Politique de confidentialité
Dernière mise à jour : avril 2026
1. Responsable du traitement
Le responsable du traitement des données personnelles collectées via le Service Lympex est :
Olivier SIMONNEAU, auto-entrepreneur
E-mail : legal@lympex.com
Pour toute question relative à la protection de vos données personnelles, contactez-nous à l'adresse ci-dessus.
2. Données collectées
Lympex collecte les données personnelles suivantes :
Données de compte
- Adresse e-mail (identifiant de connexion et communications)
- Nom complet
- Mot de passe (haché via bcrypt — jamais stocké en clair)
- Date et heure de création du compte
- Statut de vérification de l'e-mail
Données de facturation
- Plan d'abonnement actif
- Identifiant client Stripe (référence externe — aucune donnée bancaire stockée chez Lympex)
- Historique des événements de facturation (type d'opération, montant, date)
Données d'utilisation du service
- Organisations créées (nom, identifiants)
- Compétitions, épreuves et résultats de matchs créés
- Noms des participants et membres d'équipes (données saisies par l'Utilisateur)
- Logs d'invitation
Données techniques
- Adresse IP (collectée automatiquement par le serveur, conservée selon les logs standards)
- Cookies techniques essentiels (voir Politique des cookies)
3. Finalités et bases légales du traitement
| Finalité | Base légale (RGPD Art. 6) |
|---|---|
| Création et gestion de votre compte | Exécution d'un contrat (Art. 6.1.b) |
| Fourniture du Service (gestion des compétitions) | Exécution d'un contrat (Art. 6.1.b) |
| Facturation et gestion des abonnements | Exécution d'un contrat (Art. 6.1.b) |
| Envoi d'e-mails transactionnels (vérification, réinitialisation, invitations) | Exécution d'un contrat (Art. 6.1.b) |
| Lutte contre la fraude et sécurité du Service | Intérêt légitime (Art. 6.1.f) |
| Respect des obligations légales et comptables | Obligation légale (Art. 6.1.c) |
| Communications commerciales et newsletters (V2) | Consentement (Art. 6.1.a) |
4. Durées de conservation
- Données de compte actif : conservées pendant toute la durée de vie du compte.
- Données après suppression du compte : supprimées dans un délai de 30 jours, sauf obligation légale.
- Données de facturation : conservées 10 ans à compter de la transaction (obligation comptable légale).
- Tokens de vérification/réinitialisation : supprimés à utilisation ou après expiration (1 heure).
- Logs techniques : conservés au maximum 12 mois.
5. Destinataires et sous-traitants
Lympex ne vend pas et ne loue pas vos données personnelles à des tiers. Les données sont partagées uniquement avec les sous-traitants suivants, dans le cadre strictement nécessaire à la fourniture du Service :
| Sous-traitant | Pays | Rôle / Données partagées |
|---|---|---|
| Stripe, Inc. | États-Unis | Traitement des paiements. Couvert par les Clauses Contractuelles Types (CCT) de la Commission Européenne. |
| Resend, Inc. | États-Unis | Envoi d'e-mails transactionnels (adresse e-mail, contenu du message). Couvert par les CCT. |
| Hébergeur VPS | Europe (TODO) | Hébergement du Service et de la base de données. Données hébergées en Europe. |
Pour les transferts vers les États-Unis (Stripe, Resend), des garanties appropriées ont été mises en place conformément à l'article 46 du RGPD (Clauses Contractuelles Types).
6. Vos droits (RGPD)
Conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679), vous disposez des droits suivants concernant vos données personnelles :
- Droit d'accès (Art. 15) : obtenir une copie de vos données personnelles traitées.
- Droit de rectification (Art. 16) : corriger des données inexactes ou incomplètes.
- Droit à l'effacement (Art. 17) : demander la suppression de vos données (« droit à l'oubli »), sous réserve des obligations légales de conservation.
- Droit à la portabilité (Art. 20) : recevoir vos données dans un format structuré et lisible par machine.
- Droit d'opposition (Art. 21) : vous opposer à un traitement basé sur l'intérêt légitime.
- Droit à la limitation (Art. 18) : demander la suspension du traitement dans certains cas.
Pour exercer ces droits, contactez-nous à legal@lympex.com. Nous répondrons dans un délai maximum de 30 jours. Une pièce d'identité pourra être demandée pour vérifier votre identité.
En cas de réponse insatisfaisante, vous avez le droit d'introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr
7. Sécurité des données
Lympex met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles contre la perte, l'accès non autorisé, la divulgation ou la modification :
- Mots de passe hachés avec bcrypt (facteur de coût élevé)
- Communications chiffrées via HTTPS/TLS
- Accès à la base de données restreint (réseau interne Docker uniquement)
- Tokens de session à durée limitée (JWT)
- Isolation multi-tenant appliquée au niveau applicatif
En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à notifier la CNIL dans les 72 heures (Art. 33 RGPD) et à vous en informer sans délai injustifié si le risque est élevé (Art. 34 RGPD).
8. Cookies
Le Service utilise uniquement des cookies techniques essentiels au fonctionnement du site (session d'authentification, préférences). Aucun cookie de traçage publicitaire ou analytique tiers n'est utilisé.
Pour plus de détails, consultez notre Politique des cookies.
9. Données des participants à vos compétitions
Lorsque vous saisissez des noms de participants dans le Service, vous agissez en tant que responsable du traitement pour ces données. Lympex agit alors en qualité de sous-traitant au sens de l'article 28 du RGPD.
Il vous appartient de vous assurer que vous disposez d'une base légale pour traiter ces données (ex : consentement des participants, intérêt légitime dans le cadre d'une activité sportive associative) et de les informer de leur traitement.
Lympex ne traitera ces données qu'aux fins de fourniture du Service et ne les transmettra pas à des tiers sans votre accord.
10. Modifications de la politique
La présente politique peut être mise à jour pour refléter des évolutions légales ou du Service. En cas de modification substantielle, vous serez notifié par e-mail au moins 30 jours avant l'entrée en vigueur des changements.