Athlète ? Réunis tous tes résultats

Politique de confidentialité

Dernière mise à jour : 5 juillet 2026

Préambule

Electron Board (« la Plateforme ») est un service en ligne qui permet à des salles de sport (« Box ») d'organiser des compétitions de CrossFit et de publier les résultats sous forme de leaderboard public. La présente politique décrit comment nous traitons les données personnelles dans le cadre de ce service, en conformité avec le Règlement Général sur la Protection des Données (RGPD) et la loi Informatique et Libertés.

1. Responsable de traitement

COWABUNGA (SAS, RCS Besançon B 898 199 476)
6 rue de la Fontaine, 25480 École-Valentin, France
Email : contact@electronboard.app

2. Nos rôles juridiques

Selon les données concernées et la fonctionnalité utilisée, nous intervenons avec des rôles juridiques différents. Trois cas se distinguent :

  • Pour les comptes administrateurs(organisateurs qui s'inscrivent eux-mêmes sur la Plateforme) et pour le Compte athlète (voir ci-après), nous sommes responsable de traitement : nous décidons des finalités et des moyens du traitement.
  • Pour les données d'athlètes saisies par une Box (mode forfait) ou collectées lors d'une inscription en billetterie, l'Organisateur est responsable de traitement et nous agissons en sous-traitantau sens de l'article 28 du RGPD. L'Organisateur décide qui inscrire, quelles informations renseigner et combien de temps les conserver. Nous ne traitons ces données que selon ses instructions, dans les limites du service.
  • Pour le Compte athlète (espace athlète), nous sommes responsable de traitement. Lorsqu'un athlète revendique son identité, crée son espace authentifié et y consulte son historique de participations, c'est nous qui décidons des finalités et des moyens de ce traitement, sur la base du consentement explicite recueilli auprès de l'athlète.

Une même donnée (par exemple le prénom, le nom ou la date de naissance d'un athlète) peut être traitée sous deux casquettes distinctes : par l'Organisateur, responsable des données d'inscription qu'il collecte pour son événement, et par la Plateforme, responsable de l'identité globale de l'athlète au sein de son espace personnel. Ces deux traitements répondent à des finalités, des bases légales et des durées de conservation propres.

Les Organisateurs utilisant la Plateforme s'engagent contractuellement (CGU article 6.2) à respecter le RGPD vis-à-vis des athlètes qu'ils inscrivent.

3. Données collectées

3.1 Comptes administrateurs

  • Adresse email
  • Mot de passe (haché de façon irréversible par notre fournisseur d'authentification, jamais stocké en clair)
  • Nom de la Box, ville, code postal, logo (optionnel)
  • Date de création du compte, horodatage des connexions

3.2 Données d'athlètes (saisies par les Box)

  • Nom, prénom
  • Genre (M / F)
  • Date de naissance
  • Box d'affiliation (texte libre)
  • Ville, code postal
  • Taille de t-shirt (optionnel)
  • Notes administratives (champ libre, à la discrétion de la Box)
  • Résultats sportifs : temps, répétitions, classements
  • Photo de la feuille de juge (optionnel)

3.3 Données techniques

  • Logs serveur (adresse IP, user-agent, requêtes) à des fins de sécurité
  • Données de monitoring d'erreurs (Sentry), anonymisées autant que possible

3.4 Données d'inscription (billetterie)

Lorsqu'un Organisateur ouvre une billetterie, les athlètes s'inscrivent eux-mêmes et règlent leur participation. À ce stade, et pour chaque participant, sont collectées les données suivantes :

  • Prénom, nom
  • Sexe (M / F)
  • Date de naissance
  • Adresse email : obligatoire pour le Payeur (en solo, l'athlète lui-même ; en équipe, le capitaine), afin de transmettre le justificatif de paiement et la confirmation d'inscription ; optionnelle pour les coéquipiers, où elle sert à l'envoi du lien de signature de la Décharge
  • Box d'affiliation (texte libre, optionnel)
  • Pour un participant mineur (lorsque l'événement autorise l'inscription en ligne des mineurs) : le nom et l'adresse email de son représentant légal, l'email du tuteur servant à l'envoi de la décharge à signer. L'email propre du mineur, s'il est renseigné, n'est utilisé que pour lui permettre de créer ultérieurement son Compte athlète
  • Réponses aux champs personnalisés définis par l'Organisateur (texte, liste de choix ou case à cocher, par exemple la taille de t-shirt)
  • Acceptation horodatée de la Décharge rédigée par l'Organisateur

Pour ces données d'inscription, l'Organisateur est responsable de traitement et la Plateforme agit en sous-traitant (article 28 du RGPD). L'inscription en billetterie s'effectue sans création de compte sur la Plateforme.

