Politique de confidentialité — Suisse
Dernière mise à jour : 11 mai 2026La présente politique décrit comment Paak collecte, utilise et protège les données personnelles traitées dans le cadre du site paak.club et de l'application Paak, pour les utilisateurs et clubs établis en Suisse. Elle est rédigée en conformité avec la Loi fédérale sur la protection des données (nLPD / FADP, SR 235.1), en vigueur depuis le 1er septembre 2023, et avec le RGPD européen lorsqu'il s'applique.
1. Responsable du traitement
Emmara by Cyrille Barraud, entreprise individuelle de droit suisse (UID CHE-309.503.616), St. Alban-Anlage 25, 4052 Bâle, Suisse.
Contact pour toute question relative aux données personnelles : contact@paak.club.
2. Distinction entre visiteur du site, utilisateur de l'application et membre de club
Il est important de distinguer trois situations :
- Visiteurs de paak.club — vous consultez nos pages publiques ou remplissez un formulaire de contact. Les données vous concernant sont traitées par Paak en tant que responsable.
- Utilisateurs de l'application Paak (dirigeants, entraîneurs, staff de club) — vous avez créé un compte et gérez un club. Les données de votre compte sont traitées par Paak en tant que responsable.
- Membres de clubs gérés dans Paak (adhérents, parents, mineurs) — vos données sont enregistrées par le club qui vous a inscrit. Dans ce cas, le club est le responsable du traitement et Paak agit comme sous-traitant au sens de l'art. 9 LPD (et art. 28 RGPD). Pour toute demande sur vos droits, contactez d'abord votre club.
3. Données que nous collectons
3.1 Visiteurs du site paak.club
- Formulaire de contact / liste d'attente — prénom, nom, email, rôle déclaré, club. Base légale : consentement (art. 6 LPD ; art. 6 §1 a RGPD).
- Données techniques — adresse IP tronquée, type de navigateur, pages visitées, via notre instance auto-hébergée de Matomo. Uniquement si vous acceptez les cookies analytiques (voir politique de cookies).
3.2 Utilisateurs de l'application (compte admin / staff)
- Identifiants d'authentification (email, clé de session Hanko), nom et prénom, rôle dans le club.
- Données de facturation si vous passez à un plan payant (email et nom de facturation, historique des transactions).
- Traces techniques minimales nécessaires au fonctionnement et à la sécurité (journaux d'accès, historique de connexion, tentatives échouées).
3.3 Données gérées par les clubs dans l'application
Les clubs renseignent dans Paak les données nécessaires à leur gestion : coordonnées des membres, licences fédérales, cotisations, encadrement, présences, équipements. Paak héberge et sécurise ces données pour le compte du club, sans en exploiter le contenu commercial.
3.4 Données sensibles — santé / blessures (art. 5 lit. c LPD)
Lorsque le club enregistre des informations relatives à la santé d'un athlète (certificat médical, notes de blessure, contact d'urgence, allergies sévères), ces données sont qualifiées de données sensibles au sens de l'art. 5 lit. c LPD. Leur traitement requiert un consentement explicite du membre majeur, ou de son représentant légal pour les mineurs (art. 6 §7 LPD). Paak met à disposition du club l'interface de collecte du consentement ; la base légale de fond reste celle du club, responsable du traitement.
Aucun document scanné de certificat médical n'est obligatoire dans Paak : par défaut, seule la date de validité est stockée. Si le club choisit d'uploader un certificat scanné, l'accès est restreint aux administrateurs du club ; le document n'apparaît jamais dans les exports publics.
3.5 Données sensibles — extraits du casier judiciaire pour encadrants
Lorsqu'un club vérifie l'honorabilité d'un encadrant (entraîneur, staff), Paak enregistre uniquement le numéro de l'attestation et la date de validité. Aucun scan ou copie du Sonderprivatauszug (art. 371a CP, en vigueur depuis le 1er janvier 2015) n'est conservé dans le système. La vérification physique du document s'effectue hors plateforme, conformément aux recommandations du Statut d'éthique de Swiss Olympic.
4. Finalités du traitement
- Fournir le service Paak et l'assistance correspondante.
- Traiter les paiements de cotisation et émettre les factures (Mollie, Pays-Bas).
- Envoyer les communications opérationnelles (confirmation d'inscription, rappels de paiement, alertes de sécurité).
- Améliorer le produit à l'aide de statistiques agrégées (uniquement avec consentement aux cookies analytiques).
- Respecter nos obligations légales (comptabilité au sens de l'art. 958f CO, demandes d'autorités compétentes).
5. Motifs de justification (LPD) / bases légales (RGPD)
- Exécution du contrat (art. 31 §2 lit. a LPD ; art. 6 §1 b RGPD) — comptes utilisateurs, facturation, fonctionnement du service.
- Consentement (art. 6 §6 et §7 LPD ; art. 6 §1 a RGPD) — cookies analytiques, formulaires de contact volontaires, communications marketing, traitement de données sensibles.
