Operf ← Retour à l'accueil

Politique de Confidentialité

Version : 1.0

Dernière mise à jour : [DATE]

1. Introduction

Operf (« nous », « notre ») s'engage à protéger la vie privée de toute personne utilisant notre plateforme. La présente Politique de Confidentialité explique quelles données personnelles nous collectons, pourquoi nous les collectons, comment nous les utilisons, et quels droits vous avez à leur sujet.

Cette politique s'applique aux traitements de données effectués via l'application accessible à https://app.operf.fr, et concerne :

  • Les Administrateurs de compte et Utilisateurs — les individus qui accèdent à la plateforme Operf dans le cadre d'une Organisation ;
  • Les Visiteurs — les individus qui consultent notre site sans s'inscrire.
Note à destination des Clients : Operf traite les Données Joueurs pour le compte des Clients. Les Clients agissent en tant que responsables du traitement pour ces données, et Operf agit en tant que sous-traitant. Voir la Section 14.

2. Responsable du traitement

Le responsable du traitement de vos données personnelles est :

GUITTON Hugo

9 Avenue du Président Kennedy

64000 PAU, France

E-mail : privacy@operf.fr

3. Données collectées

3.1 Données de compte et d'identité

  • Prénom et nom de famille
  • Adresse e-mail
  • Mot de passe chiffré (nous ne stockons jamais les mots de passe en clair)

3.2 Données d'authentification et de sécurité

  • Nombre de connexions
  • Date et heure de la connexion actuelle et de la dernière connexion
  • Adresse IP au moment de chaque connexion
  • Jeton « rester connecté » (si vous choisissez cette option)
  • Jetons de réinitialisation de mot de passe (temporaires)

3.3 Données d'utilisation et d'activité

  • Les actions effectuées sur la plateforme
  • Les commentaires et notes que vous créez
  • Les paramètres et préférences que vous configurez

3.4 Données de facturation et d'abonnement

  • L'identifiant client Stripe de votre Organisation
  • L'identifiant du plan d'abonnement
  • L'historique des paiements (via Stripe — nous ne stockons pas les données bancaires)

3.5 Données de communication

Lorsque vous contactez notre équipe de support, nous conservons le contenu de cet échange et vos coordonnées.

3.6 Données Joueurs (saisies par les Clients)

Les Clients utilisent Operf pour gérer des informations relatives aux joueurs. Ces données sont saisies par les Clients eux-mêmes et peuvent inclure :

  • Données d'identité du joueur (nom, prénom, date de naissance, nationalité) ;
  • Données sportives (poste, niveau, statistiques, historique de carrière) ;
  • Coordonnées des parents, tuteurs légaux, entraîneurs et agents associés ;
  • Évaluations, rapports de scouting et commentaires saisis par les utilisateurs de l'Organisation ;
  • Informations relatives à l'état physique du joueur (le cas échéant).

Pour ces données, le Client agit en tant que responsable du traitement et Operf en tant que sous-traitant. Voir la Section 14 et notre Accord de Traitement des Données.

4. Comment nous collectons les données

  • Directement auprès de vous — lors de votre inscription, acceptation d'une invitation ou prise de contact.
  • Automatiquement — lors de chaque connexion, nous enregistrons votre adresse IP et les détails de session.
  • Via votre Administrateur — votre Administrateur de compte peut renseigner votre nom, e-mail et rôle lors de votre invitation.
  • Via Stripe — nous recevons des mises à jour de statut d'abonnement via les webhooks Stripe.

5. Base légale du traitement

Donnée Base légale Détails
Données d'inscriptionExécution du contrat (Art. 6(1)(b))Nécessaire pour créer et maintenir votre compte
Authentification / logs IPIntérêt légitime (Art. 6(1)(f))Sécurisation des comptes et détection des accès non autorisés
Abonnement et facturationExécution du contrat (Art. 6(1)(b))Nécessaire pour gérer votre abonnement
Jeton « rester connecté »Consentement (Art. 6(1)(a))Défini uniquement si vous choisissez activement cette option
Communications de supportIntérêt légitime (Art. 6(1)(f))Réponse à vos demandes et amélioration du Service
Obligations légalesObligation légale (Art. 6(1)(c))Ex. : conservation des données de facturation à des fins fiscales

6. Comment nous utilisons vos données

  • Fournir le Service — créer et gérer votre compte, permettre la connexion et délivrer les fonctionnalités.
  • Sécuriser le Service — journaliser les adresses IP pour détecter les activités suspectes.
  • Gérer les abonnements — traiter les paiements et gérer les changements de plan.
  • Envoyer des communications transactionnelles — invitations, réinitialisations de mot de passe et mises à jour d'abonnement.
  • Répondre aux demandes de support — lorsque vous nous contactez pour obtenir de l'aide.
  • Respecter nos obligations légales — notamment la conservation des données de facturation.

