Accord de Traitement des Données
Data Processing Agreement (DPA) — Art. 28 RGPD
Version 1.0 · Dernière mise à jour : 7 mars 2026
Le présent Accord de Traitement des Données (ci-après, “DPA” ou “Accord”) régit le traitement des données personnelles effectué par Sphaira Tech pour le compte des clubs sportifs et entités qui souscrivent à ses services, conformément à l'article 28 du Règlement (UE) 2016/679 (RGPD) et à la législation nationale applicable en matière de protection des données.
Le présent Accord est automatiquement incorporé et fait partie des Conditions Générales d'Utilisation de Sphaira Tech. En souscrivant ou en utilisant les services de Sphaira Tech, le Club accepte les termes du présent DPA.
1. Parties à l'Accord
1.1. Sous-traitant
- Dénomination : Sphaira Tech (Alejandro Espinosa López)
- NIF : 48649484E
- Adresse : Calle Federico García Lorca 3, 30009, Murcia, Espagne
- Email : info@sphairatech.com
- Rôle RGPD : Sous-traitant (Art. 28 RGPD)
1.2. Responsable du traitement
Le club sportif, l'académie, l'association ou toute entité qui souscrit aux services de Sphaira Tech (ci-après, “le Club” ou “le Responsable”), identifié par les données fournies lors de l'inscription sur la plateforme.
- Rôle RGPD : Responsable du traitement (Art. 24 RGPD)
2. Objet, Nature et Durée
Sphaira Tech traitera les données personnelles pour le compte du Club dans le seul but de fournir les services de gestion sportive contractés, qui comprennent :
- Gestion des joueurs, équipes, entraîneurs et personnel du club
- Administration de la documentation sportive et médicale
- Gestion des paiements, cotisations et facturation
- Communications internes du club (notifications push, messages)
- Planification des entraînements, convocations et calendrier
- Analyse des statistiques et des performances sportives
- Stockage et analyse de vidéos sportives
- Fonctionnalités d'intelligence artificielle (analyse tactique, rapports)
- Scouting et évaluation des joueurs
Le présent Accord est en vigueur pendant toute la durée de la relation contractuelle entre le Club et Sphaira Tech, et prend fin lors de la cessation de cette relation, sous réserve des obligations de restitution ou de suppression des données prévues à la clause 10.
3. Catégories de Données Personnelles et de Personnes Concernées
| Catégorie de personnes concernées | Types de données traitées |
|---|---|
| Joueurs adultes (≥18 ans) | Nom, prénom, date de naissance, email, téléphone, adresse, pièce d'identité, photo de profil, données sportives (poste, numéro, équipe), statistiques de performance, présence, données de santé (blessures, bilans médicaux), données de facturation |
| Joueurs mineurs (<18 ans) | Nom, prénom, date de naissance, photo, données sportives, données de santé sportive, données du tuteur légal. Traitées exclusivement par l'intermédiaire des tuteurs légaux |
| Entraîneurs et staff technique | Nom, prénom, email, téléphone, photo, identifiants, rôle dans le club, historique d'activité sur la plateforme |
| Parents / tuteurs légaux | Nom, prénom, email, téléphone, lien avec le mineur, données de paiement (traitées par Stripe) |
| Administrateurs du club | Nom, prénom, email, téléphone, rôle, identifiants d'accès, historique d'activité administrative |
Catégories particulières de données (Art. 9 RGPD) : Sphaira Tech peut traiter des données de santé (blessures, bilans médicaux, allergies) pour le compte du Club, uniquement lorsque le Club a obtenu le consentement explicite de la personne concernée ou de son tuteur légal (Art. 9, §2, a) RGPD).
4. Instructions du Responsable du Traitement
Sphaira Tech traitera les données personnelles uniquement selon les instructions documentées du Club et ne les utilisera pas à ses propres fins étrangères à la prestation du service contracté, sauf obligation légale contraire.
Les instructions du Club sont transmises par :
- La configuration de la plateforme effectuée par l'administrateur du Club
- Les fonctionnalités activées ou désactivées par le Club dans son panneau d'administration
- Les communications écrites adressées à info@sphairatech.com
Si Sphaira Tech considère qu'une instruction du Club enfreint le RGPD ou toute autre réglementation applicable, elle en informera le Club immédiatement.
5. Obligations de Sphaira Tech en tant que Sous-traitant
Sphaira Tech s'engage à :
5.1. Confidentialité
- Garantir que les personnes autorisées à traiter les données personnelles se sont engagées à respecter la confidentialité ou sont soumises à des obligations légales de confidentialité.
