SSETLY

Politique de confidentialité

Dernière mise à jour : 6 mai 2026

1. Introduction

Setly accorde une grande importance à la protection de vos données personnelles. La présente Politique de confidentialité décrit comment nous collectons, utilisons et protégeons vos données dans le cadre de l'utilisation du Service Setly, conformément au Règlement Général sur la Protection des Données (RGPD) et à la Loi Informatique et Libertés.

2. Responsable du traitement

Le responsable du traitement des données est Killian Meyniel, éditeur de Setly.

Contact : setly.padel@gmail.com

3. Données collectées

Setly collecte les données suivantes :

Données d'identification

  • Nom, prénom
  • Adresse email
  • Numéro de téléphone (optionnel)
  • Mot de passe (hashé avec bcrypt)

Données sportives (joueurs)

  • Numéro de licence FFT
  • Rang de classement FFT
  • Historique des tournois disputés
  • Résultats et points FFT obtenus

Données de paiement

  • Les coordonnées bancaires sont gérées exclusivement par Stripe, certifié PCI-DSS niveau 1.
  • Setly ne stocke jamais les numéros de carte, CVV ou IBAN.
  • Nous conservons uniquement un identifiant Stripe (stripePaymentId) pour le suivi des paiements.

Données techniques et de mesure d'audience

  • Adresse IP (anonymisée pour la mesure d'audience, complète pour la sécurité et le rate limiting)
  • User-agent et informations navigateur
  • Pages consultées, temps passé, clics et scrolls (uniquement si vous avez accepté les cookies analytics)
  • Enregistrements de session anonymisés (Microsoft Clarity, uniquement avec consentement)

4. Finalités du traitement

Vos données sont collectées et traitées pour les finalités suivantes :

  • Fourniture du Service : création et gestion de votre compte, organisation et participation aux tournois.
  • Gestion des paiements : traitement des inscriptions joueurs via Stripe (Stripe Connect pour le reversement aux arbitres, application_fee Setly de 2 € par joueur).
  • Communications transactionnelles : confirmations d'inscription, rappels, convocations, résultats (via Resend).
  • Notifications SMS : rappels et convocations (via Twilio, options spécifiques).
  • Support : réponse à vos demandes via email ou formulaire de contact.
  • Sécurité : prévention des abus, détection des anomalies, rate limiting.
  • Mesure d'audience et amélioration UX : compréhension du comportement utilisateur via Google Analytics 4 et Microsoft Clarity (sous réserve de votre consentement, cf. section 11).

5. Base légale du traitement

  • Exécution du contrat (art. 6.1.b RGPD) : pour la fourniture du Service et le traitement des paiements.
  • Consentement (art. 6.1.a RGPD) : pour les cookies analytiques (GA4, Clarity), les cookies marketing et les communications marketing.
  • Intérêt légitime (art. 6.1.f RGPD) : pour la sécurité, la prévention des fraudes et l'amélioration du Service.
  • Obligation légale (art. 6.1.c RGPD) : conservation des factures et documents comptables.

6. Durée de conservation

  • Données de compte : conservées tant que le compte est actif, puis supprimées dans un délai de 30 jours après résiliation.
  • Données de tournoi : archivées 3 ans à des fins statistiques et pour le calcul des classements FFT.
  • Factures et données comptables : 10 ans (obligation légale française).
  • Logs techniques : 12 mois maximum.
  • Cookies de session : 30 jours maximum.
  • Cookies analytiques (GA4) : 14 mois maximum.
  • Enregistrements de session (Clarity) : 90 jours maximum.
  • Choix de consentement cookies : 13 mois (recommandation CNIL), puis re-demandé.

7. Destinataires des données (sous-traitants)

Vos données peuvent être communiquées aux sous-traitants suivants, qui agissent strictement sur nos instructions :

Infrastructure et fonctionnement

  • Vercel (hébergement de l'application web), siège : États-Unis
  • Neon (base de données PostgreSQL), Europe (Frankfurt)
  • Stripe (paiements en ligne et reversements Connect), Irlande / États-Unis
  • Resend (envoi des emails transactionnels), États-Unis
  • Twilio (envoi de SMS, sur options), États-Unis

Mesure d'audience (uniquement avec votre consentement)

  • Google Tag Manager (chargeur de tags), États-Unis. Permet d'orchestrer les outils analytiques sans toucher au code.
  • Google Analytics 4 (mesure d'audience anonymisée), États-Unis. Mesure le nombre de visiteurs, les pages consultées et les conversions.
  • Microsoft Clarity (heatmaps et enregistrements de session anonymisés), États-Unis. Les inputs sensibles (mots de passe, CB) sont masqués automatiquement.

