← All legal documents

Accord de traitement des données

Modèle de DPA du Coach Portal — En vigueur le 27 avril 2026

Modèle. Il s’agit d’un modèle d’accord de traitement des données. Pour un accord signé couvrant votre utilisation du Coach Portal, contactez alex@saturdaymorning.fit. La signature électronique via DocuSign est disponible sur demande.

Ceci est une traduction du document original en anglais, fournie à titre de commodité. En cas de conflit ou d’incohérence entre cette traduction et la version anglaise, la version anglaise prévaut.

Le présent Accord de traitement des données ("DPA") est conclu entre l’entité identifiée comme "Client" sur la page de signature ("Client") et Saturday Inc., une société du Delaware ayant son établissement principal au 8 The Green, STE A, Dover, DE 19901 ("Saturday"). Le présent DPA complète et fait partie intégrante des Coach Terms of Service (les "Coach Terms") et de tout autre accord entre le Client et Saturday régissant l’utilisation par le Client du Saturday Coach Portal (ensemble, l’"Accord").

Les parties conviennent de ce qui suit :

1. Définitions

Les termes en majuscules non définis dans le présent DPA ont le sens qui leur est attribué dans l’Accord. Dans le présent DPA :

« Responsable du traitement » désigne le Client, c’est-à-dire la personne physique ou morale, l’autorité publique, l’agence ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du Traitement des Données à caractère personnel via le Saturday Coach Portal.

« Personne concernée » désigne une personne physique identifiée ou identifiable à laquelle se rapportent les Données à caractère personnel.

« EEE » désigne l’Espace économique européen.

« GDPR » désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (le Règlement général sur la protection des données), tel que modifié, complété ou remplacé à tout moment.

« Données à caractère personnel » désigne toute information se rapportant à une personne physique identifiée ou identifiable qui est Traitée par Saturday pour le compte du Client dans le cadre du Coach Portal, telle que décrite plus en détail à l’Annexe 1. « Données à caractère personnel » a le sens donné à « données à caractère personnel » à l’article 4(1) du GDPR.

« Violation de données à caractère personnel » désigne une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de Données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

« Traitement » (et ses formes dérivées « Traiter », « Traité ») désigne toute opération ou tout ensemble d’opérations effectuées sur des Données à caractère personnel, que ce soit ou non par des moyens automatisés, notamment la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

« Sous-traitant » désigne Saturday Inc., qui Traite des Données à caractère personnel pour le compte du Responsable du traitement comme décrit dans le présent DPA.

« Catégories particulières de Données à caractère personnel » désigne les Données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique, telles que décrites à l’article 9 du GDPR.

« Clauses contractuelles types » ou « SCCs » désigne les clauses contractuelles types annexées à la Décision d’exécution (UE) 2021/914 de la Commission européenne du 4 juin 2021, telles que modifiées, complétées ou remplacées à tout moment.

« Sous-traitant ultérieur » désigne tout tiers engagé par Saturday pour Traiter des Données à caractère personnel pour le compte du Client dans le cadre du Coach Portal.

« Autorité de contrôle » désigne une autorité publique indépendante instituée par un État membre de l’UE conformément à l’article 51 du GDPR.

« UK Addendum » désigne l’International Data Transfer Addendum to the EU Commission Standard Contractual Clauses (Version B1.0), publié par le UK Information Commissioner en vertu de la Section 119A du Data Protection Act 2018 et déposé devant le Parlement du Royaume-Uni le 2 février 2022, tel que révisé en vertu de la Section 18 des Mandatory Clauses de l’Addendum.

« UK GDPR » désigne le GDPR tel qu’il fait partie du droit d’Angleterre et du Pays de Galles, d’Écosse et d’Irlande du Nord en vertu de la Section 3 de l’European Union (Withdrawal) Act 2018, telle que modifiée par les Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019.

2. Champ d’application

2.1 Le présent DPA s’applique au Traitement par Saturday de Données à caractère personnel pour le compte du Client dans le cadre de l’utilisation par le Client du Saturday Coach Portal, y compris les données d’identité des athlètes, les données de santé et biométriques, les données d’activité, les données de facturation, les données d’audit et les données d’appartenance à une organisation.

