Dernière mise à jour : 29 avril 2026 — Cette politique décrit comment vos données personnelles sont collectées, utilisées et protégées dans le cadre de la billetterie en ligne pour le Grand Spectacle de Gymnastique — Hommage aux Sapeurs-Pompiers des 11 et 13 novembre 2026.
1. Responsable du traitement
Le responsable du traitement des données personnelles collectées via ce site est :
2. Données personnelles collectées
Lors de l'utilisation de la billetterie, nous collectons les données suivantes :
| Donnée | Finalité | Caractère |
|---|
| Nom, prénom | Identification du titulaire du billet | Obligatoire |
| Adresse email | Envoi des billets, contact | Obligatoire |
| Numéro de téléphone | Contact en cas d'imprévu | Facultatif |
| Données de carte bancaire | Paiement (gérées exclusivement par Stripe) | Obligatoire si paiement CB |
| Justificatif d'invalidité (PMR) | Validation de l'éligibilité au tarif PMR | Obligatoire si tarif PMR |
| Mot de passe (hashé) | Authentification au compte utilisateur | Obligatoire pour les comptes |
| Question/réponse secrète | Récupération de mot de passe | Facultatif |
| Adresse IP, journaux techniques | Sécurité, prévention des abus | Automatique |
3. Finalités du traitement
- Gestion des réservations : enregistrement, confirmation, génération des billets
- Contrôle d'accès : validation à l'entrée du spectacle via QR code
- Contact client : confirmation, modification, annulation, support
- Comptabilité et facturation : conservation des justificatifs comptables
- Sécurité du site : prévention des fraudes, des intrusions et des abus
- Validation PMR : vérification du justificatif pour l'attribution des places dédiées
4. Base légale
- Exécution d'un contrat (article 6.1.b RGPD) : la collecte des données nécessaires à la réservation et au contrôle d'accès
- Obligation légale (article 6.1.c RGPD) : conservation des justificatifs comptables (10 ans, article L.123-22 Code de commerce)
- Consentement explicite (article 9.2.a RGPD) : pour le traitement des données de santé (justificatif PMR)
- Intérêt légitime (article 6.1.f RGPD) : sécurité du site, prévention des fraudes
5. Destinataires des données
Vos données sont communiquées uniquement aux personnes suivantes :
- Équipe organisatrice de l'Association Gymnastique Thaon-les-Vosges (admin du site)
- Stripe Payments Europe Ltd (Irlande) — sous-traitant pour le paiement par carte bancaire. Stripe est certifié PCI DSS Level 1. Aucune donnée bancaire n'est stockée sur nos serveurs. Politique Stripe
- o2switch (France) — hébergeur des données. Datacenter situé en France, données soumises au RGPD européen.
Aucune donnée n'est revendue, louée ou transmise à des fins commerciales à des tiers. Aucun transfert hors Union européenne n'est effectué.
6. Durée de conservation
| Donnée | Durée |
|---|
| Réservation, billets, contrôle d'accès | 1 an après le spectacle (à des fins de service après-vente) |
| Justificatifs comptables (factures, paiements) | 10 ans (obligation légale) |
| Compte utilisateur inactif | 3 ans après la dernière connexion, puis suppression |
| Justificatif PMR | Supprimé immédiatement après validation/refus |
| Logs techniques (IP, journal admin) | 1 an maximum |
| Tokens d'authentification (cookie JWT) | 7 jours, renouvelés à chaque connexion |
7. Vos droits (RGPD)
Conformément au Règlement Général sur la Protection des Données (UE 2016/679), vous disposez des droits suivants :
- Droit d'accès — obtenir la copie de vos données
- Droit de rectification — corriger une donnée inexacte
- Droit à l'effacement ("droit à l'oubli") — demander la suppression de vos données, sauf obligation légale de conservation
- Droit à la limitation du traitement
- Droit d'opposition au traitement
- Droit à la portabilité — recevoir vos données dans un format structuré
- Droit de retirer votre consentement à tout moment (sans effet rétroactif)
8. Cookies et stockage local
Le site utilise un nombre minimal de cookies et de stockages locaux :
- Cookie d'authentification (JWT) — strictement nécessaire au fonctionnement de votre compte. Durée : 7 jours. Pas de partage avec des tiers.
- localStorage du navigateur — préférence de thème (clair/sombre), panier en cours. Stockage uniquement local, jamais transmis.
- Cookies Stripe — uniquement lors du paiement, pour la prévention de fraude. Régis par la politique cookies Stripe.
Aucun cookie publicitaire, analytics tiers ou traceur de réseau social n'est utilisé.
9. Sécurité
Nous mettons en œuvre les mesures techniques suivantes :
- Chiffrement HTTPS (TLS 1.3) sur l'ensemble du site
- Mots de passe stockés en bcrypt (jamais en clair)
- Tokens d'authentification signés (HMAC SHA-256)
- QR codes signés pour empêcher la fabrication de faux billets
- Requêtes SQL préparées (anti-injection)
- Validation systématique de toutes les entrées utilisateur
- Politique CSP (Content Security Policy) restrictive
- Sauvegardes automatiques quotidiennes par l'hébergeur o2switch
10. Notification de violation de données
En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à vous notifier dans un délai de 72 heures conformément à l'article 33 du RGPD, et à informer la CNIL.
11. Réclamation auprès de la CNIL
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
CNIL — 3 place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07
Téléphone : 01 53 73 22 22
Site :
www.cnil.fr
12. Modifications
Cette politique peut être modifiée à tout moment pour refléter des évolutions légales ou techniques. La date de dernière mise à jour est indiquée en haut de cette page. Les utilisateurs sont invités à la consulter régulièrement.
Politique de confidentialité conforme au RGPD (UE 2016/679) et à la loi Informatique et Libertés modifiée.