Se rendre au contenu
Menu

Politique de Confidentialité

1. Rôles et Responsabilités

ChronoKey (Sous-traitant)

Nous fournissons la solution technique de chronométrage. Nous traitons les données uniquement pour le compte de l'organisateur.

L'Organisateur (Responsable de traitement)

L'association ou l'entité qui organise l'événement est responsable de la collecte initiale des données et du respect de vos droits.

2. Données Collectées et Bases Légales

Conformément à l'article 13 du RGPD, nous vous informons de la finalité et de la base juridique de chaque traitement.

Participants

  • Prénom et Nom
  • Genre
  • Date de naissance (pour le calcul des catégories d'âge)
  • Performances sportives (temps de passage, classement)
  • Adresse e-mail — uniquement si l'organisateur active la fonctionnalité d'auto-pointage et souhaite envoyer le lien d'accès personnel au participant
Base légale : Article 6.1.b RGPD — Exécution du contrat de service de chronométrage souscrit par l'organisateur. Ces données sont strictement nécessaires à la production des résultats et des classements.
Note : L'adresse e-mail, lorsqu'elle est collectée, est utilisée exclusivement pour l'envoi du lien d'accès à l'espace participant. Elle n'est jamais utilisée à des fins commerciales.

Auto-pointage participant (fonctionnalité optionnelle)

Lorsqu'un organisateur active la fonctionnalité d'auto-pointage sur un checkpoint, les données supplémentaires suivantes peuvent être collectées au moment du scan du QR code :

  • Coordonnées GPS (latitude, longitude) — uniquement si le participant autorise l'accès à sa localisation dans son navigateur, et uniquement au moment du scan
  • Précision du signal GPS en mètres (indicateur de fiabilité)
  • Horodatage GPS fourni par l'appareil
  • Marquage « suspect » — indicateur interne visible uniquement de l'organisateur, déclenché si la localisation est incohérente, si la précision GPS est insuffisante, ou si l'ordre des passages n'est pas respecté
Base légale : Article 6.1.f RGPD — Intérêt légitime de l'organisateur à garantir l'intégrité des résultats sportifs et à prévenir la triche lors d'une compétition.
Important : La localisation GPS n'est jamais collectée en continu — elle est capturée ponctuellement, uniquement lors du scan du QR code du checkpoint.

Organisateurs

  • Adresse e-mail
  • Mot de passe (stocké sous forme hachée, non lisible)
  • Nom d'affichage
  • Fuseau horaire
Base légale : Article 6.1.b RGPD — Exécution du contrat d'utilisation de la plateforme ChronoKey.

Bénévoles

  • Nom (optionnel)
  • Adresse e-mail (optionnelle)
  • Historique des pointages effectués via token sécurisé
Base légale : Article 6.1.b RGPD — Exécution de la mission de chronométrage confiée par l'organisateur.

Données techniques et logs

  • Adresse IP (collectée lors des requêtes)
  • Données de navigation en cas d'erreur applicative (navigateur, URL, trace d'erreur)
Base légale : Article 6.1.f RGPD — Intérêt légitime de ChronoKey à sécuriser la plateforme, détecter les bugs, prévenir les fraudes et assurer la fiabilité du chronométrage.

3. Destinataires des Données

Vos données ne sont jamais vendues. Elles sont transmises aux seuls destinataires ci-dessous, dans la limite de ce qui est strictement nécessaire.

Le public — résultats de course

Les résultats des participants (prénom, nom, temps de passage, classement et catégorie) sont accessibles publiquement sur la page de classement de l'événement, conformément à la pratique habituelle des compétitions sportives et à la volonté de l'organisateur de diffuser les résultats.

Si vous souhaitez que vos résultats soient anonymisés, contactez directement l'organisateur de l'événement (voir section 1) ou exercez votre droit à l'effacement (voir section 7).

L'organisateur de l'événement

En tant que responsable de traitement, l'organisateur a accès à l'intégralité des données des participants, bénévoles et équipes de son événement.

ChronoKey (sous-traitant technique)

Notre équipe technique accède aux données uniquement pour l'exploitation, la maintenance et le support de la plateforme.

4. Sous-traitants et Transferts hors UE

Nous faisons appel à des sous-traitants techniques dont certains sont établis hors de l'Union européenne. Ces transferts sont encadrés par des garanties appropriées conformément au chapitre V du RGPD.

OVH — Hébergement

Nos serveurs sont hébergés par OVH SAS (France). Toutes les données sont stockées dans des datacenters situés à Strasbourg (France), au sein de l'Union européenne. Aucun transfert hors UE pour cet hébergement.

Sentry — Monitoring des erreurs

Nous utilisons Sentry (Functional Software Inc., États-Unis) pour détecter et analyser les erreurs applicatives. En cas d'erreur, Sentry collecte des données techniques limitées : adresse IP, type de navigateur, URL de la page, et trace d'erreur. Ces données ne sont pas utilisées à des fins publicitaires.