2.2 Le présent DPA prend effet à sa signature par les deux parties et reste en vigueur pendant toute la durée de l’abonnement du Client au Coach Portal au titre de l’Accord. La résiliation ou l’expiration de l’Accord met automatiquement fin au présent DPA, sous réserve des obligations de la Section 15 (Restitution ou suppression des Données à caractère personnel).

2.3 En cas de conflit entre le présent DPA et l’Accord, le présent DPA prévaut en ce qui concerne le Traitement des Données à caractère personnel.

2.4 Le présent DPA ne s’applique pas aux Données à caractère personnel pour lesquelles Saturday est Responsable du traitement de son propre chef (par exemple, les données d’inscription au compte du Client ou les données que Saturday collecte à ses propres fins commerciales). Le traitement de ces données par Saturday est régi par la Politique de confidentialité du site Web et la Politique de confidentialité de l’application de Saturday.

3. Rôles et responsabilités

3.1 Le Client en tant que Responsable du traitement. Le Client est le Responsable du traitement des Données à caractère personnel Traitées via le Coach Portal. Le Client détermine les finalités et les moyens du Traitement et est responsable de veiller à ce que son utilisation du Coach Portal soit conforme aux lois applicables en matière de protection des données, y compris le GDPR.

3.2 Saturday en tant que Sous-traitant. Saturday est le Sous-traitant des Données à caractère personnel et ne Traitera les Données à caractère personnel que pour le compte et conformément aux instructions documentées du Client. Saturday ne Traitera pas les Données à caractère personnel à des fins autres que la fourniture, la sécurisation et la surveillance du service Coach Portal telles que décrites dans le présent DPA, l’Accord et les instructions documentées du Client.

3.3 Instructions documentées. Les instructions du Client à Saturday concernant le Traitement des Données à caractère personnel sont documentées dans : (a) les Coach Terms of Service ; (b) la Politique de confidentialité du Coach ; (c) le présent DPA ; et (d) tout avenant ou modification écrit convenu et signé par les deux parties. Saturday informera rapidement le Client si, de l’avis de Saturday, une instruction du Client enfreint le GDPR ou une autre loi applicable en matière de protection des données.

3.4 Traitement hors instructions. Saturday ne Traitera pas de Données à caractère personnel en dehors des instructions documentées du Client, sauf si la loi applicable à laquelle Saturday est soumis l’exige. Dans un tel cas, Saturday informera le Client de cette obligation légale avant le Traitement, sauf si la loi interdit une telle notification pour des motifs importants d’intérêt public.

4. Description du traitement

Conformément à l’article 28(3) du GDPR, les détails suivants décrivent le Traitement effectué dans le cadre du présent DPA :

  • Objet : La fourniture du Saturday Coach Portal, permettant aux entraîneurs et aux organisations de gérer les relations avec les athlètes, de consulter les données de conformité, de traiter la facturation via Stripe Connect, de générer des analyses organisationnelles et de tenir des journaux d’audit des actions administratives.
  • Durée : Pendant la durée de l’abonnement du Client au Coach Portal au titre de l’Accord, plus toute période de conservation postérieure à la résiliation spécifiée à la Section 15.
  • Nature et finalité : Conservation, extraction, affichage, organisation, structuration, adaptation, transmission et effacement des Données à caractère personnel nécessaires à la fourniture du service Coach Portal, y compris la gestion de la liste des athlètes, le suivi de la conformité, les opérations de facturation, la journalisation d’audit, l’usurpation d’identité à des fins d’assistance et la facilitation des communications.
  • Catégories de Données à caractère personnel : Telles que décrites à la Section 5 (Catégories de données) et à l’Annexe 1.
  • Catégories de Personnes concernées : Athlètes (utilisateurs finaux de l’application Saturday ayant consenti à l’accès de l’entraîneur) ; entraîneurs (professionnels de l’entraînement individuels) ; membres de l’organisation de l’entraîneur (administrateurs, entraîneurs assistants, administrateurs de facturation, entraîneurs en lecture seule) ; et personnel de Saturday (lors de l’exercice de l’usurpation d’identité à des fins d’assistance ou administratives).
  • Catégories particulières : Données de santé et données biométriques (les données d’activité des athlètes, le type de sport, la durée et les métriques de conformité peuvent constituer des données concernant la santé au sens de l’article 9 du GDPR). Le Client est responsable de garantir une base légale au titre de l’article 9(2) pour le Traitement de toute Catégorie particulière de Données à caractère personnel.