Nous ne :

  • N'utilisons pas vos données à des fins marketing ou publicitaires ;
  • Ne vendons pas vos données à des tiers ;
  • N'utilisons pas vos données pour le profilage automatisé.

7. Services tiers et partage de données

Nous ne vendons pas vos données personnelles. Nous ne partageons pas vos données à des fins commerciales, publicitaires ou de marketing. Les prestataires listés ci-dessous interviennent uniquement dans le cadre technique nécessaire au fonctionnement du Service, et n'ont accès qu'aux données strictement liées à leur mission.

Liste des sous-traitants

Sous-traitant Finalité Localisation Garantie de transfert
StripeTraitement des paiements et facturationÉtats-UnisCadre de Protection des Données UE-US / CCT
HetznerHébergement et infrastructureAllemagne (EEE)Données conservées dans l'EEE
SweegoE-mails transactionnelsFrance (EEE)Données conservées dans l'EEE

7.1 Stripe (Traitement des paiements)

Nous utilisons Stripe pour traiter les paiements d'abonnement. Stripe est conforme aux normes PCI-DSS.

  • Données partagées : Nom de l'Organisation, e-mail de facturation, détails du plan.
  • Garantie de transfert : Stripe est couvert par le Cadre de Protection des Données UE-États-Unis et/ou les Clauses Contractuelles Types.

7.2 Fournisseur d'e-mail transactionnel

Nous utilisons Sweego pour envoyer les e-mails transactionnels (invitations, réinitialisations de mot de passe). Les adresses e-mail des destinataires sont partagées à cette fin uniquement.

7.3 Infrastructure et hébergement

Le Service est hébergé chez Hetzner. Toutes les données sont stockées au sein de l'Espace Économique Européen (EEE).

8. Cookies et technologies similaires

Operf utilise un ensemble minimal de cookies. Nous n'utilisons pas de cookies de suivi, publicitaires ou d'analyse tiers.

Cookie Type Finalité Durée Consentement
session_idStrictement nécessaireJeton d'authentification — référence à votre session en base de données (signé, HttpOnly)30 joursExempt (Art. 82 LIL)
_operf_sessionStrictement nécessaireSession Rails — protection CSRF, messages flash (chiffré, HttpOnly)Session (fermeture navigateur)Exempt (Art. 82 LIL)

Ces cookies sont strictement nécessaires au fonctionnement du Service et sont exemptés de consentement au sens de l'Article 82 de la loi Informatique et Libertés. Aucun bandeau de consentement n'est requis.

Vous pouvez gérer les cookies via les paramètres de votre navigateur. La désactivation des cookies de session vous empêchera de vous connecter.

9. Conservation des données

Donnée Durée Raison
Données de compte (nom, e-mail)Durée du compte + 30 joursSuppression automatique par job de purge à l'issue du délai ; export possible avant fermeture
Données Joueurs et Contenu de l'OrganisationDurée du compte + 30 joursSuppression automatique; export possible sur demande avant l'échéance
Adresse IP à la connexion30 joursSécurité et détection de fraude
Identifiant client StripeDurée du compte + 30 joursRéférence technique supprimée à la fermeture du compte
Communications de support1 anIntérêt légitime (résolution de litiges)
Jetons de réinitialisation6 heuresSécurité
Données de facturation7 ansObligation légale (Code de commerce L.123-22). Données traitées et conservées par Stripe conformément à leurs obligations légales.

