Politique de Confidentialité
Version 1.0 — Entrée en vigueur : 1er mai 2026
Préambule
La protection de vos données personnelles est une priorité pour DOSSARIO SAS. La présente Politique de Confidentialité vous informe, conformément au Règlement (UE) 2016/679 (« RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (« Loi Informatique et Libertés »), de la manière dont nous collectons, utilisons, conservons et protégeons vos données personnelles lors de votre utilisation de la Plateforme dossar.io.
Article 1 – Identité du responsable de traitement
DOSSARIO SAS R3F, 1 rue Mademoiselle, 75015 Paris, France RCS Paris 103 192 449 — SIRET 10319244900017
Contact Données personnelles : privacy@dossar.io
DOSSARIO n'a pas l'obligation légale de désigner un Délégué à la Protection des Données (DPO) au sens de l'article 37 du RGPD. Toute demande relative à vos données peut être adressée à l'adresse ci-dessus.
Article 2 – Données collectées
2.1 Données collectées directement auprès de vous
Pour les Participants (coureurs) :
- Données d'identification : nom, prénom, email, date de naissance, sexe
- Coordonnées : adresse postale, numéro de téléphone (si requis par l'Organisateur)
- Données sportives : numéro de licence fédérale, club, informations de performance (résultats, temps, classements)
- Données de santé (si collectées par l'Organisateur) : certificat médical, déclaration sur l'honneur de non-contre-indication médicale — traitées en tant que données sensibles au sens de l'article 9 du RGPD
- Données de paiement : traitées exclusivement par Stripe — DOSSARIO ne conserve jamais les numéros de carte bancaire ni les données bancaires complètes
- Photo de profil (optionnelle)
- Code postal (pour la newsletter)
Pour les Organisateurs :
- Données d'identification du contact : nom, prénom, email, numéro de téléphone
- Données de la structure organisatrice : nom, forme juridique, adresse, numéro SIRET/SIREN, numéro de TVA intracommunautaire
- Données bancaires (pour la configuration Stripe Connect) : collectées et traitées directement par Stripe
- Données de l'Événement : informations publiées sur la Plateforme
Pour les Bénévoles :
- Données d'identification : nom, prénom, email, numéro de téléphone
- Disponibilités et préférences de postes
2.2 Données collectées automatiquement
Lors de votre navigation sur la Plateforme, nous collectons automatiquement :
- Données de connexion : adresse IP, type de navigateur, système d'exploitation, pages consultées, durée de visite, URL de provenance
- Données de localisation approximative (déduites de l'adresse IP)
- Données d'utilisation des Services (actions réalisées, fonctionnalités utilisées)
- Identifiants de session et cookies (voir Politique de Cookies)
2.3 Données reçues de tiers
- Stripe : confirmation de paiement, identifiant de transaction (DOSSARIO ne reçoit pas les données bancaires complètes)
- Données publiques de fédérations sportives si applicables (résultats officiels)
Article 3 – Finalités et bases légales des traitements
| Finalité | Données concernées | Base légale |
|---|---|---|
| Création et gestion du compte | Identité, email | Exécution du contrat (Art. 6.1.b RGPD) |
| Traitement des inscriptions et paiements | Identité, coordonnées, données sportives | Exécution du contrat (Art. 6.1.b RGPD) |
| Envoi des confirmations et communications transactionnelles | Exécution du contrat (Art. 6.1.b RGPD) | |
| Mise à disposition de l'espace coureur (résultats, profil) | Données sportives, identité | Exécution du contrat (Art. 6.1.b RGPD) |
| Gestion des bénévoles | Identité, disponibilités | Exécution du contrat (Art. 6.1.b RGPD) |
| Facturation et obligations comptables | Données de transaction | Obligation légale (Art. 6.1.c RGPD) |
| Prévention de la fraude et sécurité | Logs, IP, identifiants | Intérêts légitimes (Art. 6.1.f RGPD) |
| Amélioration des Services et analyses statistiques | Données d'utilisation anonymisées | Intérêts légitimes (Art. 6.1.f RGPD) |
| Analytics de navigation (PostHog) | Données de session, comportement | Consentement (Art. 6.1.a RGPD) |
| Envoi de la newsletter « Découvre la France en courant » | Email, prénom, code postal | Consentement (Art. 6.1.a RGPD) |
| Envoi de campagnes email par les Organisateurs | Email, prénom, données inscription | Consentement ou intérêt légitime (relation contractuelle) |
| Traitement des données de santé (certificat médical) | Données de santé | Consentement explicite (Art. 9.2.a RGPD) ou nécessité pour la sécurité (Art. 9.2.c) |
| Preuve de l'acceptation des conditions contractuelles | Adresse IP, user-agent, timestamp, version des documents au moment de l'acceptation | Intérêts légitimes — preuve contractuelle (Art. 6.1.f RGPD) |
| Conservation des logs pour obligations légales | Logs de connexion | Obligation légale (LCEN, Art. 6.1.c RGPD) |
Article 4 – Destinataires et sous-traitants
Nous faisons appel aux sous-traitants suivants pour vous fournir nos Services. Ces sous-traitants agissent sur nos instructions et ne peuvent utiliser vos données qu'aux fins pour lesquelles ils ont été mandatés.