- Ne pas divulguer les données du Club à des tiers sans instruction ou autorisation du Responsable, sauf obligation légale.
5.2. Mesures de sécurité techniques et organisationnelles
Mettre en œuvre des mesures de sécurité appropriées conformément à l'Art. 32 RGPD, notamment celles décrites dans la Politique de Confidentialité — Section 10 :
- Chiffrement en transit (HTTPS/TLS) et au repos (AES-256)
- Authentification sécurisée avec hachage bcrypt et jetons JWT
- Contrôle d'accès basé sur les rôles (RBAC)
- Tokenisation des données de paiement (PCI-DSS Niveau 1 via Stripe)
- Données biométriques stockées exclusivement sur l'appareil de l'utilisateur
5.3. Assistance pour les droits des personnes concernées
Assister le Club, par des mesures techniques et organisationnelles appropriées, dans l'exécution de son obligation de répondre aux demandes d'exercice de droits des personnes concernées (accès, rectification, effacement, portabilité, limitation, opposition).
Lorsqu'une personne concernée adresse une demande directement à Sphaira Tech, nous la transmettrons au Club sans retard injustifié.
5.4. Assistance pour les obligations de sécurité
Aider le Club à garantir le respect de :
- Les obligations de sécurité du traitement (Art. 32 RGPD)
- La notification des violations de données à l'autorité de contrôle (Art. 33 RGPD)
- La communication des violations de données aux personnes concernées (Art. 34 RGPD)
- La réalisation d'analyses d'impact sur la protection des données (AIPD) si nécessaire (Art. 35 RGPD)
5.5. Notification des violations de données
Sphaira Tech notifiera le Club, sans retard injustifié et en tout état de cause dans un délai maximum de 72 heures après en avoir pris connaissance, de toute violation de données personnelles affectant les données du Club, conformément à l'Art. 33 RGPD.
La notification sera envoyée à l'adresse email de l'administrateur du Club enregistrée sur la plateforme et comprendra au minimum : description de la nature de la violation, catégories et nombre approximatif de personnes concernées, conséquences probables et mesures prises ou proposées.
5.6. Mise à disposition d'informations et audits
Sphaira Tech mettra à la disposition du Club toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'Art. 28 RGPD, et permettra et contribuera à la réalisation d'audits et d'inspections par le Club ou par un auditeur désigné par lui.
Les demandes d'audit doivent être soumises avec un préavis raisonnable (minimum 30 jours calendaires) et par écrit à info@sphairatech.com. Les coûts associés aux audits sur site seront à la charge du Club.
6. Obligations du Club en tant que Responsable du Traitement
Le Club, en tant que Responsable du traitement, s'engage à :
- Avoir obtenu le consentement éclairé des personnes concernées (ou de leurs tuteurs légaux dans le cas des mineurs) avant d'introduire leurs données dans la plateforme Sphaira Tech.
- Avoir informé les personnes concernées du traitement de leurs données, y compris l'identité et les coordonnées de Sphaira Tech en tant que sous-traitant.
- Garantir que les instructions données à Sphaira Tech pour le traitement des données sont conformes au RGPD et aux autres réglementations applicables.
- Ne pas introduire dans la plateforme de données personnelles qui ne seraient pas strictement nécessaires à la gestion sportive du club.
- Garantir que seul le personnel autorisé du club accède à la plateforme et aux données des personnes concernées.
- Maintenir les données des personnes concernées à jour et gérer correctement les demandes d'exercice de droits reçues directement.
- Informer Sphaira Tech immédiatement s'il prend connaissance d'un incident susceptible d'affecter la sécurité des données.
7. Sous-traitants Ultérieurs
Le Club autorise Sphaira Tech à faire appel aux sous-traitants suivants pour la prestation des services. Sphaira Tech garantit que ces sous-traitants offrent des garanties suffisantes de conformité au RGPD et que les contrats conclus avec eux contiennent les mêmes obligations en matière de protection des données :
| Sous-traitant | Pays / Siège | Finalité | Garantie de transfert |
|---|---|---|---|
| Stripe, Inc. | États-Unis | Traitement des paiements et encaissement des cotisations | Cadre de protection des données UE-États-Unis (DPF) |
| Firebase / Google LLC | États-Unis | Envoi de notifications push | Cadre de protection des données UE-États-Unis (DPF) |
| OpenAI, Inc. | États-Unis | IA pour analyse tactique et rapports (données pseudonymisées) | Cadre de protection des données UE-États-Unis (DPF) + DPA propre |
| Backblaze, Inc. | UE (eu-central) | Stockage de vidéos sportives | Données hébergées dans l'UE |
| Google LLC (Gmail SMTP) | États-Unis | Envoi d'emails transactionnels | Cadre de protection des données UE-États-Unis (DPF) |
| Resend, Inc. | États-Unis | Envoi d'emails transactionnels | Cadre de protection des données UE-États-Unis (DPF) |
| Activa Network | France (UE) | Hébergement de la base de données principale | Données hébergées dans l'UE (pas de transfert international) |
Sphaira Tech notifiera le Club au moins 30 jours à l'avance de tout changement prévu concernant les sous-traitants. Le Club peut s'opposer à ces changements en adressant un écrit à info@sphairatech.com dans les 15 jours suivant la notification.
