Analyse d'Impact (AIPD) - Tournoi Pickleball

Dernière mise à jour : 09/04/2026

Conformément à l'article 35 du RGPD, FUTURETECH SOLUTIONS EURL a réalisé une Analyse d'Impact relative à la Protection des Données (AIPD) pour les traitements susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes concernées.

Pourquoi une AIPD ?
La plateforme tournoipickleball.fr traite des données de mineurs, des données de géolocalisation et des images de personnes, ce qui nécessite une évaluation approfondie des risques conformément aux lignes directrices du CEPD et aux critères de la CNIL.

1. Description du traitement

1.1 Responsable du traitement

Organisme : FUTURETECH SOLUTIONS EURL
DPO : dpo@tournoipickleball.fr

1.2 Finalités du traitement

#	Finalité	Base légale
F1	Gestion des comptes utilisateurs et authentification	Exécution du contrat (Art. 6.1.b)
F2	Inscription et participation aux tournois de pickleball	Exécution du contrat (Art. 6.1.b)
F3	Traitement des paiements via Stripe	Exécution du contrat (Art. 6.1.b)
F4	Gestion du droit à l'image (photos/vidéos des tournois)	Consentement (Art. 6.1.a)
F5	Affichage dans l'annuaire des joueurs et profils publics	Intérêt légitime (Art. 6.1.f)
F6	Communications transactionnelles et notifications	Exécution du contrat (Art. 6.1.b)
F7	Newsletter et communications marketing	Consentement (Art. 6.1.a)
F8	Statistiques de fréquentation (Google Analytics)	Consentement (Art. 6.1.a)

1.3 Catégories de données

Catégorie	Données	Sensibilité
État civil	Nom, prénom, date de naissance, genre	Élevée
Contact	Email, téléphone	Élevée
Localisation	Ville, pays, adresses de tournois (lat/long)	Élevée
Images	Photos de profil, photos/vidéos de tournois	Très élevée
Financières	Historique de paiements, montants	Élevée
Sportives	Niveaux, résultats, classements	Modérée
Techniques	Adresse IP, user-agent, logs de connexion	Modérée

1.4 Personnes concernées

Joueurs adultes : utilisateurs inscrits sur la plateforme
Joueurs mineurs (15-17 ans) : inscription autonome conformément à l'Art. 8 RGPD
Joueurs mineurs (< 15 ans) : inscription avec accord du représentant légal — population vulnérable
Organisateurs de tournois : créateurs de contenu et gestionnaires d'événements
Arbitres et bénévoles : accès via tokens nominatifs

1.5 Sous-traitants

Voir la page Accords de Sous-traitance (DPA) pour les détails complets.

2. Critères déclencheurs de l'AIPD

L'AIPD est requise car le traitement remplit les critères suivants (lignes directrices du CEPD WP 248 rév.01) :

Critère CEPD	Applicable ?	Justification
Données de personnes vulnérables	Oui	Traitement de données de mineurs (< 18 ans)
Données à grande échelle	Potentiel	Plateforme ouverte à un grand nombre de joueurs
Données de géolocalisation	Oui	Adresses de tournois avec coordonnées GPS (lat/long)
Utilisation d'images	Oui	Photos de profil et photos/vidéos de tournois
Évaluation/scoring	Partiel	Classements sportifs et niveaux de jeu
Croisement de données	Non	Pas de croisement avec des sources externes
Décisions automatisées	Non	Aucune décision automatisée ayant un effet juridique

Conclusion : Au moins 2 critères sont remplis (personnes vulnérables + géolocalisation + images), ce qui rend l'AIPD obligatoire.

3. Nécessité et proportionnalité

3.1 Minimisation des données

Principe	Mise en œuvre
Données obligatoires limitées	Seuls nom, prénom, email, date de naissance, genre et ville sont obligatoires — strictement nécessaires à l'organisation de tournois sportifs catégorisés par âge et genre
Données optionnelles	Téléphone, réseaux sociaux, licence, description sont facultatifs
Droit à l'image facultatif	Consentement séparé, par tournoi, retirable à tout moment
Newsletter opt-in	Pas de case pré-cochée, consentement explicite

3.2 Durées de conservation

Données	Durée	Justification
Compte utilisateur	Durée du compte + 3 ans	Délai de prescription
Données de paiement	10 ans	Obligation comptable (Code de commerce)
Inscriptions tournois	5 ans après le tournoi	Historique sportif et comptable
Logs de connexion	1 an	Sécurité, conformité LCEN
Logs emails	2 ans	Traçabilité des communications
Consentement image	3 ans (renouvelable)	Recommandations CNIL

Une commande de purge automatique (app:purge-rgpd-logs) est programmée pour supprimer les logs au-delà de leur durée de conservation.