5. Catégories de données

Le tableau suivant décrit les catégories de Données à caractère personnel Traitées via le Coach Portal et les durées de conservation applicables :

Catégorie Éléments de données Durée de conservation
Identité Nom d’affichage, adresse e-mail, Firebase UID Durée du compte + 30 jours
Relation Lien entraîneur-athlète, appartenance à l’organisation, rôles attribués (9 rôles définis), horodatages de consentement, source du consentement, autorisations ACL par relation Durée de la relation + 90 jours
Conformité Indicateurs de récence d’activité (statut rouge/jaune/vert), nombre d’activités, jours depuis la dernière activité Calculé en temps réel ; non conservé de manière persistante
Activité Type de sport, durée, date de l’activité Durée du compte + 30 jours
Facturation Montants des frais, conditions de l’arrangement de facturation, statut du paiement, frais de plateforme, identifiants client Stripe, métadonnées d’abonnement 7 ans (réglementation financière et fiscale)
Audit Actions administratives (plus de 40 types d’actions), événements d’usurpation d’identité avec justification, UID de l’acteur, UID de la cible, adresse IP, agent utilisateur, horodatages, instantanés de l’état avant/après Indéfini (conservé au titre de l’article 17(3)(e) du GDPR : constatation, exercice ou défense de droits en justice)
Organisation Nom de l’organisation, hiérarchie (parent/enfant), liste des membres, rôles des membres, UID du propriétaire, statut de dissolution Durée de l’organisation + 90 jours

6. Sous-traitants ultérieurs

6.1 Sous-traitants ultérieurs autorisés. Le Client donne une autorisation écrite générale à Saturday pour engager les Sous-traitants ultérieurs énumérés à l’Annexe 2. À la date d’entrée en vigueur, Saturday utilise les Sous-traitants ultérieurs suivants pour les données du Coach Portal :

Sous-traitant ultérieur Finalité Emplacement
Google Cloud Platform (Firebase, Firestore, Cloud Functions, Cloud Secret Manager) Stockage des données, authentification, calcul sans serveur, gestion des secrets États-Unis (us-central1)
Stripe, Inc. Traitement des paiements (Stripe Connect pour la facturation des entraîneurs, gestion des abonnements) États-Unis
Brevo (Sendinblue SAS) E-mail transactionnel (notifications d’invitation, notifications d’usurpation d’identité) Union européenne
Klaviyo, Inc. E-mail marketing et communications de cycle de vie États-Unis
Cloudflare, Inc. CDN, DNS, protection DDoS, hébergement en périphérie du frontend du Coach Portal Réseau de périphérie mondial

6.2 Notification des changements. Saturday fournira au Client un préavis écrit d’au moins trente (30) jours avant d’engager un nouveau Sous-traitant ultérieur ou de remplacer un Sous-traitant ultérieur existant. Le préavis identifiera le Sous-traitant ultérieur, décrira le Traitement à effectuer et indiquera l’emplacement du Sous-traitant ultérieur.

6.3 Droit d’opposition. Le Client peut s’opposer à un Sous-traitant ultérieur nouveau ou de remplacement en notifiant Saturday par écrit dans les quatorze (14) jours suivant la réception du préavis au titre de la Section 6.2. L’opposition doit énoncer des motifs raisonnables relatifs à la protection des données. Saturday déploiera des efforts commercialement raisonnables pour mettre à la disposition du Client une modification du Coach Portal ou recommander une alternative commercialement raisonnable afin d’éviter le Traitement des Données à caractère personnel par le Sous-traitant ultérieur faisant l’objet de l’opposition. Si Saturday n’est pas en mesure de répondre à l’opposition du Client dans les trente (30) jours suivant sa réception, le Client peut résilier l’abonnement au Coach Portal sur notification écrite à Saturday, et Saturday fournira un remboursement au prorata de tout montant prépayé non utilisé.

