CROUSTY LEAGUE · LEGAL

Documents juridiques et de conformité de Crousty League.

Conformité RGPD

Dernière mise à jour : 2 juin 2026

1. Notre engagement

Crousty League est conçu nativement en conformité avec le Règlement Général sur la Protection des Données (RGPD, règlement UE 2016/679). Notre objectif : collecter le minimum de données nécessaire au service, les conserver le moins longtemps possible, et donner à chaque utilisateur le contrôle complet sur ses informations.

2. Hébergement européen

L’ensemble des données utilisateurs est hébergé en Union Européenne, dans la région eu-central-1 (Francfort, Allemagne) via notre fournisseur Supabase. Les données ne sortent pas du territoire de l’Espace Économique Européen.

3. Minimisation et anonymisation

  • Les adresses IP collectées lors du scan d’un QR Code sont anonymisées dès la collecte : seul un préfixe sur 3 octets est conservé (par exemple 192.168.1.x).
  • Les logs de scan QR sont automatiquement supprimés après 90 jours par un job de purge mensuel.
  • Le champ email est facultatif lors de l’inscription.
  • Les informations de paiement (clients qui paient un menu en boutique) ne transitent jamais par notre application : elles restent dans le système de caisse du partenaire.

4. Droits des utilisateurs

Chaque utilisateur dispose des droits suivants, exerçables gratuitement à l’adresse contact@mkia.fr :

  • Droit d’accès : obtenir une copie de toutes les données te concernant
  • Droit de rectification : corriger les informations inexactes
  • Droit à l’effacement : supprimer ton compte et toutes les données associées (sauf obligations légales)
  • Droit à la limitation : suspendre temporairement le traitement
  • Droit à la portabilité : recevoir tes données dans un format structuré, lisible par machine
  • Droit d’opposition : refuser le traitement pour les communications marketing
  • Retrait du consentement : à tout moment, sans justification (les opt-in SMS / email peuvent être désactivés depuis l’application)

5. Sous-traitants

Les sous-traitants techniques de Crousty League sont :

  • Supabase Inc. (hébergement base de données, authentification — eu-central-1)
  • Vercel Inc. (hébergement application web, edge compute)
  • Resend (envoi d’emails transactionnels)
  • Twilio (envoi de SMS de récupération de compte)
  • Stripe Payments Europe (gestion des abonnements partenaires uniquement, pas de paiement client)
  • API-Football (données de matchs de football, aucune donnée personnelle transmise)
  • Upstash (cache Redis pour rate-limiting — IPs anonymisées uniquement)

Tous les sous-traitants sont liés contractuellement à des engagements de confidentialité et de sécurité conformes au RGPD.

6. Sécurité technique

  • Chiffrement TLS 1.3 pour toutes les communications avec l’application
  • Chiffrement au repos pour les données stockées en base
  • Row-Level Security (RLS) PostgreSQL pour isoler les données entre boutiques
  • JWT signés avec audiences distinctes (anti-rejeu)
  • Rate-limiting sur tous les endpoints sensibles
  • Audit logs des actions admin (accès, modifications, suppressions)

7. Notification d’incident

En cas d’incident de sécurité affectant des données personnelles, Crousty League SARL s’engage à notifier la CNIL dans les 72 heures et à informer les utilisateurs concernés sans délai indu, conformément à l’article 33 du RGPD.

8. Délégué à la Protection des Données (DPO)

Crousty League n’est pas soumis à l’obligation de désigner un DPO. Pour toute question relative à la protection des données, le point de contact unique est : contact@mkia.fr.

9. Plainte auprès de la CNIL

Si tu estimes que tes droits ne sont pas respectés, tu peux déposer une plainte auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) : 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr.