Accès application

Informations juridiques

Accord de Traitement de Données (DPA)

par | Publié le 15/10/2025

1. Objet et portée

Le présent Accord de Traitement de Données (ci-après le « DPA ») fait partie intégrante des Conditions Générales de Licence (« CGL ») de la plateforme NabuTrack.

Le présent Accord encadre les traitements de données réalisés dans le cadre de la fourniture du service logiciel en ligne (“Software as a Service”) NabuTrack.

Il est établi conformément à l’article 28 du Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et a pour objet de définir les conditions dans lesquelles les Parties s’engagent à assurer la protection des données à caractère personnel traitées dans le cadre de l’exécution de la Licence.

Dans ce cadre, ACPA Performance agit en qualité de sous-traitant, au sens de l’article 4.8 du RGPD, et traite les données à caractère personnel pour le compte du Client, agissant en qualité de responsable du traitement, dans le cadre de l’utilisation de la plateforme NabuTrack.

Le Client garantit que les traitements effectués via NabuTrack sont réalisés dans le respect des lois et règlements applicables, qu’il dispose des bases légales nécessaires et qu’il a informé les personnes concernées conformément aux articles 13 et 14 du RGPD.

En cas de contradiction entre le présent DPA et les CGL, les dispositions du DPA prévaudront pour toute question relative à la protection des données personnelles.

2. Définitions

Aux fins du présent Accord, les termes suivants ont la signification ci-après :

  • « Parties » : désigne conjointement le Client (responsable du traitement) et ACPA Performance (sous-traitant).
  • « Autorité de contrôle » : désigne la Commission Nationale de l’Informatique et des Libertés (CNIL) ou toute autre autorité de contrôle compétente au sens du RGPD.
  • « Données personnelles » : toute information se rapportant à une personne physique identifiée ou identifiable.
  • « Données Utilisateur » : les données personnelles collectées et traitées via NabuTrack pour le compte du Client, notamment les données issues des capteurs GPS et autres équipements compatibles.
  • « Traitement » : toute opération appliquée aux Données personnelles (collecte, enregistrement, organisation, conservation, modification, extraction, consultation, utilisation, communication, effacement, destruction).
  • « Sous-traitant ultérieur » : tout prestataire auquel ACPA Performance fait appel pour réaliser tout ou partie des opérations de traitement pour le compte du Client.
  • « Violation de données personnelles » : toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données personnelles transmises, conservées ou traitées, ou l’accès non autorisé à de telles données.
  • « Données anonymisées » : données ne permettant pas d’identifier directement ou indirectement une personne physique, irréversiblement dissociées de toute donnée personnelle.
  1. Rôles et responsabilités

3.1. Obligations du Client

Le Client en tant que responsable du traitement, détermine les finalités et les moyens des traitements de données personnelles effectués via NabuTrack.

Il agit en qualité de responsable du traitement au sens du RGPD et conserve la maîtrise complète des données traitées par la plateforme.

À ce titre, le Client s’engage à :

  • veiller à la licéité des traitements mis en œuvre via NabuTrack ;
  • informer les personnes concernées (joueurs, membres du staff, administrateurs) de la collecte et du traitement de leurs données conformément aux articles 13 et 14 du RGPD ;
  • obtenir, le cas échéant, les consentements nécessaires, notamment pour les données physiologiques ;
  • s’assurer de la mise à jour, de l’exactitude et de la pertinence des données traitées ;
  • fournir à ACPA Performance des instructions documentées, légales et proportionnées ;
  • ne pas utiliser la plateforme pour des finalités interdites ou incompatibles avec la réglementation applicable.

3.2. Obligations générales d’ACPA Performance

ACPA Performance en tant que sous-traitant, agit exclusivement sur instructions documentées du Client et traite les données personnelles pour son compte, conformément aux finalités définies par celui-ci.

Elle s’engage à assurer la confidentialité, l’intégrité et la sécurité des traitements réalisés, à ne pas utiliser les données à des fins propres et à informer le Client sans délai si une instruction lui semble contraire au RGPD ou à toute autre réglementation applicable.