6.4 Obligations du Sous-traitant ultérieur. Saturday : (a) imposera à chaque Sous-traitant ultérieur, par voie de contrat écrit, des obligations de protection des données au moins aussi protectrices que celles énoncées dans le présent DPA ; et (b) restera pleinement responsable envers le Client de l’exécution des obligations de chaque Sous-traitant ultérieur.

7. Mesures de sécurité

Conformément à l’article 28(3)(c) et à l’article 32 du GDPR, Saturday met en œuvre et maintient les mesures techniques et organisationnelles suivantes pour protéger les Données à caractère personnel. Ces mesures sont détaillées plus en profondeur à l’Annexe 3.

7.1 Chiffrement

  • En transit : Tout le trafic API et web est chiffré à l’aide de TLS 1.3.
  • Au repos : Toutes les données au repos sont chiffrées à l’aide d’AES-256 via le chiffrement par défaut de Google Cloud Platform.

7.2 Contrôle d’accès

  • Restriction au niveau de la base de données : Les Firestore Security Rules imposent un contrôle d’accès par document. L’accès de l’entraîneur est limité aux athlètes de la liste active de l’entraîneur. Les règles de sécurité valident le statut de la relation entraîneur-athlète avant d’accorder un accès en lecture ou en écriture.
  • Contrôle d’accès basé sur les rôles (RBAC) : Neuf (9) rôles définis avec vingt-trois (23) autorisations distinctes régissent l’accès aux fonctions du Coach Portal. La résolution des autorisations est imposée au niveau du middleware de l’API, renvoyant un HTTP 403 en cas de requêtes non autorisées.
  • Principe du besoin d’en connaître : Le personnel de Saturday accède aux Données à caractère personnel uniquement dans la mesure nécessaire à l’accomplissement de ses fonctions, sous réserve d’obligations de confidentialité écrites.

7.3 Journalisation d’audit

  • Toutes les actions administratives, les événements d’usurpation d’identité et les opérations d’accès aux données sont enregistrés dans un journal d’audit en ajout seul. Les entrées du journal d’audit ne sont jamais mises à jour ni supprimées.
  • Chaque entrée d’audit enregistre : l’identité de l’acteur, le type d’action (plus de 40 actions définies), la cible, l’état avant/après, l’adresse IP, l’agent utilisateur et l’horodatage.

7.4 Contrôles d’usurpation d’identité

  • Les sessions d’usurpation d’identité administrative sont limitées à trente (30) minutes et nécessitent une justification écrite.
  • Les événements d’usurpation d’identité sont consignés dans la piste d’audit et déclenchent une notification à l’utilisateur usurpé.
  • Seuls les utilisateurs disposant de l’autorisation PermImpersonate (administrateurs d’organisation, entraîneurs principaux et personnel de Saturday) peuvent initier l’usurpation d’identité.

7.5 Authentification

  • L’authentification est gérée via Firebase Authentication.
  • L’authentification multifacteur (MFA) est disponible pour tous les utilisateurs et peut être imposée au niveau de l’organisation pour les clients de niveau Enterprise, avec des périodes de grâce configurables et des méthodes autorisées (TOTP, SMS).

7.6 Mesures organisationnelles

  • Le personnel de Saturday ayant accès aux Données à caractère personnel est lié par des obligations de confidentialité écrites.
  • Saturday procède à des évaluations périodiques des vulnérabilités de l’infrastructure du Coach Portal.
  • Saturday maintient une procédure de réponse aux incidents, y compris le processus de notification des violations décrit à la Section 11.
  • Saturday effectue une revue de sécurité annuelle de ses mesures techniques et organisationnelles.

8. Confidentialité

8.1 Saturday veillera à ce que toute personne autorisée à Traiter des Données à caractère personnel pour son compte se soit engagée à respecter des obligations de confidentialité ou soit soumise à une obligation légale appropriée de confidentialité, conformément à l’article 28(3)(b) du GDPR.

8.2 Saturday ne divulguera pas de Données à caractère personnel à un tiers, sauf : (a) dans la mesure nécessaire à la fourniture du service Coach Portal par l’intermédiaire des Sous-traitants ultérieurs autorisés énumérés à l’Annexe 2 ; (b) si la loi applicable, la réglementation ou une ordonnance contraignante d’un tribunal ou d’une autorité gouvernementale l’exige ; ou (c) si le Client l’autorise expressément par écrit.