3.5 Compte athlète et identité globale

L'espace athlète est un espace personnel authentifié, distinct des comptes administrateurs. Il permet à un athlète de revendiquer son identité (ou de la créer s'il n'a jamais concouru), de donner un consentement explicite au traitement de ses données, puis de consulter son historique de participations, tous événements et Box confondus (compétitions en solo et en équipe, classements, scores par épreuve, coéquipiers) ainsi que des statistiques dérivées. À cette fin, nous traitons :

  • L'adresse email principale, qui sert de clé d'identité
  • L'identité de l'athlète : prénom, nom, sexe, date de naissance
  • La Box d'affiliation actuelle
  • Le consentement RGPD horodaté donné par l'athlète
  • L'historique agrégé de ses participations, classements et résultats sportifs, rapprochés depuis les événements auxquels il a pris part
  • Les adresses email secondaires que l'athlète choisit de vérifier pour rattacher automatiquement d'autres résultats ; le code de vérification de ces adresses n'est conservé que sous forme d'empreinte cryptographique (hachage SHA-256), jamais en clair

Le rapprochement de résultats appartenant à un même athlète (réconciliation) est assisté et réversible : une preuve forte (vérification d'une adresse email additionnelle par code à usage unique) déclenche une fusion ; une reconnaissance plus faible reste réversible. Aucune fusion silencieuse de profils d'homonymes n'est opérée.

Pour le Compte athlète, la Plateforme est responsable de traitement. La suppression du compte, accessible depuis l'espace athlète, supprime les identifiants d'authentification et anonymise le profil (les données personnelles sont purgées). Les résultats sportifs restent affichés sur les classements publics, mais dissociés de toute identité (voir les sections « 5. Publication publique des résultats » et « 8. Durée de conservation »).

3.6 Données de paiement (billetterie)

Les paiements d'inscription en billetterie sont traités par notre prestataire de services de paiement, Stripe Payments Europe, Ltd. Le règlement s'effectue sur une page de paiement hébergée par Stripe ; les fonds sont encaissés directement sur le compte de l'Organisateur, qui est le vendeur. La Plateforme prélève uniquement sa Commission (« frais de service ») et ne détient à aucun moment les fonds des inscrits.

La Plateforme ne collecte ni ne stocke aucune donnée bancaire (numéro de carte, cryptogramme). Ces données sont traitées exclusivement par Stripe, conformément à ses propres engagements de conformité. Les conditions financières de la billetterie (frais de service, remboursements) sont détaillées dans les Conditions de la billetterie.

4. Finalités et bases légales

DonnéeFinalitéBase légale
Compte adminAuthentification, accès au serviceExécution du contrat (CGU)
Données athlètes (saisies par une Box)Organisation de la compétitionDécidée par l'Organisateur (responsable de traitement)
Données d'inscription (billetterie)Inscription et participation à l'événementDécidée par l'Organisateur (responsable de traitement)
Compte athlète (identité globale, historique)Fourniture de l'espace athlète et de l'historique cross-boxConsentement de l'athlète et exécution du service
Données de paiement (billetterie)Encaissement de l'inscription et de la commissionExécution du contrat de vente ; obligation légale (comptabilité)
Résultats publiésAffichage du leaderboard publicIntérêt légitime de l'Organisateur
Logs serveurSécurité, prévention de la fraudeIntérêt légitime
Cookies de sessionMaintien de la session, CSRFNécessité technique

L'Organisateur, en tant que responsable de traitement, choisit la base légale applicable aux données d'inscription des athlètes (consentement, intérêt légitime de l'organisateur, ou exécution d'un contrat d'inscription). Pour le Compte athlète, la Plateforme retient le consentement explicite de l'athlète, recueilli et horodaté lors de la création de l'espace.

5. Publication publique des résultats

Les événements en statut « en cours » et « clôturé » sont publics par défaut sur electronboard.app/events et sur les pages de leaderboard /e/[ID]. Cette publication inclut :

  • Le nom et le prénom de l'athlète (ou le nom d'équipe)
  • Sa catégorie
  • Sa Box d'affiliation
  • Ses résultats sportifs (temps, répétitions, classement)
  • Éventuellement la photo de sa feuille de juge

La publication est inhérente à la nature même du service. Les Box s'engagent à informer les athlètes de cette publication au moment de l'inscription.

