Accords de Sous-traitance (DPA) - Tournoi Pickleball

Dernière mise à jour : 09/04/2026

Conformément à l'article 28 du Règlement Général sur la Protection des Données (RGPD), FUTURETECH SOLUTIONS EURL, en tant que responsable de traitement, a formalisé des accords de sous-traitance (Data Processing Agreements - DPA) avec chacun de ses sous-traitants.

Ce document résume les engagements de chaque sous-traitant en matière de protection des données personnelles.

1. Stripe, Inc. — Traitement des paiements

Sous-traitant	Stripe, Inc.
Siège social	354 Oyster Point Blvd, South San Francisco, CA 94080, États-Unis
Finalité du traitement	Traitement sécurisé des paiements par carte bancaire pour les inscriptions aux tournois
Données traitées	Email de l'acheteur, montant de la transaction, identifiants de session Stripe, métadonnées de paiement (ID tournoi, catégories)
Données bancaires	Numéro de carte, date d'expiration, CVV — traitées exclusivement par Stripe, jamais stockées sur nos serveurs
Localisation des données	États-Unis / Union Européenne
Garanties de transfert	Certification EU-US Data Privacy Framework (décision d'adéquation de la Commission Européenne du 10 juillet 2023) Clauses Contractuelles Types (CCT) de la Commission Européenne en complément
Certifications sécurité	PCI DSS Niveau 1 (plus haut niveau de certification pour le traitement de cartes)
DPA Stripe	stripe.com/fr/legal/dpa
Politique de confidentialité	stripe.com/fr/privacy
Durée de conservation	Conformément aux obligations réglementaires de Stripe et à notre politique (10 ans pour les données de facturation)
Mesures techniques	Chiffrement TLS, tokenisation des données de carte, audits de sécurité réguliers

Engagements contractuels de Stripe (Art. 28 RGPD)

Traitement uniquement sur instruction documentée du responsable de traitement
Garantie de confidentialité par les personnes autorisées à traiter les données
Mise en œuvre des mesures de sécurité appropriées (Art. 32 RGPD)
Assistance dans le cadre des demandes d'exercice des droits des personnes concernées
Notification en cas de violation de données
Suppression ou restitution des données à l'issue de la prestation
Mise à disposition des informations nécessaires pour démontrer la conformité

2. Brevo (ex-Sendinblue) — Envoi d'emails et SMS

Sous-traitant	Brevo (Sendinblue SAS)
Siège social	106 boulevard Haussmann, 75008 Paris, France
Finalité du traitement	Envoi d'emails transactionnels (confirmations d'inscription, notifications de partenariat, réinitialisation de mot de passe) et SMS le cas échéant
Données traitées	Adresse email du destinataire, nom du destinataire, objet de l'email, paramètres du template (nom du tournoi, catégorie, etc.)
Localisation des données	France / Union Européenne — aucun transfert hors UE
Certifications	ISO 27001, conformité RGPD native
DPA Brevo	brevo.com/fr/legal — DPA
Politique de confidentialité	brevo.com/fr/legal/privacypolicy
Durée de conservation	Logs d'envoi conservés 30 jours par Brevo, puis supprimés. Notre historique local : 2 ans (EmailLog)
Mesures techniques	Chiffrement TLS des communications, authentification DKIM/SPF/DMARC, stockage chiffré

Engagements contractuels de Brevo (Art. 28 RGPD)

Traitement uniquement pour l'envoi des communications demandées
Aucune utilisation des données à des fins de marketing propre
Personnel soumis à obligation de confidentialité
Notification sous 48h en cas de violation de données
Mise en œuvre des mesures de sécurité conformes à l'Art. 32 RGPD
Assistance à la réalisation d'analyses d'impact (AIPD)
Suppression des données à la cessation du contrat

3. OVHcloud — Hébergement

Sous-traitant	OVH SAS (OVHcloud)
Siège social	2 rue Kellermann, 59100 Roubaix, France
Finalité du traitement	Hébergement de l'infrastructure serveur, stockage des bases de données et des fichiers
Données hébergées	Ensemble des données personnelles de la plateforme (comptes utilisateurs, inscriptions, paiements, photos, logs)
Localisation des données	France — datacenter(s) situé(s) en France
Certifications	ISO 27001, ISO 27017, ISO 27018, SOC 1 Type II, SOC 2 Type II, HDS (Hébergeur de Données de Santé), SecNumCloud
DPA OVHcloud	ovhcloud.com/fr/personal-data-protection
Politique de confidentialité	ovhcloud.com — Privacy Policy
Durée de conservation	Données hébergées aussi longtemps que le contrat est actif. Suppression à la résiliation conformément aux conditions contractuelles.
Mesures techniques	Sécurité physique des datacenters (contrôle d'accès, vidéosurveillance, détection incendie) Redondance réseau et alimentation électrique Protection anti-DDoS Chiffrement des disques au repos Sauvegardes automatisées

Engagements contractuels d'OVHcloud (Art. 28 RGPD)

Traitement uniquement selon les instructions du responsable de traitement
Garantie que le personnel est soumis à une obligation de confidentialité
Mise en œuvre des mesures de sécurité appropriées
Recours à d'éventuels sous-traitants ultérieurs uniquement avec autorisation préalable
Assistance pour répondre aux demandes d'exercice des droits
Notification rapide en cas de violation de données personnelles
Suppression ou restitution de toutes les données à la fin du contrat
Mise à disposition des informations nécessaires aux audits de conformité

4. Récapitulatif des garanties

Sous-traitant	Localisation	Transfert hors UE	Garanties	DPA formalisé
Stripe	USA / UE	Oui	EU-US DPF + CCT	Oui
Brevo	France / UE	Non	ISO 27001	Oui
OVHcloud	France	Non	ISO 27001, SecNumCloud, HDS	Oui

5. Vos droits

Vous pouvez obtenir une copie des garanties appropriées encadrant les transferts de données en contactant notre DPO :

Email : dpo@tournoipickleball.fr
Courrier : FUTURETECH SOLUTIONS EURL - DPO - Chemin du Magnanon, 83440 Montauroux, France

Consulter notre Politique de Confidentialité