Politique de confidentialité

Dernière mise à jour : 27 avril 2026

1. Qui sommes-nous ?

Pépite & Citron est une application web progressive (PWA) permettant aux membres d'une équipe de désigner le meilleur joueur (⭐ Pépite) et le joueur avec le match le plus difficile (🍋 Citron) après chaque rencontre sportive.

Éditeur et responsable du traitement : Pépite & Citron
Contact : privacy@pepite-citron.com

2. Données collectées

Nous collectons uniquement les données strictement nécessaires au fonctionnement du service :

Données de compte — adresse e-mail et mot de passe (haché, jamais stocké en clair) lors de la création d'un compte administrateur ou membre.
Noms de joueurs — les prénoms que vous saisissez pour composer votre effectif. Nous recommandons l'utilisation de prénoms ou de pseudonymes plutôt que de noms complets.
Votes — le choix de vote (Pépite / Citron) associé à une session anonyme. Aucun vote n'est rattaché à une identité nominative pour les participants invités.
Données de paiement (plan Pro) — traitées exclusivement par Stripe. Nous ne stockons jamais vos coordonnées bancaires.
Données de diagnostic — si vous avez consenti à l'envoi de rapports d'erreur (Sentry), des informations techniques anonymisées (type d'erreur, navigateur, URL de la page) peuvent être collectées automatiquement en cas de bug.

Nous ne collectons ni données de géolocalisation, ni liste de contacts, ni informations biométriques. L'application ne contient aucun traceur publicitaire.

3. Finalités et bases légales (RGPD)

Exécution du contrat — création et gestion de votre compte, fourniture du service de vote, traitement du paiement Pro.
Intérêt légitime — surveillance de la qualité du service (rapports d'erreur Sentry), sécurité applicative.
Obligation légale — conservation des données de facturation conformément aux obligations fiscales belges (7 ans).

4. Sous-traitants et transferts

Vos données peuvent être traitées par les sous-traitants suivants :

Supabase Inc. (États-Unis) — base de données PostgreSQL, authentification, synchronisation temps réel. Données hébergées dans la région AWS eu-west-3 (Paris). Politique Supabase →
Vercel Inc. (États-Unis) — hébergement de l'application web. Certains logs de requêtes peuvent être traités temporairement aux États-Unis. Politique Vercel →
Stripe Inc. (États-Unis) — traitement des paiements pour le plan Pro. Stripe est certifié PCI-DSS niveau 1. Politique Stripe →
Functional Software, Inc. (Sentry) (États-Unis) — surveillance des erreurs applicatives. Utilisé uniquement si VITE_SENTRY_DSN est configuré. Politique Sentry →

Les transferts hors Union Européenne s'effectuent sur la base des Clauses Contractuelles Types (CCT) approuvées par la Commission européenne.

5. Durée de conservation

Données de compte — conservées jusqu'à la suppression du compte, puis effacées sous 30 jours.
Données de vote et de match — conservées tant que l'organisation est active. Supprimées sur demande ou lors de la résiliation du compte.
Données de facturation — 7 ans à compter de la transaction (obligation légale).
Journaux d'erreurs (Sentry) — 90 jours glissants.

6. Sécurité

Les communications entre votre appareil et nos serveurs sont chiffrées via HTTPS (TLS 1.2+). Les mots de passe sont hachés avec bcrypt par Supabase Auth avant toute persistance. Les règles de sécurité au niveau des lignes (Row-Level Security, RLS) de PostgreSQL garantissent que chaque utilisateur n'accède qu'aux données de sa propre organisation.

7. Vos droits (RGPD)

Vous disposez des droits suivants sur vos données personnelles :

Droit d'accès — obtenir une copie des données vous concernant.
Droit de rectification — corriger des données inexactes ou incomplètes.
Droit à l'effacement — demander la suppression de votre compte et de vos données.
Droit à la portabilité — recevoir vos données dans un format structuré (JSON/CSV).
Droit d'opposition — vous opposer à un traitement basé sur l'intérêt légitime.
Droit à la limitation — restreindre temporairement l'utilisation de vos données.

Pour exercer ces droits, contactez-nous à privacy@pepite-citron.com. Nous répondrons dans un délai maximum de 30 jours.

Vous pouvez également introduire une réclamation auprès de l' Autorité de protection des données (APD) : autoriteprotectiondonnees.be.

8. Cookies et stockage local

L'application utilise le stockage local du navigateur (localStorage) uniquement pour mémoriser vos préférences locales (thème, jeton de session invité). Aucun cookie de traçage ou publicitaire n'est déposé.

Supabase Auth stocke le jeton de session dans localStorage pour maintenir votre connexion entre les visites. Ce jeton expire automatiquement.

9. Mineurs

Le service est destiné à des adultes. Conformément à la loi belge du 30 juillet 2018, nous ne collectons pas sciemment de données concernant des enfants de moins de 13 ans sans le consentement de leurs parents ou tuteurs légaux. Si vous pensez qu'un enfant nous a fourni des informations personnelles, contactez-nous immédiatement.

10. Modifications

Nous pouvons mettre à jour cette politique pour refléter des changements dans notre service ou la réglementation applicable. En cas de modification substantielle, un bandeau d'information sera affiché dans l'application lors de votre prochaine connexion.

La date de dernière mise à jour figure en tête de ce document.

11. Contact

Pour toute question relative à la protection de vos données personnelles :
📧 privacy@pepite-citron.com