6. Destinataires et sous-traitants

Sous-traitantRôleLocalisation
SupabaseBase de données, authentification, stockageUE (Frankfurt)
VercelHébergement applicatifUE + États-Unis
ResendEnvoi d'emails transactionnelsUE
Stripe (Stripe Payments Europe, Ltd)Traitement des paiements de la billetterieUE (Irlande)
SentryMonitoring d'erreursUE + États-Unis
AnthropicAnalyse IA de texte (parsing WOD)États-Unis (CCT applicables)

Stripe Payments Europe, Ltd (1 Grand Canal Street Lower, Dublin, Irlande) intervient comme prestataire de services de paiement pour la billetterie. Pour les données strictement liées au paiement, Stripe agit en qualité de responsable de traitement autonome (notamment au titre de ses obligations de connaissance client et de lutte contre la fraude). La Plateforme ne lui transmet aucune donnée bancaire, celle-ci étant saisie directement par le payeur sur l'environnement de Stripe.

Aucune donnée n'est cédée ni vendue à des tiers à des fins commerciales.

7. Transferts hors Union européenne

Vercel et Sentry sont des sociétés américaines. Les transferts éventuels vers les États-Unis sont encadrés par les Clauses Contractuelles Types (CCT/SCC) de la Commission européenne. La base de données principale reste hébergée dans la région européenne de Supabase (Frankfurt, Allemagne).

Stripe contracte via son entité européenne (Stripe Payments Europe, Ltd, Irlande). Les transferts éventuels au sein du groupe Stripe, notamment vers Stripe, Inc. aux États-Unis, sont encadrés par les Clauses Contractuelles Types et les garanties propres à Stripe.

8. Durée de conservation

DonnéeDurée
Compte admin actifTant que le compte existe
Compte admin inactif > 24 moisSuppression ou anonymisation
Données athlètes (saisies par une Box)Sous la responsabilité de l'Organisateur ; supprimées sur demande
Données d'inscription (billetterie)Sous la responsabilité de l'Organisateur ; liées à l'événement concerné
Décharges signéesConservées avec l'événement auquel elles se rapportent
Compte athlète (identité globale)Tant que le compte existe ; anonymisation à la suppression du compte
Données de facturation de la Commission (billetterie)10 ans (obligation comptable légale)
Résultats d'événements clôturésArchivage public sans limite (le leaderboard est l'historique de la compétition) ; dissociés de toute identité après suppression du compte athlète
Logs serveur12 mois
Données de monitoring90 jours

9. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

  • Droit d'accès (Art. 15) — obtenir une copie de vos données
  • Droit de rectification (Art. 16) — corriger des données inexactes
  • Droit à l'effacement (Art. 17) — supprimer vos données (sous réserve des archivages légaux)
  • Droit à la limitation du traitement (Art. 18)
  • Droit à la portabilité (Art. 20) — recevoir vos données dans un format structuré et exploitable
  • Droit d'opposition (Art. 21)
  • Droit de retirer votre consentement à tout moment, lorsque la base légale est le consentement

Pour les athlètes inscrits par une Box, adressez en priorité vos demandes à la Box concernée (responsable de traitement). À défaut de réponse sous 30 jours, vous pouvez nous contacter à contact@electronboard.app.

Vous pouvez introduire une réclamation auprès de la CNIL (www.cnil.fr).

10. Mineurs

La Plateforme permet aux Box d'inscrire des athlètes mineurs (catégories Teen). Les Box qui inscrivent des mineurs s'engagent à recueillir le consentement préalable des représentants légaux et à respecter les dispositions spécifiques du RGPD applicables aux mineurs.

En mode billetterie, l'Organisateur détermine, pour chaque événement, si l'inscription en ligne des mineurs est ouverte. Lorsqu'elle l'est, le consentement du représentant légal du mineur (et l'acceptation de la décharge) est recueilli au cours du parcours d'inscription, à la place de celui du mineur ; à défaut, le parcours refuse les participants mineurs (voir les Conditions de la billetterie).

11. Cookies et traceurs

Nous utilisons exclusivement des cookies strictement nécessaires au fonctionnement du service :

  • Cookie de session d'authentification (Supabase)

Aucun cookie publicitaire, ni cookie de mesure d'audience non exempté de consentement n'est déposé. Aucun bandeau de consentement n'est donc requis (recommandation CNIL).

12. Sécurité

Les données sont protégées par :

  • Chiffrement TLS de bout en bout (HTTPS uniquement)
  • Chiffrement au repos par notre prestataire d'infrastructure
  • Mots de passe hachés de façon irréversible (jamais stockés en clair)
  • Cloisonnement par politiques d'accès au niveau base de données (Row-Level Security)
  • Journalisation des accès administratifs

En cas de violation de données présentant un risque pour vos droits, nous notifierons la CNIL sous 72 heures et informerons les personnes concernées si nécessaire.

13. Modifications

Toute modification substantielle de la présente politique sera notifiée par email aux titulaires de comptes actifs au moins 30 jours avant son entrée en vigueur.

14. Contact

Email : contact@electronboard.app
Adresse postale : 6 rue de la Fontaine, 25480 École-Valentin, France