ACPA Performance n’est pas tenue de vérifier la licéité ou la pertinence des traitements décidés par le Client, lequel demeure seul responsable du choix des finalités, des moyens et des bases légales applicables aux traitements effectués via NabuTrack.

Les obligations détaillées d’ACPA Performance en matière de sécurité, d’assistance et de notification figurent à l’article 7 du présent Accord.

4. Nature et finalité des traitements

ACPA Performance traite les Données Utilisateur pour les finalités suivantes :

  • Hébergement et exécution de la plateforme NabuTrack.
  • Extraction, traitement, visualisation et export des données collectées par les capteurs GPS.
  • Fourniture des services souscrits dans le cadre de la Licence.
  • Assistance technique et support.
  • Amélioration des services via l’analyse de données anonymisées et agrégées.

ACPA Performance n’effectue aucune prise de décision automatisée ni profilage à partir des données personnelles traitées via la plateforme NabuTrack.

5. Types de données traitées

  • Données d’identification des joueurs (nom, prénom, numéro de maillot ou identifiant interne).
  • Données de performance sportive (distances calculées à différentes vitesses, nombre de sprints, d’accélérations, décélérations).
  • Données physiologiques (fréquence cardiaque, autres mesures compatibles selon le matériel utilisé).
  • Données techniques associées aux sessions d’entraînement ou de match (date, durée, lieu, poste occupé).
  • Données de connexion et journaux techniques (adresses IP, identifiants de session, journaux d’accès, horodatages et actions effectuées sur la plateforme).

6. Catégories de personnes concernées

Les traitements réalisés via NabuTrack concernent les catégories de personnes suivantes :

  • Acheteurs : personnes physiques agissant pour leur propre compte ou représentant une structure (club, association, société, fédération) ayant souscrit une Licence NabuTrack.
  • Utilisateurs finaux : membres du staff technique (entraîneurs, préparateurs physiques, analystes, etc.) utilisant la plateforme pour collecter, exploiter ou visualiser les données de performance.
  • Joueurs ou athlètes suivis : personnes dont les données de performance, physiologiques ou techniques sont collectées et traitées via les capteurs GPS et les modules d’analyse de la plateforme.

7. Obligations

ACPA Performance s’engage, dans le cadre de son rôle de sous-traitant, à respecter les obligations suivantes :

7.1. Traitement sur instructions documentées

Traiter les données uniquement sur instructions documentées du Client et l’informer immédiatement si une instruction lui semble contraire au RGPD ou à toute autre réglementation applicable.

7.2. Confidentialité

Garantir la confidentialité des données et veiller à ce que les personnes autorisées à les traiter soient soumises à une obligation légale ou contractuelle de confidentialité.

7.3. Sécurité

Mettre en œuvre toutes les mesures techniques et organisationnelles appropriées pour assurer la sécurité, la confidentialité, l’intégrité et la disponibilité des données, conformément à l’article 32 du RGPD.

7.4. Assistance au Client

  1. Aider le Client à répondre aux demandes d’exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, opposition, etc.) ;
  2. Fournir l’assistance nécessaire à la réalisation d’analyses d’impact relatives à la protection des données (AIPD) et, le cas échéant, aux consultations préalables avec la CNIL ;
  3. Coopérer avec la CNIL ou toute autre autorité compétente, sur demande.

7.5. Notification des violations de données

Notifier au Client dans un délai maximal de 72 heures après en avoir eu connaissance toute violation de données personnelles, en lui communiquant :

  • la nature de la violation,
  • les catégories et le nombre approximatif de personnes concernées,
  • les conséquences probables,
  • et les mesures correctrices prises ou envisagées.

7.6. Registre des traitements

Tenir un registre écrit des catégories d’activités de traitement effectuées pour le compte du Client, conforme à l’article 30 §2 du RGPD, et le tenir à disposition de la CNIL sur demande.

7.7. Documentation et audits

Mettre à disposition du Client toutes les informations nécessaires pour démontrer le respect de ses obligations et permettre la réalisation d’audits ou d’inspections dans les conditions prévues à l’article 13 du présent Accord.