- Intérêt légitime (art. 31 §2 lit. d LPD ; art. 6 §1 f RGPD) — sécurité du service, prévention de la fraude, amélioration fonctionnelle.
- Obligation légale (art. 31 §2 lit. c LPD ; art. 6 §1 c RGPD) — conservation comptable suisse (art. 958f CO, 10 ans), réponses aux autorités.
6. Sous-traitants et destinataires
Nous faisons appel à des sous-traitants européens. Aucune donnée n'est transférée hors de l'Union européenne ou de la Suisse. L'UE figure à l'annexe 1 de l'OPDo (SR 235.11) parmi les pays offrant une protection adéquate au sens de la LPD.
| Fournisseur | Rôle | Pays |
|---|---|---|
| OVHcloud | Hébergement de l'application et de la base de données | France (UE) |
| Hanko | Authentification (passkeys, sessions) | Allemagne (UE) |
| Mollie | Paiements en ligne (cotisations, équipements, abonnements ; TWINT pris en charge) | Pays-Bas (UE) |
| Brevo (ex-Sendinblue) | Emails transactionnels et newsletters | France (UE) |
| Matomo (auto-hébergé) | Statistiques de fréquentation — sur notre propre serveur OVH | France (UE) |
Des accords de sous-traitance (DPA, art. 9 LPD / art. 28 RGPD) sont signés avec chacun de ces fournisseurs. Le détail des DPA et leur portée pour le contexte suisse est consigné dans notre dossier interne (cf. NLPD-COMPLIANCE.md §3 — Vendor DPA Matrix).
7. Durée de conservation
- Compte utilisateur — pendant toute la durée d'utilisation, puis jusqu'à 90 jours après la résiliation avant suppression définitive.
- Données de facturation — 10 ans (obligation comptable suisse, art. 958f CO).
- Listes d'attente et demandes de contact — jusqu'à 2 ans après le dernier échange, sauf désinscription.
- Données de santé / certificat médical — durée de l'adhésion + 12 mois (fenêtre de contestation d'assurance), puis suppression définitive.
- Données d'un membre gérées par un club — selon la politique du club. Les demandes de suppression passent par le club.
- Journaux techniques de sécurité — 12 mois maximum.
8. Vos droits (art. 25-27 LPD)
Conformément à la LPD et au RGPD, vous disposez des droits suivants :
- Droit d'accès (art. 25 LPD) — obtenir une copie de vos données personnelles.
- Droit de rectification (art. 32 LPD) — corriger des données inexactes ou incomplètes.
- Droit à l'effacement — demander la suppression de vos données (sous réserve des obligations légales).
- Droit à la limitation — suspendre temporairement un traitement contesté.
- Droit d'opposition — refuser un traitement fondé sur l'intérêt légitime ou le marketing.
- Droit à la portabilité (art. 28 LPD) — recevoir vos données dans un format structuré et lisible par machine.
- Droit de retirer votre consentement à tout moment, sans effet rétroactif.
Pour exercer ces droits sur des données gérées par votre club, adressez-vous d'abord à votre club (Paak agit alors comme sous-traitant). Pour les données que nous traitons en tant que responsable (site, compte admin, facturation), écrivez-nous à contact@paak.club. Nous répondons dans un délai maximum de 30 jours, conformément à l'art. 25 §7 LPD.
9. Autorité de contrôle
L'autorité compétente en Suisse est le Préposé fédéral à la protection des données et à la transparence (PFPDT / FDPIC), Feldeggweg 1, 3003 Berne — edoeb.admin.ch.
Pour signaler une violation de données dont vous seriez victime ou témoin, le portail dédié du PFPDT est edoeb.admin.ch/fr/databreach-2. Conformément à l'art. 24 LPD, Paak notifie le PFPDT « dans les meilleurs délais » lorsqu'une violation est susceptible d'engendrer un risque élevé pour la personnalité ou les droits fondamentaux d'une personne concernée.
Si vous résidez dans l'UE, vous pouvez également saisir l'autorité de protection des données de votre pays (CNIL en France, GBA/APD en Belgique, BfDI en Allemagne, etc.).
10. Sécurité
Les données sont chiffrées en transit (TLS 1.2+). L'authentification utilise exclusivement des passkeys (Hanko, sans mot de passe). Les sauvegardes de base de données sont chiffrées au repos. Les accès administrateurs sont journalisés et protégés par authentification renforcée. Notre architecture multi-tenant isole strictement les données de chaque club au niveau du moteur de requêtes (couverture de tests dédiée — IDOR / cross-tenant).
11. Transferts internationaux
Aucun transfert de données vers un pays tiers n'a lieu. L'ensemble de l'infrastructure est hébergé dans l'Union européenne, avec des sous-traitants exclusivement européens. La Suisse bénéficie d'une décision d'adéquation mutuelle avec la Commission européenne, ce qui garantit une protection équivalente dans les deux sens.
12. Modifications de la présente politique
Nous pouvons mettre à jour cette politique pour refléter des évolutions légales ou techniques. La date de dernière mise à jour figure en haut de ce document. Les modifications substantielles seront signalées par email aux utilisateurs actifs.