Confidentialité

Politique de confidentialité

Dernière mise à jour : juin 2026 — version 3.

1. Responsable(s) de traitement

SportLocker SAS (« SportLocker ») détermine les finalités et les moyens des traitements décrits ci-dessous, au sens du RGPD (Règlement UE 2016/679). Selon le traitement concerné, SportLocker agit :

  • en tant que responsable de traitement (seul) pour les données du site vitrine (demandes de devis B2B), des comptes administrateurs du dashboard opérateur et des logs techniques ;
  • en tant que responsable de traitement conjoint (art. 26 RGPD), avec l'opérateur — mairie, camping ou hôtel, le « tenant » — sur le site duquel le distributeur est installé, pour les données des citoyens liées à l'usage du service (réservation, prêt, suivi du parc), conformément à l'article 10 des CGV opérateurs.

La répartition des obligations entre SportLocker et le tenant peut être formalisée par un accord de traitement conjoint (DPA) sur demande.
Contact DPO / délégué : stanislas.corbanese@gmail.com
(à compléter : SIRET, adresse postale du siège social, une fois la société immatriculée.)

2. Données collectées et finalités

Nous distinguons 3 surfaces : le site vitrine (ce site), l'application citoyenne app.sportlocker.fr (la PWA de réservation), et le dashboard opérateur ops.sportlocker.fr (réservé aux tenants).

a) Vitrine (ce site)

Données : via le formulaire de devis — nom de l'organisation, localité, type d'établissement, nombre estimé de distributeurs, email professionnel, numéro de téléphone, message libre.
Finalité : répondre à votre demande commerciale (prospection B2B).
Base légale : mesures précontractuelles à la demande de la personne (RGPD art. 6.1.b).

b) Application citoyenne (app.sportlocker.fr)

À l'inscription via Firebase Authentication, nous collectons :

  • Adresse e-mail, identifiant Firebase (UID), prénom/nom si fourni
  • Méthode d'authentification utilisée (Google, Apple, email magic link)

Lors de l'usage du service, nous traitons en plus :

  • Position GPS au moment de la recherche du distributeur le plus proche (utilisée en temps réel, non conservée)
  • Historique des réservations (date, sport choisi, distributeur, créneau, prix affiché)
  • Si vous activez les notifications : l'endpoint de votre service push (Google FCM, Mozilla, Apple), les clés de chiffrement publiques générées par votre navigateur, votre préférence de délai de rappel
  • User-Agent du navigateur (pour distinguer vos devices dans votre profil)
  • Pour les logs d'erreurs techniques : page consultée, message d'erreur, navigateur (via Sentry — pas de contenu de formulaire)

Finalités : fournir le service de réservation et de prêt de matériel, vous envoyer les notifications de rappel que vous avez demandées, détecter les bugs techniques.
Base légale : exécution du contrat (RGPD art. 6.1.b) pour les réservations, consentement explicite (RGPD art. 6.1.a) pour les notifications push.

c) Dashboard opérateur (ops.sportlocker.fr)

Données : e-mail professionnel et rôle du compte admin (admin commune, super-admin SportLocker), historique des actions sensibles (audit logs internes).
Finalité : permettre aux opérateurs (mairies, campings, hôtels) de gérer leur parc et leurs tarifs.
Base légale : exécution du contrat tenant.

3. Sous-traitants

Nous utilisons des sous-traitants techniques au sens RGPD art. 28. Chacun est lié par un engagement de confidentialité et opère dans les conditions ci-dessous :

  • Firebase / Google Cloud — authentification utilisateurs. UE et États-Unis (clauses contractuelles types).
  • Supabase — hébergement de la base de données (PostgreSQL, EU Central / Frankfurt).
  • Railway Corp. — hébergement des serveurs applicatifs (USA, garanties contractuelles).
  • EMQX Cloud — broker MQTT entre les distributeurs et notre API (EU Central).
  • Push services tiers — Google FCM / Mozilla Autopush / Apple Push (selon votre navigateur), utilisés uniquement pour acheminer les notifications de rappel que vous avez activées.
  • Sentry — collecte des erreurs techniques (UE).
  • Web3Forms — transmission du formulaire de contact de la vitrine.

4. Durée de conservation

  • Compte citoyen actif : tant que votre compte existe.
  • Compte citoyen supprimé : les données personnelles directement identifiantes sont anonymisées dans les 30 jours suivant votre demande. L'historique de réservations est conservé sous forme agrégée pour les statistiques tenant.
  • Demandes de devis B2B : 3 ans à compter de notre dernier échange (recommandation CNIL prospection B2B).
  • Logs d'erreurs Sentry : 30 jours.
  • Données comptables tenant : 10 ans (obligation légale française).

5. Vos droits

Conformément au RGPD (articles 15 à 22), vous disposez d'un droit d'accès, de rectification, d'effacement, de limitation, d'opposition et de portabilité de vos données.

Vous pouvez :

  • Désactiver les notifications push à tout moment depuis votre profil dans l'app citoyenne
  • Demander la suppression complète de votre compte en écrivant à stanislas.corbanese@gmail.com
  • Demander une copie de vos données dans un format structuré

En cas de différend non résolu avec nous, vous pouvez introduire une réclamation auprès de la CNIL.

6. Sécurité

Toutes les communications avec nos serveurs sont chiffrées en HTTPS (TLS 1.2+). Les mots de passe ne sont jamais stockés en clair (délégation à Firebase Authentication). Les jetons d'ouverture du casier (QR codes) sont signés cryptographiquement (JWT HS256) et ont une durée de validité limitée. Les notifications push sont chiffrées de bout en bout (RFC 8030 + VAPID).

7. Cookies et traceurs

Le site vitrine n'utilise aucun cookie de mesure d'audience, de profilage ou de traçage publicitaire. Aucun consentement n'est requis pour le simple affichage des pages.

L'application citoyenne et le dashboard utilisent des cookies strictement techniques (session d'authentification, préférence de langue). Ils sont nécessaires au fonctionnement du service et ne sont pas soumis à consentement préalable au sens de la directive ePrivacy.

8. Mineurs

Le service est destiné à un usage tout public. Pour les mineurs de moins de 15 ans, l'inscription doit être effectuée avec l'accord d'un parent ou représentant légal. Nous ne collectons pas sciemment de données concernant un mineur sans cet accord.

9. Transferts hors Union européenne

Certains sous-traitants techniques (Firebase, Railway) sont basés aux États-Unis. Ces transferts sont encadrés par les clauses contractuelles types de la Commission européenne (décision 2021/914) et, le cas échéant, par le cadre EU–US Data Privacy Framework.

10. Évolution de la politique

Nous pouvons être amenés à modifier cette politique pour refléter des évolutions techniques ou réglementaires. La date de dernière mise à jour est indiquée en haut de cette page. Les modifications substantielles font l'objet d'une information dans l'application.