7.8. Délégué à la Protection des Données

ACPA Performance a désigné un Délégué à la Protection des Données (DPO) chargé de superviser la conformité et les mesures de protection mises en œuvre.

Le DPO peut être contacté à l’adresse suivante : dpo@acpaperformance.com.

8. Sous-traitance ultérieure

Le Client autorise ACPA Performance à recourir à d’autres sous-traitants pour l’exécution des traitements de données nécessaires à la fourniture des Services NabuTrack.

8.1. Autorisation générale

Cette autorisation est donnée de manière générale. ACPA Performance s’engage à ne faire appel qu’à des prestataires présentant des garanties suffisantes en matière de sécurité, de confidentialité et de conformité au RGPD.

La liste actualisée des sous-traitants ultérieurs figure à l’Annexe II du présent Accord. Cf Article 15 Annexes.

8.2. Notification des modifications

ACPA Performance informera le Client par tout moyen écrit (courriel ou notification via la plateforme) de tout ajout, remplacement ou retrait d’un sous-traitant ultérieur au moins trente (30) jours avant sa mise en œuvre effective.

Le Client dispose de ce même délai pour formuler par écrit toute objection motivée. En l’absence de réponse dans ce délai, le nouveau sous-traitant sera réputé accepté.

8.3. Responsabilité

ACPA Performance demeure pleinement responsable à l’égard du Client de l’exécution par ses sous-traitants de leurs obligations au titre du présent Accord.

Chaque sous-traitant ultérieur est tenu par un contrat imposant des obligations de sécurité, de confidentialité et de conformité équivalentes à celles prévues dans le présent DPA.

9. Localisation et transferts de données

Les Données Utilisateur sont hébergées sur des serveurs situés en France ou dans l’Espace économique européen (EEE), principalement au sein d’infrastructures opérées par des prestataires d’hébergement certifiés.

ACPA Performance s’efforce de limiter tout transfert de données en dehors de l’EEE. Toutefois, certains prestataires techniques (notamment Zoho Corporation, Stripe Payments Europe Ltd., ou Intercom Inc.) peuvent impliquer des traitements ou accès depuis des pays tiers.

Dans ce cas, ACPA Performance s’assure que ces transferts sont encadrés par l’un des mécanismes reconnus par le RGPD, notamment :

  • les clauses contractuelles types adoptées par la Commission européenne ;
  • ou une décision d’adéquation rendue par la Commission européenne ;
  • ou des règles d’entreprise contraignantes (BCR) approuvées par une autorité de contrôle.

ACPA Performance tient à disposition du Client, sur simple demande, la liste actualisée des prestataires susceptibles d’impliquer un transfert hors EEE, ainsi que les garanties associées.

ACPA Performance vérifie régulièrement la validité, l’efficacité et la mise à jour des garanties applicables aux transferts de données vers des pays tiers.

Aucun transfert hors EEE ne pourra être effectué sans encadrement juridique approprié et sans information préalable du Client.

10. Durée de conservation et suppression des données

À la cessation de la Licence, ACPA Performance applique les délais et modalités suivants :

  • Phase 1 – Période active (30 jours) : les Données Utilisateur restent accessibles afin de permettre la réactivation du compte ou le transfert du compte à un autre titulaire désigné par le Client.
  • Phase 2 – Sauvegardes techniques (5 mois glissants) : les Données Utilisateur supprimées peuvent subsister de manière résiduelle dans les systèmes de sauvegarde, conservés exclusivement à des fins de sécurité et de continuité de service.
     Ces sauvegardes ne sont ni accessibles aux utilisateurs, ni utilisées à d’autres fins et font l’objet d’un cycle d’écrasement automatique à échéance de cinq (5) mois.
  • Phase 3 – Suppression définitive : à l’issue du cycle de sauvegarde, les Données Utilisateur sont effacées de manière irréversible de tous les supports, y compris des sauvegardes, dans un délai maximal de trente (30) jours supplémentaires.

ACPA Performance pourra conserver et utiliser des données anonymisées ou agrégées à des fins statistiques, d’amélioration du service et de suivi d’usage, sans limitation de durée. Ces données ne permettent plus d’identifier directement ou indirectement une personne physique.

En cas d’obligation légale ou réglementaire de conservation (par exemple, à des fins comptables, fiscales ou de sécurité), ACPA Performance conservera uniquement les données strictement nécessaires pendant la durée imposée par la réglementation applicable.

Sur demande du Client, ACPA Performance pourra fournir une attestation de suppression effective à l’issue du processus complet de suppression et de rotation des sauvegardes.

11. Restitution des données

À la cessation de la Licence, le Client dispose d’un délai de trente (30) jours pour demander par écrit la restitution de ses Données Utilisateur avant leur suppression définitive, conformément à l’article 10 du présent Accord.

La restitution des données constitue une prestation technique spécifique impliquant la mobilisation d’un ingénieur et la manipulation de volumes importants de données.

Elle donne lieu à facturation, sur la base d’un devis préalable accepté par le Client.

Sur réception d’une demande formalisée et validée par devis, ACPA Performance procédera à un export complet des Données Utilisateur :

  • dans un format structuré, couramment utilisé et interopérable (par exemple : CSV, JSON ou ZIP compressé) ;
  • via un canal de transfert sécurisé ou un lien de téléchargement à accès restreint ;
  • dans un délai maximum de quinze (15) jours ouvrés à compter de la validation du devis.

En l’absence de demande de restitution dans le délai imparti, ou en cas de non-acceptation du devis, les Données Utilisateur seront supprimées conformément au processus décrit à l’article 10 et ne pourront plus être récupérées.

ACPA Performance ne saurait être tenue responsable d’une perte, altération ou indisponibilité des données résultant :

  • d’une absence de demande ou d’une demande tardive,
  • ou du refus par le Client de la proposition de devis pour restitution.

La restitution des données n’inclut pas la récupération des paramètres, configurations, licences tierces, structures de base de données ou éléments techniques propres à la plateforme NabuTrack, qui demeurent la propriété exclusive d’ACPA Performance.

12. Mesures de sécurité

ACPA Performance met en œuvre toutes les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques, conformément à l’article 32 du RGPD.

Ces mesures visent à assurer la confidentialité, l’intégrité, la disponibilité et la résilience des données personnelles traitées pour le compte du Client.

À ce titre, ACPA Performance applique notamment les dispositifs suivants :

  • Chiffrement des données en transit (HTTPS/TLS) et au repos sur les serveurs de production.
  • Hébergement des données au sein d’infrastructures certifiées et sécurisées (actuellement OVH France), bénéficiant d’un haut niveau de redondance et de continuité de service.
  • Sauvegardes automatiques et supervision continue, avec conservation sur cinq (5) mois glissants conformément à l’article 10.
  • Contrôle d’accès rigoureux fondé sur le principe du moindre privilège, avec authentification forte des administrateurs et révocation immédiate des droits en cas de départ.
  • Journalisation et traçabilité de l’ensemble des connexions et actions sensibles.
  • Mises à jour de sécurité et correctifs appliqués régulièrement sur l’infrastructure et les composants applicatifs.
  • Tests, audits internes et vérifications périodiques visant à évaluer et améliorer le niveau de sécurité.
  • Sensibilisation du personnel et formation continue sur les bonnes pratiques en matière de protection des données.

Les sous-traitants techniques intervenant pour le compte d’ACPA Performance (notamment OVH, Zoho, Stripe, Intercom) s’engagent à offrir des garanties équivalentes en matière de sécurité et de confidentialité.

Le Client reconnaît qu’il lui appartient également de mettre en œuvre les mesures de sécurité appropriées relevant de sa responsabilité, notamment la protection de ses identifiants d’accès, la gestion des droits utilisateurs et la configuration des paramètres d’utilisation de la plateforme.

ACPA Performance ne saurait être tenue responsable des failles ou incidents résultant d’une négligence, d’une mauvaise configuration ou d’une utilisation non conforme de la plateforme par le Client ou ses utilisateurs.