8.3 Si Saturday reçoit une demande juridiquement contraignante d’une autorité publique en vue de la divulgation de Données à caractère personnel, Saturday notifiera rapidement le Client d’une telle demande avant toute divulgation, sauf interdiction légale de le faire. Saturday déploiera des efforts raisonnables pour rediriger l’autorité afin qu’elle demande les données directement au Client.

9. Engagement de Sous-traitants ultérieurs

9.1 Conformément à l’article 28(2) et 28(4) du GDPR, Saturday n’engagera pas de Sous-traitant ultérieur sans l’autorisation écrite générale préalable du Client, que le Client accorde au titre de la Section 6.1, sous réserve du mécanisme de notification et d’opposition des Sections 6.2 et 6.3.

9.2 Saturday imposera à chaque Sous-traitant ultérieur, par voie de contrat écrit conformément à l’article 28(4) du GDPR, des obligations de protection des données substantiellement équivalentes à celles imposées à Saturday au titre du présent DPA, y compris les obligations relatives à la confidentialité, aux mesures de sécurité, aux transferts internationaux de données et à la coopération avec le Responsable du traitement et les Autorités de contrôle.

9.3 Saturday reste pleinement responsable envers le Client des actes et omissions de ses Sous-traitants ultérieurs dans la même mesure que Saturday serait responsable s’il effectuait le Traitement directement.

9.4 Sur demande écrite du Client, Saturday fournira au Client une copie d’un contrat de Sous-traitant ultérieur (qui peut être expurgé afin de supprimer les informations commercialement sensibles non pertinentes pour la protection des données) afin de permettre au Client de vérifier la conformité à la présente Section.

10. Assistance aux droits des Personnes concernées

10.1 Conformément à l’article 28(3)(e) du GDPR, Saturday assistera le Client, par des mesures techniques et organisationnelles appropriées et compte tenu de la nature du Traitement, dans l’accomplissement de ses obligations de répondre aux demandes des Personnes concernées d’exercer leurs droits au titre du Chapitre III du GDPR, y compris les droits d’accès, de rectification, d’effacement, de portabilité des données, de limitation du Traitement et d’opposition.

10.2 Saturday répondra aux demandes d’assistance du Client au titre de la présente Section dans un délai de cinq (5) jours ouvrables. L’assistance comprend : la fourniture d’exportations de données des athlètes, l’exécution de la suppression des données à la clôture du compte (suppression immédiate de l’accès suivie d’une purge des données sous 30 jours), la correction des données sur notification du Client et la limitation du Traitement selon les instructions.

10.3 Si Saturday reçoit une demande directement d’une Personne concernée relative à des Données à caractère personnel Traitées au titre du présent DPA, Saturday redirigera rapidement la Personne concernée vers le Client ou, le cas échéant et avec l’autorisation écrite préalable du Client, donnera suite à la demande pour le compte du Client. Saturday ne répondra pas directement à une demande d’une Personne concernée sans l’autorisation du Client, sauf pour informer la Personne concernée que la demande a été transmise au Client.

10.4 Le Coach Portal fournit une interface de demande de confidentialité par laquelle le Client peut soumettre des demandes d’accès, d’exportation et de suppression pour le compte des Personnes concernées, avec un niveau de service de trente (30) jours pour leur exécution.

11. Notification de violation de données à caractère personnel

11.1 Conformément à l’article 28(3)(f) du GDPR, Saturday notifiera au Client une Violation de données à caractère personnel sans retard injustifié et, en tout état de cause, dans les soixante-douze (72) heures après en avoir pris connaissance.

11.2 La notification comprendra, dans la mesure où ces informations sont raisonnablement disponibles au moment de la notification :

  1. Une description de la nature de la Violation de données à caractère personnel, y compris les catégories et le nombre approximatif de Personnes concernées affectées ainsi que les catégories et le nombre approximatif d’enregistrements de Données à caractère personnel affectés ;
  2. Le nom et les coordonnées du point de contact de Saturday auprès duquel des informations supplémentaires peuvent être obtenues ;
  3. Une description des conséquences probables de la Violation de données à caractère personnel ; et
  4. Une description des mesures prises ou qu’il est proposé de prendre par Saturday pour remédier à la Violation de données à caractère personnel, y compris les mesures visant à en atténuer les éventuels effets négatifs.

