HandAmateur.fr
Confidentialité

Politique de confidentialité.

Cette politique explique quelles données les applications CoachBox et ArbiRef collectent, à quelles fins, qui y accède, et comment exercer vos droits. Elle s'applique à tout utilisateur des deux applications et au site handamateur.fr.

Dernière mise à jour : 5 mai 2026

1. Responsable du traitement

Le responsable de traitement, au sens du RGPD, est Mickaël Sitbon, particulier en nom propre, éditeur du site handamateur.fr et des applications CoachBox et ArbiRef.

L'éditeur exerce de fait le rôle de délégué à la protection des données (DPO) pour ce périmètre. Toute demande peut être adressée à [email protected].

2. Données collectées

Données communes aux deux applications

  • Compte utilisateur : identifiant de connexion, e-mail, mot de passe (haché bcrypt), nom et prénom, rôle (coach, admin de club, super-admin, arbitre selon l'app), date de création.
  • Préférences d'affichage : thème clair/sombre, équipe active, langue.
  • Demandes de contact bêta : nom, e-mail, club, applications visées, message libre, IP au moment de la soumission (anti-abus).

Spécifiques à CoachBox

  • Roster joueurs : prénom, nom, numéro de maillot, date de naissance, postes, taille, latéralité.
  • Équipes & saisons : composition d'équipes, affectations coach.
  • Matchs : événements de match (tirs, sanctions, remplacements, etc.) horodatés et liés à un joueur de votre roster.
  • Évaluations de compétences : scores attribués par le coach évaluateur, sur la base d'un référentiel commun.
  • Schémas tactiques : dessins/animations enregistrés par le coach.

Spécifiques à ArbiRef

  • Profil arbitre : niveau, disponibilités, zone géographique.
  • Désignations : matchs arbitrés, dates, lieux, partenaires.
  • Évaluations reçues : notes & commentaires des observateurs.

Logs techniques

  • Adresses IP : utilisées pour le rate-limiting (anti-abus) — non persistées en base, conservées en mémoire le temps de la fenêtre de comptage.
  • Logs serveur : traces d'erreurs techniques uniquement, sans donnée nominative au-delà d'un identifiant utilisateur opaque.
  • Logs d'audit super-administrateur : traçabilité des actions sensibles (désactivation/purge de club, mode Support) pour la sécurité.

Aucun traceur publicitaire, aucun outil d'analyse comportementale, aucun cookie tiers ne sont utilisés.

3. Finalités & bases légales

FinalitéBase légale (art. 6 RGPD)
Authentification & gestion du compte utilisateurExécution du contrat (art. 6.1.b)
Préparation, capture et analyse des matchs (CoachBox)Exécution du contrat (art. 6.1.b)
Suivi des désignations & évaluations arbitre (ArbiRef)Exécution du contrat (art. 6.1.b)
Roster d'équipes adverses pour analyse post-matchIntérêt légitime du club (art. 6.1.f) — voir §8
Sécurité, anti-abus, prévention de la fraudeIntérêt légitime de l'éditeur (art. 6.1.f)
Réponse à une demande de contact bêtaConsentement explicite (art. 6.1.a)

4. Destinataires & sous-traitants

Les données restent confinées au sein de l'infrastructure auto-hébergée de l'éditeur. Elles ne sont jamais cédées, vendues ni mises à disposition de tiers à des fins commerciales.

Accès interne : seul l'éditeur (et l'éventuel super-administrateur de l'instance) peut accéder techniquement à la base. Le mode « Support » (super-admin) est tracé : chaque connexion à un club hors-périmètre est journalisée.

Sous-traitants strictement nécessaires

  • Brevo (ex-Sendinblue) — relais SMTP transactionnel utilisé uniquement pour envoyer : e-mails de réinitialisation de mot de passe, e-mails de réponse à un formulaire bêta. Hébergé en UE. Un Data Processing Agreement est en place. Politique Brevo.
  • GitHub Container Registry — distribution des images Docker applicatives. Aucune donnée utilisateur n'y transite.

5. Durées de conservation

  • Compte utilisateur actif : tant que vous l'utilisez. Compte inactif depuis plus de 24 mois : anonymisation puis purge.
  • Compte supprimé à votre demande : anonymisation immédiate, purge physique sous 30 jours.
  • Données de match (CoachBox) : conservées tant que le club est actif, supprimables à la demande de l'admin du club.
  • Roster joueurs adverses : durée de la saison sportive en cours, purgé à l'archivage de saison.
  • Demandes de contact bêta : 12 mois maximum.
  • Logs d'audit super-administrateur : 12 mois glissants.
  • Tokens de réinitialisation de mot de passe : 1 heure (durée de validité), purgés au-delà de 7 jours.
  • Logs serveur techniques : rotation hebdomadaire, conservation maximale 30 jours.

6. Transferts hors Union Européenne

Aucun transfert de données utilisateur hors UE. L'hébergement est intégralement réalisé en France, sur une infrastructure auto-administrée. Le sous-traitant SMTP (Brevo) traite les données dans l'UE.