Une description plus détaillée des mesures de sécurité peut être fournie au Client sur demande écrite, ou par référence à l’Annexe III – Mesures techniques et organisationnelles, annexée au présent Accord.

13. Assistance et audit

ACPA Performance met à disposition du Client toutes les informations nécessaires pour démontrer le respect de ses obligations au titre du présent Accord et du RGPD.

Le Client peut, sous réserve du respect des conditions ci-dessous, procéder ou faire procéder, à ses frais, à un audit raisonnable des mesures de sécurité et de conformité mises en œuvre par ACPA Performance.

Les audits sont encadrés par les règles suivantes :

  • un préavis écrit d’au moins trente (30) jours ouvrés doit être transmis à ACPA Performance ;
  • les audits ne peuvent être réalisés qu’une fois par période de douze (12) mois, sauf incident de sécurité avéré ;
  • ils doivent être effectués pendant les heures ouvrables et sans perturbation du fonctionnement de la plateforme NabuTrack ;
  • l’audit doit être conduit par un auditeur indépendant, signataire d’un accord de confidentialité spécifique et approuvé préalablement par ACPA Performance, afin de garantir la protection des informations techniques, commerciales et de sécurité de la plateforme ;
  • l’auditeur ne pourra accéder qu’aux informations strictement nécessaires à la vérification du respect des obligations découlant du présent Accord ;
  • un compte rendu d’audit devra être communiqué aux deux Parties.

Les frais d’audit sont à la charge du Client, sauf en cas de manquement grave avéré d’ACPA Performance.

En alternative, ACPA Performance peut fournir au Client des rapports d’audit réalisés par un tiers indépendant (par exemple un rapport d’audit ISO 27001, HDS ou équivalent), réputés suffisants pour démontrer la conformité aux exigences du RGPD.

14. Durée

Le présent DPA entre en vigueur à la date de souscription de la Licence et reste applicable pendant toute la durée de celle-ci et jusqu’à la suppression complète des données personnelles conformément à l’article 10 ci-dessus.

Les obligations d’ACPA Performance en matière de confidentialité, de sécurité et de protection des données personnelles demeurent applicables après la cessation du présent Accord, pour toute la durée nécessaire au respect des dispositions légales et réglementaires en vigueur.

15 ANNEXES

Les annexes ci-dessous font partie intégrante du présent Accord et ont la même valeur juridique que les clauses principales.

En cas de contradiction entre une annexe et le corps du présent Accord, les dispositions de l’annexe prévaudront pour la matière qu’elles traitent.

Annexe

Contenu

Annexe I

Description détaillée des traitements (finalités, durée, catégories de données/personnes)

Annexe II

Liste des sous-traitants autorisés (Zoho, OVH, Stripe, etc.)

Annexe III

Mesures techniques et organisationnelles détaillées (hash, chiffrement, sauvegarde, tests de vulnérabilité, MFA, etc.)

Annexe IV

Procédure de notification en cas de violation de données (étapes, délais, contact)

Annexe V

Modèle de demande d’audit ou d’export de données

Annexe VI

Liste des transferts hors UE et garanties associées

 

 

16.Mises à jour de l’Accord de Traitement de Données

L’Accord de Traitement de Données (DPA) fait partie intégrante des présentes CGL.

ACPA Performance se réserve le droit de modifier le DPA afin de tenir compte des évolutions légales, réglementaires, techniques ou organisationnelles affectant le traitement des données.

La version en vigueur du DPA est disponible en permanence à l’adresse suivante : https://www.nabutrack.com/juridique/accord-de-traitement-de-donnees-dpa/ 

Toute modification substantielle fera l’objet d’une notification au Client au moins trente (30) jours avant sa date d’effet, par courrier électronique ou notification via la plateforme NabuTrack.

En l’absence d’opposition écrite du Client avant la date d’entrée en vigueur, la nouvelle version sera réputée acceptée et applicable à compter de cette date.

Version

Date d’entrée en vigueur

Nature des modifications

1.0

15/10/2025

Version initiale du DPA NabuTrack