Utilisateurs autorisés

  • Organisateurs de tournois (juges-arbitres) : pour les joueurs, l'arbitre organisateur a accès aux données nécessaires à l'organisation (nom, email, rang FFT, etc.).
  • Autorités compétentes : en cas de demande légale (police, justice, administration fiscale).

Nous ne vendons, ne louons et ne cédons jamais vos données à des tiers à des fins commerciales.

8. Transferts hors Union Européenne

Certains de nos sous-traitants (Vercel, Stripe, Resend, Twilio, Google, Microsoft) sont basés aux États-Unis. Les transferts de données vers ces prestataires sont encadrés par :

  • Le Data Privacy Framework (DPF) UE–États-Unis pour les sous-traitants certifiés (Google, Microsoft, Stripe, Vercel sont certifiés DPF).
  • Les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne.
  • Des mesures techniques et organisationnelles supplémentaires (chiffrement en transit et au repos, anonymisation des IP, masquage des inputs sensibles).

9. Sécurité

Setly met en œuvre des mesures techniques et organisationnelles pour garantir la sécurité de vos données :

  • Chiffrement TLS (HTTPS) pour toutes les communications.
  • Hashage bcrypt des mots de passe (pas de stockage en clair).
  • Authentification JWT sécurisée (NextAuth.js).
  • Base de données PostgreSQL chiffrée au repos (Neon).
  • Rate limiting pour prévenir les abus.
  • Audits réguliers du code source.
  • Consent Mode v2 (Google) qui bloque par défaut tout traçage avant votre consentement.

10. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

  • Droit d'accès : obtenir une copie de vos données personnelles.
  • Droit de rectification : corriger des données inexactes ou incomplètes.
  • Droit à l'effacement (« droit à l'oubli ») : demander la suppression de vos données.
  • Droit à la limitation : suspendre temporairement le traitement.
  • Droit à la portabilité : récupérer vos données dans un format structuré.
  • Droit d'opposition : vous opposer au traitement pour motif légitime.
  • Droit de retirer votre consentement à tout moment (cf. section 11 pour les cookies).
  • Droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr).

Pour exercer ces droits, contactez-nous à setly.padel@gmail.com. Nous répondrons sous 30 jours maximum.

11. Cookies et traceurs

Setly utilise différentes catégories de cookies. Au premier accès, une bannière de consentement vous permet d'accepter, refuser ou personnaliser votre choix. Vous pouvez modifier vos préférences à tout moment en effaçant les cookies de votre navigateur, ce qui réaffichera la bannière.

Cookies strictement nécessaires (toujours actifs)

Indispensables au fonctionnement du Service. Pas de consentement requis (CNIL).

  • NextAuth JWT : maintien de votre session connectée. Durée : 30 jours.
  • CSRF Token : protection contre les attaques inter-sites. Durée : session.
  • Stripe : sécurité des paiements et anti-fraude. Durée : variable selon Stripe.
  • setly-consent-v1 : mémoire de votre choix de consentement cookies. Durée : 13 mois.

Cookies de mesure d'audience (consentement requis)

Activés uniquement si vous avez cliqué « Accepter » ou « Personnaliser → Analytics » dans la bannière.

  • Google Tag Manager (GTM) : container qui orchestre les autres outils analytiques. Aucune donnée envoyée tant que vous n'avez pas consenti grâce au Consent Mode v2.
  • Google Analytics 4 (GA4), _ga, _ga_VC410HR97D : mesure d'audience (visiteurs, pages vues, conversions). IP anonymisée. Durée : 14 mois max.
  • Microsoft Clarity, _clck, _clsk : heatmaps et enregistrements de session anonymisés. Les champs sensibles (mots de passe, numéros de carte) sont masqués automatiquement par Clarity. Durée : 90 jours max.

Cookies marketing (consentement requis)

Aucun cookie marketing actuellement déposé. La catégorie est préparée pour de futurs outils (Meta Pixel, Google Ads conversion) qui ne seront activés que si vous y consentez explicitement.

Conformément aux recommandations CNIL, le refus est aussi simple que l'acceptation (un seul clic), et votre choix est mémorisé pour 13 mois maximum.

12. Modification de la politique

Setly se réserve le droit de modifier la présente Politique de confidentialité. Les utilisateurs seront informés par email ou via le Service en cas de modifications substantielles.

13. Contact

Pour toute question relative à cette politique ou à l'exercice de vos droits :