TeembySe connecter

Politique de confidentialité

Dernière mise à jour : 6 mai 2026

Cette politique explique comment Teemby traite les données personnelles dans le cadre de son service SaaS destiné aux clubs sportifs. Elle distingue les données traitées par Teemby pour son propre compte et les données saisies par les clubs, traitées pour leur compte.

1. Identité et rôles RGPD

Pour les données de compte, de facturation, de support, de sécurité et de relation commerciale, le responsable du traitement est :

  • [NOM_PRENOM], éditeur de Teemby
  • [ADRESSE_POSTALE_A_COMPLETER]
  • Email : hello@teemby.app

Pour les données saisies par un club concernant ses joueurs, parents, responsables légaux, coachs ou membres, le club est en principe responsable de traitement. Teemby intervient comme sous-traitantafin d'héberger, synchroniser, afficher, exporter et sécuriser ces données.

2. Données traitées

2.1 Données de compte et d'abonnement

  • Email du compte utilisateur
  • Mot de passe haché par Supabase Auth, jamais stocké en clair par Teemby
  • Nom du club, rôle de l'utilisateur, invitations envoyées ou acceptées
  • Date d'inscription, statut d'essai, statut d'abonnement
  • Identifiants techniques Stripe en cas de paiement : customer ID, subscription ID, événement de paiement
  • Preuve technique d'acceptation des CGU lorsque disponible : date, version des textes, email du compte

2.2 Données saisies par les clubs

Selon l'utilisation du service, un club peut saisir ou importer :

  • nom, prénom, âge ou date de naissance d'un joueur ;
  • niveau sportif, disponibilités, ancienneté, groupe, créneau, coach, historique de placement ;
  • contraintes humaines : amis, fratrie, coach préféré, personnes à éviter ;
  • notes libres rédigées par le club ;
  • téléphone et email d'un parent, représentant légal, joueur majeur ou, si le club le décide sous sa responsabilité, d'un joueur mineur.

Le service peut donc contenir des données de mineurs. Le club doit informer les personnes concernées ou leurs représentants légaux, limiter les données au nécessaire et privilégier les coordonnées d'un parent ou responsable légal lorsque le joueur est mineur. Les champs de notes libres ne doivent pas contenir de données sensibles sauf nécessité réelle et base légale adaptée.

2.3 Pré-inscriptions soumises directement par les familles (lien public)

Lorsqu'un club active la fonctionnalité de pré-inscription publique (lien partagé en porte ouverte ou en QR code), les parents ou responsables légaux peuvent soumettre eux-mêmes les informations d'un enfant via une page publique. Ces soumissions arrivent dans une file d'attente côté club et ne deviennent des fiches joueurs qu'après validation manuelle par un membre habilité du club.

  • Données collectées via ce formulaire : prénom, nom et date de naissance de l'enfant, niveau auto-évalué, jours de disponibilité, téléphone du parent (obligatoire), email du parent et notes libres (facultatifs).
  • L'adresse IP du soumetteur est enregistrée pour des raisons de sécurité (lutte contre les abus / saturation du service par soumissions automatisées) et associée à la demande pendant sa durée de conservation.
  • Le club est responsable de traitement de ces données. Le formulaire informe la personne au point de collecte et requiert une case d'acceptation indiquant qu'elle est responsable légale de l'enfant et qu'elle consent à la transmission des données au club.
  • Une demande qui n'est ni traitée ni rejetée reste dans la file d'attente du club. Les demandes traitées ou rejetées sont conservées à des fins d'audit pendant l'utilisation du service par le club, puis 90 jours après résiliation, ou suppression anticipée à la demande du Client ou de la personne concernée.

