Accord de traitement de données
Le contrat qui encadre la sous-traitance des données de vos adhérents par Eagle IT — annexe à votre abonnement Digital-Club.
Version 1.0 — en vigueur depuis le 9 mai 2026
Ce document fait partie intégrante de votre contrat Digital-Club. Il est accepté à la création de votre compte.
Vous restez responsable
Le club est responsable de traitement vis-à-vis de ses adhérents.
Eagle IT est sous-traitant
Hébergement et traitement technique uniquement, sur vos instructions.
Notification < 72h
Toute violation vous est signalée dans les 72 heures.
Cet Accord de Traitement de Données (« DPA ») formalise la relation de sous-traitance entre Eagle IT (sous-traitant) et chaque club client (responsable de traitement) au titre de l'article 28 du RGPD. Il s'applique automatiquement à toute souscription à Digital-Club.
Préambule
Le présent Accord est conclu entre :
EAGLE IT
Entreprise Individuelle exploitée par James MARAT
78 Avenue des Champs-Élysées, 75008 Paris, France
SIRET : 751 994 104 00022
Ci-après désignée « le Sous-traitant »
et le club client (« le Responsable de traitement » ou « le Club »), identifié dans le contrat de service principal.
En cas de contradiction entre le présent Accord et les CGS, les dispositions du présent Accord prévalent pour ce qui concerne le traitement des données personnelles.
1 Objet
Dans le cadre du contrat principal, le Responsable de traitement confie au Sous-traitant l'hébergement et le traitement technique de données à caractère personnel relatives aux adhérents et membres du Club afin de permettre au Club d'exploiter le service Digital-Club (gestion des adhésions, paiements, présences, communications, certificats médicaux, documents administratifs).
2 Description du traitement
2.1 Nature et finalité
| Objet | Hébergement et traitement technique des données du Club et de ses adhérents |
| Nature | Stockage, consultation, modification, sauvegarde, transmission à des sous-traitants ultérieurs (paiements, push), suppression |
| Finalité | Permettre au Club d'utiliser les fonctionnalités de Digital-Club |
| Durée | Durée du Contrat principal + 30 jours pour la portabilité, puis suppression sous 90 jours |
2.2 Catégories de personnes concernées
- Adhérents du Club (majeurs et mineurs avec consentement parental)
- Représentants légaux des adhérents mineurs
- Salariés, bénévoles et entraîneurs du Club
- Prospects du Club ayant rempli un formulaire de pré-inscription
2.3 Catégories de données traitées
Selon les modules activés par le Club :
Identité
Nom, prénom, date de naissance, photo, sexe
Contact
Email, téléphone, adresse postale
Paiement
Identifiant Stripe, historique paiements (pas de coordonnées carte)
Santé
Certificats médicaux, restrictions (données sensibles art. 9 RGPD)
Administratif
Numéro de licence, fédération, équipe
Usage
Présences, événements, inscriptions aux activités
3 Obligations du Sous-traitant (Eagle IT)
Traitement sur instruction
Eagle IT ne traite les données que sur instruction documentée du Club. L'utilisation de la plateforme conformément à sa documentation vaut instruction.
Confidentialité
Engagement de confidentialité de toute personne autorisée à accéder aux données chez Eagle IT, à durée illimitée.
Sécurité du traitement
Mesures techniques et organisationnelles appropriées : chiffrement, sauvegardes, authentification forte, journalisation, sandboxing — détaillées en Annexe 3.
Sous-traitants ultérieurs
Liste autorisée fournie en Annexe 2 (OVHcloud, Stripe, Google, Firebase). Toute évolution est notifiée au Club au moins 30 jours à l'avance, avec droit d'opposition motivée.
Droits des personnes concernées
Eagle IT met à disposition du Club les outils d'export ZIP et d'anonymisation pour répondre aux droits d'accès, rectification, effacement et portabilité.
Notification des violations
En cas de violation, notification au Club sans délai injustifié et au plus tard 72 heures après prise de connaissance, avec nature, conséquences et mesures correctives.
Aide à la conformité
Eagle IT aide le Club à respecter ses obligations de sécurité (art. 32), de notification (art. 33-34) et d'analyse d'impact (art. 35) — dans la mesure du possible.
Audit
Le Club peut demander un audit annuel (sur dossier ou auditeur indépendant) avec préavis de 30 jours.
4 Obligations du Responsable de traitement (le Club)
Le Club s'engage à :
- Documenter par écrit toute instruction particulière donnée à Eagle IT
- Veiller à disposer d'une base légale (contrat, consentement, intérêt légitime…) pour chaque traitement
- Tenir à jour son propre registre des traitements (art. 30 RGPD)
- Informer ses adhérents conformément aux articles 13 et 14 du RGPD
- Notifier sans délai toute violation dont il aurait connaissance par un autre canal
- Coopérer avec Eagle IT en cas d'audit des sous-traitants ultérieurs ou de violation
5 Durée et fin de l'accord
Le présent Accord prend effet à la date de souscription et reste en vigueur tant que le Contrat principal est actif.
Au terme du contrat, le Club dispose de 30 jours pour exporter ses données via les outils self-service. À l'expiration de ce délai, Eagle IT supprime l'ensemble des données dans un délai maximum de 90 jours, à l'exception :
- Données comptables conservées 10 ans (art. L123-22 Code de commerce) sous accès restreint
6 Modifications du DPA
Toute évolution du présent Accord (version majeure) est notifiée au Club au moins 30 jours avant son entrée en vigueur. La nouvelle acceptation est requise pour continuer à utiliser le service. Les modifications mineures (clarifications rédactionnelles) ne déclenchent pas de re-acceptation.
7 Droit applicable et juridiction
Le présent Accord est régi par le droit français et le RGPD. Tout litige relève de la compétence exclusive des tribunaux du ressort du siège social d'Eagle IT (Paris), sous réserve des règles d'ordre public applicables aux relations B2B.
Annexes
Annexe 2 — Sous-traitants ultérieurs autorisés
| Sous-traitant | Service | Localisation |
|---|---|---|
| OVHcloud SAS | Hébergement infrastructure + SMTP | Roubaix, France · UE |
| Stripe Payments Europe | Traitement des paiements | Dublin, Irlande · UE |
| Google Ireland Ltd | Sign-in OAuth | Dublin, Irlande · UE |
| Google Firebase (FCM) | Notifications push mobile | USA · CCT |
Annexe 3 — Mesures de sécurité
Chiffrement TLS 1.2+
Toutes les connexions HTTPS
Mots de passe bcrypt
Cost ≥ 12, jamais en clair
Isolation DB par club
Une base PostgreSQL par club
Sauvegardes
Snapshots quotidiens, rétention 30 jours
Journal d'activité
Logs de sécurité 12 mois (recommandation CNIL)
Purge automatique
Logs > 12 mois supprimés chaque nuit
La version intégrale du DPA (incluant l'Annexe 1 description détaillée et l'Annexe 4 procédure de fin de contrat) est disponible sur demande à dpo@eagle-it.fr.