’authentification) sont stockées localement et de manière chiffrée par le système d’exploitation (Apple Keychain / Android Keystore via expo-secure-store).
Aucun traceur publicitaire ou outil d’analyse comportementale tiers n’est intégré à l’application.
10. Modifications de la politique
La présente politique peut être modifiée pour tenir compte des évolutions légales ou techniques. La date de dernière mise à jour est affichée en fin du document. Les utilisateurs sont informés des modifications substantielles par notification push.
Dernière mise à jour : 24 mai 2026.