Politique de confidentialité

Responsable du traitement : Mizu
Délégué à la protection des données (DPO) : laurent@strategymove.ch
Version de la politique : 1.0-20260529
Dernière mise à jour : 2026-06-08

1. Cadre légal et bases légales

Cette politique respecte la nouvelle Loi fédérale suisse sur la protection des données (nLPD) entrée en vigueur le 1er septembre 2023, ainsi que le Règlement Général sur la Protection des Données (RGPD, UE) applicable aux résidents UE.

Les bases légales de nos traitements sont :

Exécution du contrat (Art.31 al.2 let.a nLPD) — inscription, paiement, suivi des cours
Obligation légale (Art.31 al.2 let.c nLPD) — comptabilité (CO 957a, 10 ans)
Consentement explicite (Art.7 nLPD) — newsletter, tracking analytique, Google Analytics
Intérêt légitime (Art.31 al.2 let.f nLPD) — sécurité, prévention fraude, logs accès

2. Catégories de données traitées

Catégorie	Données	Finalité
Identité	Nom, prénom, date de naissance, sexe, nationalité	Inscription, licence fédérale
Contact	Email, téléphone, adresse postale	Communications opérationnelles
Représentants légaux	Nom, email des parents/tuteurs (mineurs)	Autorité parentale
Paiement	Montants, références bancaires, historique factures	Comptabilité, suivi cotisations
Santé (sensible)	Contre-indications cours privés	Sécurité moniteur — chiffré (Fernet)
AVS (sensible)	Numéro AVS (employés/moniteurs)	Obligations sociales — chiffré (Fernet)
Technique	Logs accès, IP hachée (HMAC), user-agent	Sécurité (Art.24 nLPD), 90 jours max
Préférences	Newsletter opt-in, tracking opt-in, cookies	Personnalisation et consentement

3. Durées de conservation

Type	Durée	Justification
Données de membre actif	Durée du contrat	Exécution du contrat
Paiements, factures, écritures comptables	10 ans	CO 957a (obligation comptable)
Documents pièces (licences, certificats)	Saison + 1 an	Justification administrative
Logs d'accès (`journal_acces`)	90 jours	Sécurité (Art.24 nLPD)
Tokens magic link, sessions	24h	Sécurité authentification
Cookies de consentement	6 mois	Standard PFPDT / CNIL
Données après résiliation	Anonymisation in-place + paiements 10 ans	nLPD Art.32 + CO 957a

4. Destinataires des données et sous-traitants

Vos données sont accessibles uniquement aux personnes autorisées du club et à nos sous-traitants techniques, dans le cadre strict des finalités définies :

Sous-traitant	Pays	Finalité	Mécanisme transfert
Infomaniak	Suisse	Hébergement, email SMTP	Législation suisse (nLPD)
kDrive (Infomaniak)	Suisse	Stockage fichiers (uploads)	Législation suisse (nLPD)
Stripe	États-Unis	Traitement paiements en ligne	Clauses contractuelles types (CCT) + Privacy Framework
Acuity Scheduling	États-Unis	Réservation RDV cours privés	Clauses contractuelles types (CCT)
Squarespace	États-Unis	E-commerce (catalogue articles)	Clauses contractuelles types (CCT)

5. Sécurité technique

Chiffrement TLS 1.3 sur toutes les communications (HTTPS strict)
Chiffrement at-rest (Fernet) pour les données sensibles : AVS, téléphones, contre-indications santé
Isolation multi-tenant stricte via PostgreSQL Row Level Security (RLS FORCE — 156 tables)
Authentification à deux facteurs (TOTP) obligatoire pour le staff
Logs d'accès avec IP hachée HMAC (minimisation Art.6)
Audit régulier ACL endpoints (script audit_acl.py) + RLS (pg_class)

6. Vos droits (Art.25-32 nLPD / Art.15-22 RGPD)

Vous disposez à tout moment des droits suivants :

Droit d'accès (Art.25 nLPD / Art.15 RGPD) : obtenir une copie de vos données
Droit de rectification (Art.26 nLPD / Art.16 RGPD) : corriger les données inexactes
Droit à l'effacement (Art.32 nLPD / Art.17 RGPD) : demander la suppression (anonymisation)
Droit à la portabilité (Art.28 nLPD / Art.20 RGPD) : export structuré (JSON)
Droit d'opposition (Art.30 nLPD / Art.21 RGPD) : retrait du consentement marketing
Droit de limitation (Art.18 RGPD) : suspension temporaire du traitement
Droit de réclamation auprès du Préposé fédéral à la protection des données (PFPDT)

Pour exercer ces droits :

Depuis votre espace membre (boutons dédiés)
Par email au DPO : laurent@strategymove.ch
Délai de réponse : maximum 30 jours (Art.25 al.3 nLPD)

7. Cookies

Nous utilisons les catégories de cookies suivantes :

🔧 Essentiels (toujours actifs) : session, CSRF, identification tenant
📊 Analytics (opt-in) : mesure d'audience interne anonymisée
📣 Communications (opt-in) : newsletter, notifications

Durée des cookies de consentement : 6 mois. Vous pouvez modifier vos choix à tout moment via le lien 🍪 Modifier mes préférences cookies.

8. Notification de violation

En cas de violation de la sécurité des données entraînant un risque élevé pour vos droits, vous serez informé(e) sous 72 heures conformément à l'art.24 nLPD et 33 RGPD. Notre runbook interne détaille notre procédure de réponse.

9. Mineurs

Pour les membres mineurs, le consentement est donné par le représentant légal (parent ou tuteur). Les données des représentants sont conservées sous la même protection que celles des membres.

10. Modifications de cette politique

Cette politique peut évoluer. Toute modification majeure déclenchera une nouvelle demande de consentement via le bandeau cookies. Vous serez également informé(e) par notification dans votre espace membre.

11. Contact

Délégué à la protection des données (DPO) :
Email : laurent@strategymove.ch

— Fin du document —

⚠️ Veuillez lire la politique jusqu'au bout avant d'accepter.