7. Mineurs (joueurs et JAJ)

Les deux applications sont susceptibles d'enregistrer des données concernant des mineurs. Conformément à l'article 8 du RGPD, l'inscription d'un mineur suppose toujours le consentement préalable du représentant légal, recueilli par la structure inscrivante (club, commission d'arbitrage), généralement via un formulaire papier signé selon les pratiques usuelles du milieu amateur.

Au moment de l'inscription, l'application demande à la personne qui inscrit le mineur une attestation explicite selon laquelle ce consentement a été obtenu et conservé hors-application.

Joueurs (CoachBox)

L'usage premier de CoachBox est l'encadrement d'équipes amateurs, dont une grande majorité de catégories d'âge concerne des mineurs (Baby Hand, École de Hand, U9, U11, U13, U15, U18). Le club est responsable de l'inscription et du suivi.

JAJ — Jeunes Arbitres & Juges (ArbiRef)

ArbiRef permet aux clubs et commissions d'arbitrage d'inscrire leurs JAJ dès 11 ans, afin qu'ils puissent s'entraîner aux quiz de règles et consulter leurs évaluations. Les données collectées sur ces mineurs sont strictement limitées au périmètre formation/suivi (identité, niveau JAJ, évaluations reçues, historique de quiz). Le mineur peut se connecter et utiliser l'application sous la supervision de la structure inscrivante.

Dans les deux cas, les représentants légaux peuvent à tout moment demander : l'accès, la rectification ou la suppression des données du mineur, en s'adressant à la structure inscrivante ou directement à [email protected].

8. Roster d'équipes adverses (CoachBox)

Pour l'analyse post-match, les coachs peuvent saisir les rosters d'équipes adverses rencontrées. Les données collectées sont strictement limitées : numéro de maillot, nom (parfois partiel), poste éventuel. Aucune photo, e-mail, date de naissance ou contact n'est saisi.

La base légale est l'intérêt légitime du club à analyser ses adversaires sportifs (équivalent papier : les feuilles de match officielles diffusées dans le cadre des compétitions FFHB). Ces données sont :

  • limitées au périmètre minimal nécessaire ;
  • conservées le temps de la saison sportive en cours puis purgées à l'archivage ;
  • non publiées, non partagées en dehors du club qui les a saisies.

Toute personne identifiable peut demander le retrait de ses données en écrivant à [email protected]. Le retrait sera effectué sous 30 jours.

9. Cookies & stockage local

Les applications n'utilisent aucun cookie de tracking ni cookie publicitaire.

Pour fonctionner (notamment hors-ligne sur tablette), elles utilisent les mécanismes localStorage et IndexedDB de votre navigateur pour :

  • maintenir votre session ouverte (jeton JWT) ;
  • conserver vos préférences (thème, équipe active) ;
  • permettre l'usage hors-ligne du match en direct (cache des données nécessaires).

Ces données restent intégralement sur votre appareil. Elles peuvent être effacées à tout moment via les paramètres de votre navigateur, ou via le bouton « Réinitialiser le service worker » disponible dans le panneau de diagnostic des applications.

Aucune bannière de consentement aux cookies n'est requise puisqu'aucun traceur tiers ni cookie non strictement nécessaire au service n'est déposé.

10. Sécurité

  • Mots de passe hachés (bcrypt, coût adaptatif) — jamais stockés en clair.
  • Authentification par jeton JWT signé, durée de vie 24 h par défaut, renouvelable.
  • Communication HTTPS/TLS de bout en bout côté utilisateur (terminaison TLS sur l'hôte).
  • Cloisonnement multi-tenant strict : une base SQLite distincte par club (CoachBox), aucune fuite cross-club possible au niveau du modèle.
  • Sauvegardes régulières chiffrées hors-site.
  • Protocole de réaction en cas de violation documenté en interne (notification CNIL sous 72 h le cas échéant).

11. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :

  • Accès (art. 15) : obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie. Une fonction d'export self-service est progressivement déployée dans les applications.
  • Rectification (art. 16) : corriger des données inexactes, directement via votre profil ou en écrivant au DPO.
  • Effacement / droit à l'oubli (art. 17) : demander la suppression de vos données. Une suppression de compte self-service est disponible dans la page Profil de chaque application.
  • Limitation du traitement (art. 18) : demander que le traitement soit suspendu.
  • Portabilité (art. 20) : récupérer vos données dans un format structuré (JSON/CSV) — disponible via l'export self-service.
  • Opposition (art. 21) : vous opposer à un traitement fondé sur l'intérêt légitime.

Pour exercer ces droits : [email protected]. Une réponse vous sera apportée dans un délai maximum d'un mois (extensible à trois mois pour les demandes complexes, conformément à l'art. 12 RGPD).

12. Contact & réclamations

Pour toute question relative à cette politique ou à vos données : [email protected] (alias redirigé vers [email protected]).

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : cnil.fr/fr/plaintes.

Évolution de cette politique · Cette politique peut être mise à jour pour refléter des évolutions techniques ou réglementaires. La date de dernière mise à jour figure en tête de page. En cas de modification substantielle, les utilisateurs seront notifiés au sein de l'application.