Politique de confidentialité

Dernière mise à jour : avril 2026

1. Qui traite vos données ?

Assoboard est une plateforme SaaS permettant aux associations de gérer leurs adhérents. Dans ce cadre, deux rôles distincts coexistent au sens du RGPD :

  • Marc Mandane-Graziano (éditeur d'Assoboard, micro-entreprise — SIRET 103 458 816 00016) est responsable de traitement pour les données des administrateurs de clubs (email, mot de passe, informations de facturation).
  • L'association utilisant la plateforme est responsable de traitement pour les données de ses propres adhérents. Assoboard agit en tant que sous-traitant à son service.

Contact DPO : contact@assoboard.fr

2. Données collectées

2.1 Données des administrateurs de clubs

  • Adresse email et mot de passe (chiffré, non lisible)
  • Nom de l'association, email et téléphone de contact
  • Données de facturation : historique des abonnements (via Stripe — aucune donnée bancaire stockée par Assoboard)

2.2 Données des adhérents (collectées par les associations)

  • Identité : prénom, nom, date de naissance
  • Coordonnées : email, téléphone, adresse postale
  • Contact d'urgence : nom et téléphone
  • Informations sportives : catégorie, numéro de licence
  • Photo de profil (avatar)
  • Statut de paiement de la cotisation (payé / non payé, date)
  • Statut d'inscription et de validation du dossier

2.3 Documents sensibles

  • Photo d'identité
  • Certificat médical (avec date d'expiration)
  • Autorisation parentale (pour les adhérents mineurs)

⚠ Données de santé — catégorie spéciale (RGPD Art. 9)

Les certificats médicaux constituent des données de santé. Leur collecte est justifiée par l'obligation réglementaire imposée aux associations sportives (licence fédérale). Ils font l'objet d'une protection renforcée : accès strictement limité aux administrateurs du club, durée de conservation limitée à la saison concernée.

👶 Données de mineurs

Les associations peuvent gérer des dossiers d'adhérents mineurs. Dans ce cas, l'autorisation parentale est obligatoire et collectée dans la plateforme. Le responsable légal peut exercer les droits RGPD au nom de l'enfant en contactant son association.

3. Finalités du traitement

FinalitéBase légale
Gestion du dossier d'adhésionExécution du contrat
Envoi d'emails de confirmation et relancesIntérêt légitime de l'association
Vérification des certificats médicauxObligation légale (réglementation sportive)
Gestion des paiements de cotisationExécution du contrat
Émission de reçus de cotisation et fiscauxObligation légale
Accès à la plateforme Assoboard (admin)Exécution du contrat SaaS
Facturation de l'abonnement AssoboardExécution du contrat SaaS

4. Durée de conservation

DonnéesDurée
Dossier adhérent actifDurée de l'adhésion + 3 ans
Certificats médicauxSaison sportive concernée uniquement
Historique des saisons (archivé)Jusqu'à suppression par l'association
Compte administrateur (Assoboard)Durée de l'abonnement + 1 an
Données de facturation10 ans (obligation comptable)

5. Services tiers et données collectées

Assoboard fait appel aux prestataires suivants, liés par des clauses contractuelles conformes au RGPD. Chaque service ne reçoit que les données strictement nécessaires à sa fonction.

Supabase (PostgreSQL)UE — AWS Frankfurt

Rôle : hébergement de la base de données principale.

Données transmises : toutes les données stockées dans Assoboard — comptes administrateurs, dossiers adhérents, documents, historiques de saisons.

Transfert hors UE : non — serveurs AWS Frankfurt.

Politique de confidentialité Supabase →
VercelUE — région EU West

Rôle : hébergement et déploiement de l'application web.

Données transmises : adresse IP et métadonnées de chaque requête HTTP (journaux d'accès). Ces logs sont automatiques et nécessaires à la sécurité et aux performances.

Transfert hors UE : non — région EU West sélectionnée.

Politique de confidentialité Vercel →
NextAuth.jsBibliothèque open source — traitement local

Rôle : gestion de l'authentification et des sessions.

Données traitées : email, mot de passe chiffré (bcrypt), cookies de session (next-auth.session-token, csrf-token). Aucune donnée n'est envoyée à un tiers — tout est stocké dans Supabase.

Transfert hors UE : non.

StripeUE / États-Unis — certifié PCI-DSS niveau 1

Rôle : traitement des paiements d'abonnement Assoboard.

Données transmises : email de l'administrateur, nom de l'association, historique des abonnements et factures. Stripe collecte également les données bancaires directement (Assoboard n'y a pas accès).

Transfert hors UE : oui (États-Unis) — couvert par les clauses contractuelles types (CCT) de la Commission européenne.

Politique de confidentialité Stripe →
ResendÉtats-Unis — DPA signé

Rôle : envoi d'emails transactionnels (confirmation d'inscription, relances, reçus).

Données transmises : adresse email du destinataire, contenu de l'email (prénom, statut d'inscription ou de paiement).

Transfert hors UE : oui (États-Unis) — couvert par un DPA (Data Processing Agreement) conforme au RGPD.

Politique de confidentialité Resend →

Aucune donnée n'est vendue à des tiers à des fins publicitaires ou commerciales. Assoboard n'utilise aucun outil de tracking (Google Analytics, Meta Pixel, etc.).

6. Sécurité

  • Mots de passe chiffrés avec bcrypt — non lisibles, même par Assoboard
  • Communications chiffrées en HTTPS/TLS
  • Accès aux données adhérents limité aux administrateurs du club concerné
  • Aucune donnée bancaire stockée sur les serveurs Assoboard (délégué à Stripe)
  • Sauvegardes automatiques de la base de données

7. Vos droits

Conformément au RGPD (Art. 15 à 22), vous disposez des droits suivants :

  • Accès — consulter toutes les données vous concernant
  • Rectification — corriger des données inexactes ou incomplètes
  • Effacement — demander la suppression de votre compte et de vos données
  • Portabilité — recevoir vos données dans un format structuré et lisible
  • Opposition — vous opposer à un traitement basé sur l'intérêt légitime
  • Limitation — demander la suspension temporaire d'un traitement

Comment exercer vos droits ?

  • En tant qu'adhérent : via le bouton Supprimer mon compte dans votre tableau de bord, ou en contactant directement votre association.
  • En tant qu'administrateur : en écrivant à contact@assoboard.fr
  • Réclamation CNIL : cnil.fr

8. Cookies

Assoboard utilise uniquement des cookies techniques strictement nécessaires au fonctionnement de l'authentification (session utilisateur, jeton de connexion). Aucun cookie publicitaire, de traçage ou analytique tiers n'est utilisé.

9. Modifications

Cette politique peut être mise à jour. En cas de modification substantielle, nous vous informerons par email. La date de dernière mise à jour figure en haut de cette page.