10. Sécurité des données

  • Mots de passe chiffrés : Les mots de passe sont hachés avec bcrypt — nous ne pouvons pas lire votre mot de passe.
  • Chiffrement des communications : Toutes les communications sont chiffrées via HTTPS/TLS.
  • Contrôle d'accès : Les données sont isolées par Organisation via une architecture multi-tenant.
  • Gestion des secrets : Les clés API sont stockées via les credentials chiffrés de Rails, jamais dans le code source.
  • Filtrage des logs : Les champs sensibles sont filtrés des logs applicatifs.
  • Accès basé sur les rôles : L'accès interne aux systèmes de production est restreint et journalisé.
  • Chiffrement applicatif des données sensibles : Certaines informations personnelles (coordonnées des parents, tuteurs, entraîneurs et contacts) sont chiffrées au niveau applicatif.

11. Transferts internationaux de données

Nous visons à conserver vos données au sein de l'EEE. Lorsque des données sont transférées en dehors de l'EEE — par exemple lors du traitement des paiements par Stripe — nous veillons à ce que des garanties appropriées soient en place (Cadre de Protection des Données UE-États-Unis et/ou Clauses Contractuelles Types).

Vous pouvez demander des informations sur les garanties spécifiques en contactant privacy@operf.fr.

12. Vos droits RGPD

Si vous résidez dans l'Espace Économique Européen, vous disposez des droits suivants :

Droit Ce que cela signifie
Droit d'accès (Art. 15)Demander une copie des données personnelles que nous détenons à votre sujet.
Droit de rectification (Art. 16)Demander la correction de données inexactes ou incomplètes.
Droit à l'effacement (Art. 17)Demander la suppression de vos données (« droit à l'oubli »).
Droit à la limitation (Art. 18)Demander que nous limitions le traitement de vos données.
Droit à la portabilité (Art. 20)Recevoir vos données dans un format structuré et lisible par machine.
Droit d'opposition (Art. 21)Vous opposer au traitement fondé sur l'intérêt légitime.
Droit de retrait du consentement (Art. 7(3))Retirer votre consentement à tout moment lorsque le traitement est fondé sur celui-ci (ex. : jeton « rester connecté »), sans affecter la licéité du traitement antérieur.

Pour exercer vos droits, adressez votre demande à privacy@operf.fr. Nous répondrons dans un délai de 30 jours.

13. Protection des mineurs

Le Service est destiné à un usage professionnel par des adultes. Nous ne collectons pas sciemment de données personnelles auprès de personnes de moins de 16 ans.

Les Clients utilisant la fonctionnalité division Jeunes peuvent saisir les coordonnées des parents et tuteurs légaux de jeunes athlètes. Le Client est responsable d'obtenir les consentements appropriés.

14. Données des Clients (contexte B2B)

14.1 Operf en tant que sous-traitant

Lorsqu'un Client utilise Operf pour gérer des Données Joueurs, le Client agit en tant que responsable du traitement et Operf agit en tant que sous-traitant pour ces données (RGPD Art. 28).

  • Le Client détermine les finalités et les moyens du traitement des Données Joueurs ;
  • Operf traite les Données Joueurs uniquement sur instruction documentée du Client ;
  • Operf n'utilise pas les Données Joueurs à d'autres fins que la fourniture du Service.

14.2 Accord de Traitement des Données

Un Accord de Traitement des Données (DPA) régit notre traitement des Données Joueurs pour le compte des Clients. Le DPA est incorporé par référence dans les CGU pour tous les Clients.

14.3 Responsabilités des Clients

En tant que responsable du traitement, les Clients sont responsables de :

  • S'assurer qu'ils disposent d'une base légale pour traiter les données de chaque joueur ;
  • Informer les joueurs (et leurs parents/tuteurs pour les mineurs) de l'utilisation de leurs données ;
  • Traiter les demandes des personnes concernées ;
  • Veiller à ce que les données saisies dans le Service soient conformes à la réglementation applicable.

15. Modifications de cette politique

Nous pouvons mettre à jour la présente Politique de Confidentialité de temps à autre. Nous informerons les Administrateurs de compte des modifications substantielles par e-mail au moins 30 jours avant l'entrée en vigueur des changements.

16. Contact et réclamations

Pour toute question relative à la confidentialité ou pour exercer vos droits :

GUITTON Hugo — À l'attention de : Protection des données

E-mail : privacy@operf.fr

Si vous n'êtes pas satisfait de notre réponse, vous avez le droit de déposer une réclamation auprès de :

Commission Nationale de l'Informatique et des Libertés (CNIL)

https://www.cnil.fr