8. Transferts Internationaux de Données
Les transferts internationaux de données effectués par Sphaira Tech ou ses sous-traitants sont fondés sur :
- Cadre de protection des données UE-États-Unis (DPF) : reconnu comme adéquat par la Commission européenne. Les fournisseurs Stripe, Google, OpenAI et Resend sont certifiés dans le cadre de ce dispositif.
- Clauses contractuelles types (CCT) : approuvées par la Commission européenne (Décision 2021/914) comme garantie supplémentaire ou alternative le cas échéant.
- Données hébergées dans l'UE : la base de données principale et les vidéos sont hébergées sur des serveurs situés dans l'Union européenne.
Pour les données envoyées à OpenAI, une pseudonymisation automatique préalable est appliquée : les noms des joueurs, entraîneurs, équipes et lieux sont remplacés par des jetons avant l'envoi, minimisant l'exposition de données identifiables.
9. Durée de Conservation des Données
Sphaira Tech conservera les données personnelles du Club pendant le temps strictement nécessaire à la prestation des services contractés. Les durées concrètes sont celles établies dans la Politique de Confidentialité — Section 9.
En aucun cas les données ne seront conservées au-delà du délai maximum légalement admissible pour chaque type de données, sauf instruction expresse contraire du Responsable conforme à la loi.
10. Restitution ou Suppression des Données en Fin de Service
Une fois la relation contractuelle entre le Club et Sphaira Tech terminée :
- Export des données (jusqu'à 90 jours après la résiliation) : le Club peut demander l'export de toutes ses données au format standard (CSV, JSON ou PDF) dans les 90 jours suivant la résiliation du service, en adressant la demande à info@sphairatech.com.
- Suppression définitive : à l'expiration de la période d'export (ou avant si le Club le demande expressément), Sphaira Tech procédera à la suppression définitive et irrécupérable de toutes les données personnelles du Club de ses systèmes, dans un délai maximum de 30 jours.
- Confirmation de suppression : Sphaira Tech enverra au Club une confirmation écrite de la suppression complète des données une fois celle-ci effectuée.
- Conservation par obligation légale : les données devant être conservées par obligation légale (ex. : données financières pendant 5 ans) ne seront pas supprimées, mais seront bloquées et ne seront utilisées à aucune autre fin.
11. Responsabilité
Sphaira Tech sera responsable envers le Club de tout manquement aux obligations établies dans le présent DPA qui lui serait directement imputable, dans les conditions et limites établies dans les Conditions Générales — Section 10.
Le Club sera responsable envers les personnes concernées et les autorités de contrôle du respect de ses obligations en tant que Responsable du traitement, notamment l'obtention de consentements valides et la bonne information des personnes concernées.
12. Loi Applicable et Résolution des Litiges
Le présent DPA est régi par le Règlement (UE) 2016/679 (RGPD), la Loi Organique Espagnole 3/2018 (LOPDGDD) et la législation française applicable, notamment la loi Informatique et Libertés (loi n° 78-17 du 6 janvier 1978), ainsi que toute autre réglementation européenne applicable en matière de protection des données.
Pour la résolution de tout litige découlant du présent Accord, les parties se soumettent à la juridiction des Tribunaux de Murcie, Espagne, sans préjudice de la compétence de l'Agence Espagnole de Protection des Données (AEPD) en tant qu'autorité de contrôle.
13. Contact
Pour toute question relative au présent DPA ou au traitement des données dans le cadre des services de Sphaira Tech :
- Email : info@sphairatech.com (objet : “DPA / Accord de Traitement des Données”)
- Téléphone/WhatsApp : +34 623 91 17 72
- Adresse postale : Calle Federico García Lorca 3, 30009, Murcia, Espagne
Cet Accord a été mis à jour pour la dernière fois le 7 mars 2026 (version 1.0). Pour consulter nos autres politiques :