Ce transfert vers les États-Unis est encadré par des Clauses Contractuelles Types (CCT) approuvées par la Commission européenne et par le cadre EU-US Data Privacy Framework (DPF).

Politique de confidentialité de Sentry →

Google Fonts — Polices de caractères

Notre site utilise la police Ubuntu via le CDN Google Fonts (Google LLC, États-Unis). Lors du chargement de chaque page, votre navigateur envoie une requête aux serveurs de Google, ce qui implique la transmission de votre adresse IP à Google.

Ce transfert vers les États-Unis est encadré par le cadre EU-US Data Privacy Framework (DPF), auquel Google adhère. Google déclare ne pas utiliser ces données à des fins publicitaires dans ce contexte.

Politique de confidentialité de Google →

5. Stockage et Cookies

Cookies de session

Nous n'utilisons que des cookies de session strictement nécessaires au fonctionnement de la plateforme. Aucun cookie publicitaire ou de traçage n'est déposé.

Stockage local (localStorage / IndexedDB)

Votre navigateur stocke localement, à votre seule initiative, les préférences et données suivantes :

  • Vos coureurs favoris (page résultats publics)
  • Votre token d'accès bénévole ou participant
  • Les pointages en attente de synchronisation (mode hors-ligne) — stockés dans IndexedDB, chiffrés par le navigateur, et supprimés automatiquement après synchronisation réussie

Ces données restent sur votre appareil et ne sont jamais transmises à nos serveurs sauf action explicite de votre part (synchronisation).

Cookie de session participant

Lors de la connexion à l'espace participant via le lien reçu par e-mail, un cookie de session strictement nécessaire est déposé sur votre appareil. Ce cookie est protégé (HttpOnly, SameSite=Strict) et expire automatiquement à la fin de la validité de votre accès. Il ne contient aucune donnée personnelle directement lisible.

6. Sécurité et Conservation

Mesures de sécurité

  • Pointages protégés par signature HMAC-SHA256 (intégrité garantie, infalsifiables)
  • Tokens d'accès (bénévoles et participants) chiffrés en base avec AES-256-GCM — le token en clair ne touche jamais la base de données
  • Authentification par hash SHA-256 du token : un dump de la base ne permet pas de se connecter
  • Horodatage des pointages validé côté serveur : toute tentative de falsification de l'heure du scan est détectée et le pointage est refusé ou marqué suspect
  • Géo-fence configurable : l'organisateur peut définir un périmètre GPS autour d'un checkpoint pour détecter les auto-pointages réalisés à distance
  • Surveillance applicative en temps réel via Sentry pour détecter toute anomalie ou tentative de fraude
  • Communications chiffrées via HTTPS (TLS)

Durées de conservation

  • Résultats et données participants : conservés pendant la durée de l'événement, puis anonymisés automatiquement 30 jours après la fin de la course (cron RGPD). L'anonymisation efface le nom complet, la date de naissance, les adresses IP de pointage et les coordonnées GPS collectées lors de l'auto-pointage.
  • Comptes organisateurs : conservés tant que le compte est actif, puis supprimés sur demande ou après 3 ans d'inactivité.
  • Tokens d'accès participants : valides uniquement pendant la durée définie par l'organisateur, puis expirés automatiquement.
  • Logs Sentry : conservés 90 jours maximum, conformément à la politique de rétention par défaut de Sentry.

7. Vos Droits

Conformément au RGPD (articles 15 à 22), vous disposez des droits suivants sur vos données personnelles : accès, rectification, effacement, limitation du traitement, portabilité et opposition. Vous pouvez également introduire une réclamation auprès de la CNIL.

Droit à l'anonymisation (résultats)

Si vous souhaitez que vos résultats ne soient plus publiquement identifiables, les organisateurs peuvent anonymiser vos données (ex : Jean Dupont devient J. D.) tout en préservant l'intégrité du classement. Lors de cette anonymisation, les données suivantes sont également effacées de manière irréversible : le nom complet, la date de naissance, les adresses IP de pointage, ainsi que toutes les coordonnées GPS collectées lors des auto-pointages (latitude, longitude, précision, horodatage GPS). Contactez directement l'organisateur de l'événement concerné ou écrivez-nous.

Droit de retrait du consentement GPS

Si vous avez utilisé la fonctionnalité d'auto-pointage, vous pouvez à tout moment désactiver l'accès à votre localisation dans les paramètres de votre navigateur. Les scans suivants seront enregistrés sans coordonnées GPS et marqués comme non vérifiables géographiquement.

Contact

Pour toute question ou exercice de vos droits, contactez-nous :

contact@chronokey.fr