RGPD · Sous-traitance (art. 28)
Accord de traitement des données
Accord de sous-traitance au sens de l’article 28 du RGPD, encadrant le traitement des données des membres confié à Kinshot par le club.
Dernière mise à jour : 12 juin 2026 · version 1.0
Préambule : parties et portée
Le présent accord de traitement des données (ci-après le « DPA ») précise les obligations respectives des parties au titre du traitement, par Kinshot, des données à caractère personnel des membres pour le compte du club. Il complète et fait partie intégrante des conditions générales de vente, auxquelles il est intégré par référence et qui sont acceptées lors de la souscription.
- Responsable de traitement : le club souscripteur (ci-après le « Club »), qui détermine les finalités et les moyens du traitement des données de ses membres.
- Sous-traitant : l’éditeur, M. Valentin Lefrançois, entrepreneur individuel (EI) exerçant sous le nom commercial « Kinshot »(ci-après « Kinshot »), qui traite ces données pour le compte et sur instructions du Club.
a. Objet, durée, nature et finalité du traitement
Le traitement a pour objet la fourniture de la plateforme de gestion de club (annuaire des membres, réservations, documents, formation, facturation des membres par le Club). Sa nature recouvre la collecte, l’enregistrement, l’hébergement, la consultation, l’organisation et la suppression des données. Sa finalité est l’exécution des services souscrits par le Club au bénéfice de ses membres.
Le traitement est réalisé pour la duréedu contrat d’abonnement liant le Club à l’éditeur, prolongée des durées de conservation légales applicables, puis prend fin dans les conditions prévues à la section « Sort des données en fin de contrat ».
b. Types de données et catégories de personnes concernées
Les catégories de personnes concernées sont les membres du Club (dont des mineurs, gérés par le Club et leurs représentants légaux), ses encadrants et ses administrateurs.
Les types de données traités comprennent : identité et coordonnées, contact d’urgence, activité et réservations, données de facturation des membres, ainsi que des données de santé et pièces réglementaires (certificats médicaux, licences, autorisations relatives aux armes). Ces dernières relèvent de l’article 9 du RGPD et ne sont traitées que sur instructions du Club, dans le respect de la réglementation du tir sportif.
c. Traitement sur instructions documentées
Kinshot ne traite les données que sur la base des instructions documentées du Club, telles qu’elles résultent du contrat, du paramétrage de la plateforme et des demandes formulées par le Club, y compris en matière de transfert de données. Si Kinshot estime qu’une instruction constitue une violation du RGPD ou d’une autre disposition applicable, il en informe le Club sans délai.
d. Confidentialité du personnel
Kinshot veille à ce que les personnes autorisées à traiter les données s’engagent à en respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité, et reçoivent la formation nécessaire à la protection des données. L’accès aux données est limité aux personnes qui en ont besoin pour l’exécution du service.
e. Sécurité du traitement (art. 32)
Kinshot met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l’article 32 du RGPD. Ces mesures, détaillées à l’Annexe 2, sont décrites au niveau effectivement mis en œuvre.
f. Sous-traitants ultérieurs
Le Club autorise Kinshot à faire appel aux sous-traitants ultérieurs listés à l’Annexe 1 pour l’exécution du service. Kinshot leur impose, par contrat, des obligations de protection des données équivalentes à celles du présent DPA et demeure pleinement responsable à l’égard du Club de l’exécution de leurs obligations.
En cas de changement prévu concernant l’ajout ou le remplacement d’un sous-traitant ultérieur, Kinshot en informe le Club préalablement, lui laissant ainsi la possibilité d’émettre des objections.
g. Assistance au responsable de traitement
Compte tenu de la nature du traitement, Kinshot aide le Club, par des mesures techniques et organisationnelles appropriées :
- à donner suite aux demandes d’exercice des droits des personnes concernées (accès, rectification, effacement, limitation, portabilité, opposition) ;
- à garantir le respect de ses obligations de sécurité, de notification des violations et d’analyse d’impact relative à la protection des données (AIPD), au titre des articles 32 à 36 du RGPD.
Lorsqu’une personne concernée adresse directement sa demande à Kinshot, celle-ci est relayée au Club, responsable de traitement. Le point de contact de Kinshot est joignable à l’adresse dpo@kinshot.com.
h. Notification des violations de données
Kinshot notifie au Club toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance, en lui fournissant les informations nécessaires pour lui permettre, le cas échéant, de notifier la CNIL et d’informer les personnes concernées dans les délais légaux.
Sort des données en fin de contrat
Au terme de la prestation, et selon le choix du Club, Kinshot restitue au Club l’ensemble des données traitées ou les lui rend accessibles à des fins d’export, puis les supprime ainsi que les copies existantes, sauf obligation légale de conservation (notamment les factures et données de paiement, conservées pendant la durée légale applicable).
Audit et mise à disposition des informations
Kinshot met à la disposition du Club les informations nécessaires pour démontrer le respect des obligations prévues à l’article 28 du RGPD et pour permettre la réalisation d’audits, y compris des inspections, par le Club ou un auditeur qu’il a mandaté, dans des conditions raisonnables préservant la sécurité et la confidentialité des données des autres clubs.
Annexe 1 : Sous-traitants ultérieurs
Les sous-traitants ultérieurs auxquels Kinshot a recours, conformément à la section f, sont les suivants :
| Sous-traitant | Finalité | Localisation | Transfert hors UE |
|---|---|---|---|
| Stripe Payments Europe | Traitement des paiements d’abonnement | Union européenne | Non |
| Brevo | Envoi des e-mails transactionnels | Union européenne | Non |
| Google (Analytics 4) | Mesure d’audience du site vitrine | États-Unis | Oui (CCT + DPF) |
| PulseHeberg | Hébergement de l’infrastructure | France | Non |
Le rendu PDF des factures est assuré par un composant interne auto-hébergé sur la même infrastructure : il ne constitue pas un sous-traitant ultérieur tiers.
Annexe 2 : Mesures techniques et organisationnelles
Les mesures de sécurité effectivement mises en œuvre par Kinshot comprennent :
- le chiffrement des échanges en transit (TLS) ;
- le contrôle d’accès aux ressources, conditionné à la vérification du propriétaire ;
- l’isolement des données par club (cloisonnement multi-tenant) ;
- le hachage des mots de passe selon l’état de l’art et des sessions par jetons à durée de vie courte ;
- des noms de fichiers non devinables ;
- l’hébergement sur une infrastructure située en France, à accès strictement restreint.