2.4 Notifications email aux familles

Teemby peut envoyer plusieurs types d'emails au parent ou responsable légal d'un joueur, chacun accompagné d'une pièce jointe iCalendar (.ics) le cas échéant pour faciliter la mise à jour du calendrier :

  • Confirmation d'inscription (automatique, opt-in du club)— envoyé lorsqu'un joueur est affecté pour la première fois à un groupe. Cette fonctionnalité est désactivée par défautet activable par un administrateur dans les réglages. L'import CSV ne déclenche jamais d'email.
  • Mise à jour du créneau (manuel, déclenché par l'admin)— un administrateur peut envoyer depuis la fiche d'un groupe une mise à jour aux familles des joueurs assignés.
  • Annulation de séance (manuel)— quand l'admin annule une séance, un email d'annulation peut partir aux familles ayant un email renseigné, avec un .ics marqué cancelledqui retire l'événement du calendrier du parent.
  • Annulation d'un groupe (automatique sur suppression)— lorsqu'un administrateur supprime un groupe ayant des joueurs assignés, un email d'annulation part automatiquement aux familles avec email.
  • Message groupé au groupe— l'admin peut envoyer un message libre (avec variables {prenom}, {nom}, {nom_du_groupe}, {nom_du_club}) à toutes les familles d'un groupe.
  • Signal d'absence parent— quand un parent signale l'absence d'un enfant via l'espace famille, un email de notification part au coach du groupe.

Pour ces cas : le club est responsable de traitement, l'envoi technique est opéré par Resend (voir la section Sous-traitants), et une trace de l'envoi (date, joueur, groupe, type, canal email) est conservée dans le journal interne du club et dans l'espace famille du parent. Le contenu des emails n'est pas conservé.

Les emails contiennent les coordonnées de contact du club (email et/ou téléphone) que l'administrateur a renseignées dans les réglages. Une adresse de réponse (« Reply-To ») est définie pour que la réponse du parent soit redirigée vers ces coordonnées plutôt que vers l'adresse d'envoi technique de Teemby.

2.5 Espace famille (magic link)

Le parent accède à l'espace famille en saisissant son email sur /familyet reçoit un lien magique. Aucun mot de passe n'est demandé. Le lien est signé avec un secret HMAC propre à Teemby et expire après usage.

  • Cookie de session parent : signé HMAC, durée 30 jours sliding, contenu = email + nonce.
  • Token de calendrier longue durée : signé HMAC avec préfixe distinct, accroché au flux ICS pour synchroniser les séances dans Apple Calendar / Google Calendar / Outlook sans authentification supplémentaire.

2.6 Données techniques

  • logs serveur : adresse IP, user agent, dates et heures de requêtes, erreurs techniques ;
  • cookies et stockages locaux nécessaires au fonctionnement du service.

3. Finalités et bases légales

FinalitéBase légale
Créer et gérer les comptes, clubs, invitations et rôlesExécution du contrat ou mesures précontractuelles
Fournir l'application : stockage, synchronisation, scoring, exportExécution du contrat avec le Client ; sous-traitance pour les données du club
Gérer l'abonnement, les paiements et la comptabilitéExécution du contrat et obligations légales
Prévenir les abus, sécuriser le service, diagnostiquer les incidentsIntérêt légitime de sécurité et de continuité du service
Répondre aux demandes de support et d'exercice de droitsExécution du contrat et obligations légales RGPD

Teemby ne revend pas les données et ne les utilise pas pour de la publicité comportementale.

4. Sous-traitants et destinataires

Les données peuvent être transmises aux prestataires suivants, uniquement pour fournir, sécuriser ou administrer le service :

PrestataireRôleLocalisation / garanties
Vercel Inc.Hébergement de l'application webUnion européenne et/ou États-Unis selon configuration ; DPF ou clauses contractuelles types
Supabase Inc.Base de données, authentification, temps réel[REGION_SUPABASE_EXACTE] ; garanties contractuelles Supabase
Stripe Payments Europe Ltd.Paiement, portail client, facturationUnion européenne et transferts encadrés par DPF ou clauses contractuelles types
ResendEmails transactionnels : invitations, notifications liées au compte et notifications aux familles lorsque le club active la fonctionnalitéUnion européenne et/ou États-Unis selon configuration ; garanties contractuelles du prestataire
InngestOrchestration asynchrone des envois et cron jobsGaranties contractuelles du prestataire
Cloudflare TurnstileAnti-bot du formulaire d'inscription publique (token vérifié côté serveur)Pas de cookie tiers ; transfert minimal de données techniques

Les données peuvent aussi être communiquées aux autorités ou conseils de l'éditeur lorsque la loi l'exige ou pour défendre des droits.

