Politique de Confidentialité
Dernière mise à jour : 15 mars 2026
La présente Politique de Confidentialité décrit la manière dont Apex(ci-après « nous », « notre ») collecte, utilise et protège vos données personnelles conformément au Règlement Général sur la Protection des Données (RGPD — Règlement (UE) 2016/679).
1. Responsable du traitement
Le responsable du traitement des données est la société éditrice de Apex, dont les coordonnées figurent sur la page Mentions Légales.
2. Données collectées
Nous collectons les catégories de données suivantes :
2.1 Données d'identification
- Nom, prénom
- Adresse email
- Photo de profil (optionnel)
2.2 Données de connexion
- Mot de passe (stocké sous forme de hachage sécurisé)
- Adresse IP
- Agent utilisateur (navigateur)
- Dates et heures de connexion
2.3 Données relatives aux pilotes
- Nom, prénom, date de naissance, nationalité
- Catégorie, numéro de dossard, licence
- Données physiques (poids, taille) — optionnel
- Contact d'urgence
- Performances : temps au tour, classements, statistiques
2.4 Données d'utilisation
- Journaux d'audit (actions effectuées dans l'application)
- Préférences de notification
- Données de navigation et cookies
3. Finalités du traitement
Vos données sont traitées pour les finalités suivantes :
- Fourniture du service : création de compte, gestion des équipes, suivi des performances
- Sécurité : authentification, prévention des fraudes, journalisation
- Communication : notifications relatives au service, alertes événements
- Amélioration du service : analyse statistique anonymisée de l'utilisation
- Obligations légales : facturation, conservation des preuves de consentement
4. Bases légales du traitement
- Exécution du contrat (Art. 6.1.b RGPD) : traitement nécessaire à la fourniture du service
- Consentement (Art. 6.1.a RGPD) : cookies analytiques et marketing, communications promotionnelles
- Intérêt légitime (Art. 6.1.f RGPD) : sécurité du service, amélioration de la plateforme
- Obligation légale (Art. 6.1.c RGPD) : conservation des données de facturation
5. Cookies
5.1 Cookies essentiels
Ces cookies sont nécessaires au fonctionnement de la Plateforme (authentification, préférences de session). Ils ne peuvent pas être désactivés.
5.2 Cookies analytiques
Ces cookies nous permettent de mesurer l'audience et de comprendre comment la Plateforme est utilisée. Ils sont soumis à votre consentement.
5.3 Cookies marketing
Ces cookies sont utilisés pour vous proposer des publicités personnalisées. Ils sont soumis à votre consentement.
Vous pouvez gérer vos préférences de cookies à tout moment via la bannière de consentement ou les paramètres de votre navigateur.
6. Durée de conservation
- Données de compte : conservées pendant toute la durée de l'abonnement, puis 3 ans après la suppression du compte
- Données de performance : conservées pendant la durée de l'abonnement de l'équipe
- Journaux d'audit : conservés pendant 1 an
- Données de facturation : conservées pendant 10 ans (obligation légale)
- Cookies : durée maximale de 13 mois conformément aux recommandations de la CNIL
7. Partage des données
Vos données personnelles ne sont pas vendues ni cédées à des tiers. Elles peuvent être partagées avec :
- Hébergeur (Railway) : pour le stockage sécurisé des données — infrastructure située aux États-Unis
- Prestataire de paiement (Stripe) : pour le traitement des transactions — les données bancaires ne transitent pas par nos serveurs
- Service d'email transactionnel (Resend) : pour l'envoi de notifications et emails de vérification — seuls l'adresse email et le prénom sont transmis
- Moteur de recherche interne (Meilisearch) : pour la recherche rapide dans l'application — seuls les noms de pilotes, circuits et événements sont indexés, hébergé sur nos serveurs
- Génération de rapports par IA (Anthropic / Claude) : pour rédiger le récit d'analyse de course, seuls les noms des pilotes et leurs statistiques de performance (temps au tour, positions, relais) sont transmis. Aucune donnée bancaire, de contact ou de santé n'est envoyée, et ces données ne sont pas utilisées pour entraîner les modèles. Fournisseur situé aux États-Unis
- Chronométrage en direct (Apex Timing) : pour la capture automatique des temps au tour lors de vos événements — les données de chronométrage sont collectées via les systèmes de timing des circuits et associées à vos pilotes inscrits
- Autorités compétentes : en cas d'obligation légale
8. Transferts internationaux
Certains de nos sous-traitants (Railway, Anthropic, Stripe) sont situés aux États-Unis, ce qui implique un transfert de données hors de l'Union Européenne. Ces transferts sont encadrés par les garanties appropriées prévues par le RGPD (clauses contractuelles types de la Commission européenne et, le cas échéant, certification EU-US Data Privacy Framework du sous-traitant).
9. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données :
- Chiffrement en transit : toutes les communications sont protégées par HTTPS/TLS
- Chiffrement au repos : le contact d'urgence des pilotes — susceptible de contenir les coordonnées d'un tiers (par exemple un parent ou responsable légal) — est chiffré en base de données via AES-256-GCM. Les autres données personnelles sont protégées par le chiffrement en transit (TLS), un contrôle d'accès strict et l'isolation stricte des données par équipe
- Hachage des mots de passe : algorithme bcrypt avec sel aléatoire
- Contrôle d'accès : système RBAC (Role-Based Access Control) avec 7 niveaux de permissions
- Authentification forte : support de l'authentification à deux facteurs (2FA/TOTP)
- Journalisation : toutes les opérations sur les données sont tracées dans un journal d'audit
- Notification de violation : en cas de violation de données, nous notifions la CNIL sous 72 heures conformément à l'article 33 du RGPD, et les personnes concernées si le risque est élevé (article 34)
10. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès : obtenir une copie de vos données personnelles
- Droit de rectification : corriger des données inexactes ou incomplètes
- Droit à l'effacement : demander la suppression de vos données (« droit à l'oubli »)
- Droit à la portabilité : recevoir vos données dans un format structuré et lisible par machine
- Droit d'opposition : vous opposer au traitement de vos données à des fins de marketing
- Droit à la limitation : demander la restriction du traitement dans certains cas
- Droit de retirer votre consentement : à tout moment, sans affecter la licéité du traitement basé sur le consentement avant son retrait
Pour exercer ces droits, rendez-vous dans les Paramètres de votre compte ou contactez-nous à : mbayeg1niang@gmail.com
11. Réclamation
Si vous estimez que le traitement de vos données constitue une violation du RGPD, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) — www.cnil.fr.
12. Modification de la politique
Nous nous réservons le droit de modifier la présente politique à tout moment. Toute modification significative fera l'objet d'une notification dans l'application.
13. Contact
Délégué à la Protection des Données (DPO) :
Email : mbayeg1niang@gmail.com