4. Analyse des risques

4.1 Risques identifiés

Risque	Gravité	Vraisemblance	Niveau	Mesures d'atténuation
R1 : Accès non autorisé aux données personnelles (fuite de base de données)	Élevée	Faible	Moyen	Mots de passe hashés (bcrypt) UUIDs publics non prédictibles Hébergement OVHcloud certifié ISO 27001 Chiffrement HTTPS/TLS APIs protégées par authentification
R2 : Diffusion non autorisée d'images de mineurs	Très élevée	Faible	Élevé	Consentement obligatoire et séparé pour l'image Consentement parental requis pour < 15 ans Retrait possible à tout moment Notification automatique DPO + organisateur au retrait Âge exact jamais affiché pour les mineurs
R3 : Usurpation d'identité suite à une fuite de données	Élevée	Faible	Moyen	Email et téléphone jamais affichés publiquement Date de naissance non visible publiquement Mots de passe hashés (non réversible) Protection CSRF sur tous les formulaires
R4 : Transfert non sécurisé vers les États-Unis (Stripe)	Moyenne	Faible	Faible	Stripe certifié EU-US Data Privacy Framework CCT en complément Aucune donnée bancaire stockée localement PCI DSS Niveau 1
R5 : Perte de données (crash serveur, suppression accidentelle)	Moyenne	Faible	Faible	Sauvegardes automatiques OVHcloud Redondance des systèmes Hébergement en datacenter certifié
R6 : Exploitation des données des mineurs à des fins malveillantes	Très élevée	Très faible	Moyen	Tranche d'âge affichée au lieu de l'âge exact Annuaire accessible uniquement aux utilisateurs authentifiés UUIDs non prédictibles empêchant l'énumération Aucune recherche par âge n'est exposée
R7 : Profilage non consenti via géolocalisation	Moyenne	Très faible	Faible	Géolocalisation utilisée uniquement pour localiser les tournois sur la carte Pas de tracking des déplacements des utilisateurs Pas de croisement de données de localisation

5. Mesures de sécurité existantes

5.1 Mesures techniques

Chiffrement HTTPS/TLS de toutes les communications
Hashage bcrypt des mots de passe
Identifiants publics UUID v4 non prédictibles
Protection CSRF sur tous les formulaires
Sessions sécurisées (SameSite=Lax, Secure=auto, lifetime=2j)
APIs protégées par authentification
Hashage des PINs (superviseurs, pointage)
Tokens à usage unique avec expiration

5.2 Mesures organisationnelles

DPO désigné et joignable
Politique de confidentialité détaillée et publique
Politique de cookies conforme CNIL avec Tarteaucitron
Procédure de notification de violation documentée
Registre des activités de traitement
DPA formalisés avec les sous-traitants
Logging des actions sensibles (ActivityLog)
Purge automatique des logs après expiration de la durée de conservation

5.3 Droits des personnes

Droit d'accès : export JSON complet depuis l'espace personnel
Droit de rectification : modification du profil en ligne
Droit à l'effacement : suppression de compte avec anonymisation
Droit à la limitation : activation/désactivation depuis l'espace personnel
Droit à la portabilité : export JSON structuré
Droit d'opposition : désinscription newsletter, contact DPO

6. Risques résiduels

Risque résiduel	Niveau après mesures	Acceptation
R1 : Accès non autorisé	Faible	Accepté
R2 : Images de mineurs	Moyen	Accepté avec vigilance renforcée
R3 : Usurpation d'identité	Faible	Accepté
R4 : Transfert USA	Faible	Accepté
R5 : Perte de données	Faible	Accepté
R6 : Données mineurs	Faible	Accepté
R7 : Géolocalisation	Faible	Accepté

7. Conclusion

L'analyse d'impact démontre que les traitements mis en œuvre par tournoipickleball.fr respectent les principes du RGPD. Les mesures techniques et organisationnelles en place réduisent les risques identifiés à un niveau acceptable.

Les points de vigilance particuliers portent sur :

La protection renforcée des données des mineurs, qui fait l'objet de mesures spécifiques (consentement parental, tranche d'âge, etc.)
Le droit à l'image, encadré par un système de consentement granulaire par tournoi avec possibilité de retrait

Cette AIPD sera révisée annuellement ou en cas de modification significative des traitements.

8. Validation

Réalisé par	DPO — dpo@tournoipickleball.fr
Date de réalisation	09/04/2026
Prochaine révision	09/04/2027
Approuvé par	Responsable de traitement — FUTURETECH SOLUTIONS EURL

Consulter notre Politique de Confidentialité | Consulter le Registre des Traitements