5. Durées de conservation

  • Compte et club: pendant l'utilisation du service, puis 90 jours après résiliation ou expiration, sauf besoin de preuve.
  • Données joueurs, groupes, plannings et historiques: pendant l'utilisation du service par le club, puis 90 jours après résiliation ou expiration, ou suppression anticipée à la demande du Client.
  • Invitations: durée de validité de l'invitation, puis conservation limitée à des fins de sécurité et d'historique d'administration.
  • Factures et données comptables : durée légale applicable, généralement 10 ans.
  • Logs et événements techniques: durée limitée nécessaire à la sécurité, au diagnostic et à la preuve, en principe 30 jours pour les logs applicatifs courants lorsque l'éditeur en maîtrise la conservation.

6. Droits des personnes

Les personnes concernées peuvent demander l'accès, la rectification, l'effacement, la limitation, la portabilité, l'opposition au traitement ou le retrait d'un consentement lorsque celui-ci est la base du traitement.

Pour les données gérées directement par Teemby, la demande peut être envoyée à hello@teemby.app. Une preuve d'identité peut être demandée en cas de doute raisonnable. La réponse intervient en principe sous 30 jours.

Pour les données saisies par un club concernant ses joueurs ou familles, Teemby peut renvoyer la demande au club responsable de traitement, ou l'assister pour y répondre lorsque la demande lui parvient directement.

En cas de difficulté non résolue, une réclamation peut être adressée à la CNIL.

7. Sécurité

Teemby met en œuvre des mesures raisonnables adaptées à la nature du service, notamment :

  • communications chiffrées en HTTPS ;
  • authentification via Supabase Auth (mots de passe hachés bcrypt) ;
  • isolation logique des données par club avec Row-Level Security PostgreSQL ;
  • contrôle des rôles pour les actions d'administration ;
  • signature HMAC des liens magiques et des tokens de calendrier ;
  • anti-bot Cloudflare Turnstile sur le formulaire d'inscription publique ;
  • accès restreint aux environnements techniques et aux clés de production.

Aucun système n'étant parfaitement sécurisé, le Client doit aussi gérer ses propres accès : mots de passe, révocation des utilisateurs, export local et partage interne des données.

8. Cookies et stockages locaux

Les cookies et stockages suivants sont utilisés pour fournir le service. Ils sont nécessaires au fonctionnement de l'application ou à des préférences demandées par l'utilisateur ; aucun consentement publicitaire n'est demandé car aucun traceur publicitaire ou de profilage n'est utilisé.

Nom / typeFinalitéDurée indicative
Session Supabase AuthMaintenir la connexion de l'utilisateurDurée de session / renouvellement automatique selon Supabase
teemby_active_club_idMémoriser le club actif pour un utilisateur membre de plusieurs clubs1 an
teemby_family_sessionSession HMAC parent (espace famille via magic link)30 jours sliding
teemby_cookie_notice_dismissedMémoriser la fermeture du bandeau cookiesJusqu'à suppression du stockage local par l'utilisateur
teemby_install_dismissedMémoriser la fermeture de la proposition d'installation PWAJusqu'à suppression du stockage local
teemby_kioskMode porte ouverte actif (sessionStorage par onglet)Durée de la session navigateur

9. Modification

Cette politique peut être mise à jour. En cas de changement substantiel, les utilisateurs actifs peuvent être informés par email ou via l'application.

10. Contact

Pour toute question concernant cette politique ou les traitements de données : hello@teemby.app.

À compléter avant lancement commercial : identité définitive de l'éditeur, adresse, SIRET, région Supabase exacte et vérification des garanties contractuelles des prestataires activés en production.