Accord de Traitement des Données (DPA)
Document encadrant le traitement des données personnelles par MAXIFLOW dans le cadre de la fourniture du service MaxiFlow Sports Club.
Objet
Le présent accord de traitement des données (DPA) encadre le traitement des données personnelles effectué par MAXIFLOW SOLUTIONS LTD dans le cadre de la fourniture du service MaxiFlow Sports Club à ses clients.
Rôles des parties
Dans le cadre de la fourniture du service MaxiFlow Sports Club :
- Le client (club sportif) est le Responsable de traitement : il détermine les finalités et les moyens du traitement des données de ses membres.
- MAXIFLOW SOLUTIONS LTD est le Sous-traitant : elle traite les données uniquement sur instruction du client et pour son compte.
Données traitées
Dans le cadre du service, MAXIFLOW est amenée à traiter notamment :
- Données d'identité : nom, prénom
- Coordonnées : adresse e-mail, numéro de téléphone
- Données sportives : statistiques, présences, performances
- Données administratives : licences, adhésions, contrats
- Données financières : cotisations, paiements
- Données des mineurs (via les clubs)
Finalité du traitement
Les données sont traitées uniquement pour les finalités suivantes :
- Gestion administrative et sportive du club
- Organisation des entraînements, compétitions et événements
- Communication interne entre coachs, licenciés et familles
- Accès sécurisé à la plateforme selon les rôles définis
Aucune donnée ne sera utilisée à des fins commerciales par MAXIFLOW sans le consentement explicite du responsable de traitement.
Obligations de MAXIFLOW
Dans le cadre du présent accord, MAXIFLOW s'engage à :
- Traiter les données uniquement sur instruction documentée du client
- Garantir la confidentialité des données traitées
- Mettre en place des mesures de sécurité techniques et organisationnelles adaptées
- Ne pas transférer les données hors de l'Union européenne sans garanties appropriées
- Ne pas utiliser les données à des fins commerciales propres
- Assister le client dans le respect de ses obligations RGPD
Recours à des sous-traitants
MAXIFLOW peut faire appel à des sous-traitants techniques pour assurer la fourniture du service (hébergeur cloud, outils de maintenance, etc.).
Tous ces sous-traitants sont soumis à des obligations de conformité RGPD équivalentes à celles du présent accord. Ils sont tous situés ou opèrent au sein de l'Union européenne.
Sécurité des données
MAXIFLOW met en œuvre les mesures de sécurité suivantes :
- Chiffrement des données en transit et au repos
- Contrôle d'accès strict selon les rôles définis
- Sauvegardes automatiques et régulières
- Surveillance continue des accès et des incidents
- Authentification sécurisée à la plateforme
Violations de données
En cas de violation de données à caractère personnel constatée, MAXIFLOW s'engage à notifier le client concerné dans un délai de 72 heures à compter de la prise de connaissance de l'incident, conformément à l'article 33 du RGPD.
Fin de contrat
À l'expiration ou à la résiliation du contrat d'abonnement, les données du client sont, au choix de ce dernier :
- Restituées au client dans un format exploitable
- Supprimées définitivement des serveurs de MAXIFLOW
Cette opération intervient dans un délai raisonnable à compter de la fin du contrat, sauf obligation légale de conservation.
Audit et conformité
Le client peut, à tout moment, demander à MAXIFLOW de fournir les garanties nécessaires attestant de sa conformité avec le présent accord et avec le RGPD. MAXIFLOW s'engage à répondre à toute demande raisonnable de contrôle dans un délai approprié.
MAXIFLOW héberge toutes les données au sein de l'Union européenne et applique les normes RGPD les plus strictes.