4.1 Sous-traitants principaux
| Sous-traitant | Rôle | Pays | Garanties de transfert |
|---|---|---|---|
| Stripe Payments Europe, Ltd. | Traitement des paiements | Irlande (UE) + États-Unis | Entité irlandaise soumise au RGPD ; transferts USA couverts par CCT |
| Supabase Inc. | Base de données (serveurs EU — Frankfurt) | Singapour (siège) / Allemagne (données) | CCT ; données Dossario hébergées en UE |
| Vercel Inc. | Hébergement applicatif (CDN mondial) | États-Unis | CCT et Cadre UE-USA sur la protection des données |
| Resend Inc. | Envoi d'emails transactionnels et marketing | États-Unis | CCT |
| PostHog Inc. | Analytics d'utilisation (instance EU) | États-Unis (siège) / UE (données) | Instance eu.posthog.com — données hébergées en UE |
| Mapbox Inc. | Cartographie, parcours GPX | États-Unis | CCT |
| Anthropic PBC | Intelligence artificielle (agent organisateur, suggestions) | États-Unis | CCT ; données traitées à titre temporaire |
4.2 Communication aux Organisateurs
Dans le cadre de votre inscription à un Événement, vos données personnelles nécessaires à l'organisation (nom, prénom, email, données sportives, données de santé si collectées) sont communiquées à l'Organisateur de l'Événement, qui en devient responsable de traitement pour les besoins de son Événement. Nous vous invitons à consulter la politique de confidentialité de l'Organisateur.
4.3 Autres destinataires
Nous pouvons être amenés à communiquer vos données à :
- des autorités administratives ou judiciaires, sur demande légalement fondée ;
- nos conseils juridiques ou d'assurance, en cas de litige ;
- un éventuel successeur, en cas de cession d'activité (avec information préalable).
Article 5 – Transferts de données hors de l'Union européenne
Certains de nos sous-traitants (Vercel, Resend, Mapbox, Anthropic) sont établis aux États-Unis. Ces transferts sont encadrés par les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne et/ou par le Cadre de protection des données UE-États-Unis (Data Privacy Framework), lorsque le sous-traitant y est certifié.
Vous pouvez obtenir copie des garanties mises en place pour ces transferts en contactant privacy@dossar.io.
Article 6 – Durées de conservation
Vos données sont conservées pour la durée strictement nécessaire aux finalités pour lesquelles elles ont été collectées, dans le respect des obligations légales de conservation.
| Catégorie de données | Durée de conservation |
|---|---|
| Données de compte actif | Durée du compte + 3 ans après la dernière activité |
| Données d'inscription et de transaction | 10 ans à compter de la transaction (obligation comptable, Article L. 123-22 Code de commerce) |
| Données de santé (certificat médical) | 1 an après la date de l'Événement, sauf obligation légale contraire |
| Logs de connexion et données de sécurité | 1 an (article 6-II de la LCEN) |
| Données de navigation / cookies | 13 mois maximum (recommandation CNIL) |
| Données après clôture du compte | Suppression dans les 30 jours, sauf obligations légales de conservation |
| Données d'acceptation contractuelle (IP, user-agent, timestamp) | 5 ans à compter de la date d'acceptation (durée de prescription contractuelle de droit commun — Art. 2224 Code civil) |
| Données de newsletter (consentement) | Jusqu'au désabonnement + 3 ans (preuve de consentement) |
Au terme de ces durées, vos données sont supprimées ou anonymisées.
Article 7 – Vos droits
Conformément au RGPD et à la Loi Informatique et Libertés, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès (Art. 15 RGPD) : obtenir la confirmation que des données vous concernant sont traitées et en obtenir une copie
- Droit de rectification (Art. 16 RGPD) : faire corriger des données inexactes ou incomplètes
- Droit à l'effacement (Art. 17 RGPD) : demander la suppression de vos données, sous réserve des obligations légales de conservation
- Droit à la limitation du traitement (Art. 18 RGPD) : demander la suspension de l'utilisation de vos données dans certains cas
- Droit à la portabilité (Art. 20 RGPD) : recevoir vos données dans un format structuré et lisible par machine
- Droit d'opposition (Art. 21 RGPD) : vous opposer à certains traitements, notamment à des fins de marketing direct
- Droit de retrait du consentement : à tout moment, sans que cela remette en cause la licéité des traitements antérieurs
- Directives post-mortem : donner des instructions sur le sort de vos données après votre décès
Comment exercer vos droits
Par email : privacy@dossar.io Par courrier : DOSSARIO SAS — DPO, R3F, 1 rue Mademoiselle, 75015 Paris
Nous répondrons à votre demande dans un délai d'un (1) mois à compter de sa réception. Ce délai peut être prolongé de deux mois supplémentaires en cas de demandes complexes ou multiples.
Une pièce d'identité peut vous être demandée pour vérifier votre identité avant traitement de la demande.
Réclamation auprès de la CNIL
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- En ligne : www.cnil.fr
- Par courrier : CNIL, 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
Article 8 – Sécurité
DOSSARIO met en œuvre les mesures techniques et organisationnelles appropriées pour protéger vos données contre l'accès non autorisé, la perte, la destruction accidentelle ou illicite, notamment :
- Chiffrement des données en transit (HTTPS/TLS) et au repos
- Authentification sécurisée par lien magique (sans mot de passe stocké)
- Politique de contrôle d'accès stricte (moindre privilège)
- Hébergement sur des infrastructures certifiées (Supabase / Vercel)
- Journalisation des accès et détection des anomalies
En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous notifierons l'incident à la CNIL dans les 72 heures conformément à l'article 33 du RGPD, et vous en informerons si le risque est élevé.
Article 9 – Cookies et traceurs
9.1 Types de cookies utilisés
La Plateforme utilise les cookies et traceurs suivants :
Cookies strictement nécessaires (pas de consentement requis) :
- Cookies de session et d'authentification
- Cookies de sécurité (CSRF)
- Préférences d'interface (thème clair/sombre)
Cookies analytics (consentement requis) :
- PostHog : mesure d'audience, analyse du parcours utilisateur (instance eu.posthog.com, données hébergées en UE)
Cookies de paiement (nécessaires à la transaction) :
- Stripe : cookies nécessaires au traitement sécurisé des paiements (3D Secure, détection de fraude)
9.2 Gestion du consentement
Lors de votre première visite, un bandeau de consentement aux cookies vous permet d'accepter ou de refuser les cookies non essentiels. Vous pouvez modifier votre choix à tout moment depuis les paramètres de la Plateforme (icône « Cookies » en bas de page).
La durée de validité des cookies de consentement est de 13 mois maximum (recommandation CNIL).
Article 10 – Mineurs
La Plateforme est destinée aux personnes majeures (18 ans ou plus). Les mineurs peuvent s'inscrire à des Événements uniquement avec le consentement de leur représentant légal, en vertu des règles fixées par l'Organisateur.
DOSSARIO ne collecte pas sciemment de données personnelles de personnes âgées de moins de 15 ans sans le consentement de leurs parents ou tuteurs légaux. Si nous prenons connaissance d'une collecte de données d'un mineur de moins de 15 ans sans consentement parental, nous supprimons ces données sans délai.
Article 11 – Modification de la Politique de Confidentialité
DOSSARIO se réserve le droit de modifier la présente Politique à tout moment pour l'adapter aux évolutions des Services, de la réglementation ou des recommandations de la CNIL.
Toute modification substantielle sera notifiée aux utilisateurs par email et/ou par affichage d'une notification sur la Plateforme, avec un préavis raisonnable.
La version en vigueur est celle publiée sur la Plateforme, avec la date de dernière mise à jour indiquée en en-tête.
Article 12 – Droit applicable
La présente Politique de Confidentialité est régie par le droit français et le Règlement (UE) 2016/679 (RGPD).
DOSSARIO SAS — R3F, 1 rue Mademoiselle, 75015 Paris — RCS Paris 103 192 449 — SIRET 10319244900017 Contact données personnelles : privacy@dossar.io