11.3 Lorsqu’il n’est pas possible de fournir toutes les informations en même temps, Saturday fournira les informations de manière échelonnée sans autre retard injustifié.

11.4 Saturday coopérera avec le Client et l’assistera en ce qui concerne toute enquête, atténuation et remédiation de la Violation de données à caractère personnel, ainsi que dans le respect par le Client de ses obligations au titre des articles 33 et 34 du GDPR.

11.5 La notification ou la réponse de Saturday à une Violation de données à caractère personnel au titre de la présente Section ne sera pas interprétée comme une reconnaissance par Saturday d’une quelconque faute ou responsabilité à l’égard de la violation.

12. Assistance à l’analyse d’impact relative à la protection des données

12.1 Conformément à l’article 28(3)(f) du GDPR, Saturday fournira une assistance raisonnable au Client dans la réalisation d’analyses d’impact relatives à la protection des données ("DPIAs") au titre de l’article 35 du GDPR et, le cas échéant, dans la consultation de l’Autorité de contrôle compétente au titre de l’article 36 du GDPR, dans chaque cas uniquement en ce qui concerne le Traitement de Données à caractère personnel au titre du présent DPA et compte tenu de la nature du Traitement et des informations dont dispose Saturday.

12.2 Saturday mettra à la disposition du Client les informations sur les activités de Traitement du Coach Portal qui sont raisonnablement nécessaires pour que le Client réalise une DPIA, y compris les descriptions des mesures techniques et organisationnelles énoncées à la Section 7 et à l’Annexe 3.

13. Droits d’audit

13.1 Conformément à l’article 28(3)(h) du GDPR, Saturday mettra à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations prévues à l’article 28 du GDPR et au présent DPA, et permettra la réalisation d’audits, y compris d’inspections, par le Client ou un auditeur mandaté par le Client, et y contribuera.

13.2 Le Client peut réaliser un (1) audit par période de douze (12) mois. Les audits seront réalisés : (a) aux frais du Client ; (b) pendant les heures normales d’ouverture de Saturday ; (c) avec un préavis écrit d’au moins trente (30) jours à Saturday ; et (d) d’une manière qui ne perturbe pas de façon déraisonnable les opérations de Saturday.

13.3 Saturday peut satisfaire à la demande d’audit du Client en fournissant des copies des rapports ou certifications d’audit de tiers pertinents (tels que des rapports SOC 2 Type II, des certifications ISO 27001 ou équivalents) qui couvrent les activités de Traitement au titre du présent DPA. Si ces rapports ne répondent pas de manière adéquate aux préoccupations raisonnables du Client, le Client conserve le droit de réaliser un audit direct au titre de la Section 13.2.

13.4 L’auditeur mandaté par le Client sera lié par des obligations de confidentialité écrites et ne sera pas un concurrent de Saturday. Le Client communiquera à Saturday l’identité de l’auditeur avant l’audit.

13.5 Si un audit révèle un manquement substantiel au présent DPA, Saturday remédiera rapidement au manquement à ses propres frais et notifiera au Client les mesures de remédiation prises.

14. Transferts internationaux de données

14.1 Emplacement des données. Saturday stocke les Données à caractère personnel principalement dans la région us-central1 de Google Cloud aux États-Unis. Certains Sous-traitants ultérieurs (Brevo) stockent les données dans l’Union européenne, et certains Sous-traitants ultérieurs (Cloudflare) traitent les données sur un réseau de périphérie mondial.

14.2 Mécanisme de transfert — EEE. Dans la mesure où des Données à caractère personnel sont transférées de l’EEE vers les États-Unis ou tout autre pays ne faisant pas l’objet d’une décision d’adéquation de la Commission européenne, les parties conviennent que les Clauses contractuelles types de l’UE de 2021 (Décision d’exécution (UE) 2021/914 de la Commission), Module 2 (Responsable du traitement vers Sous-traitant), sont incorporées au présent DPA par référence et s’appliquent à ces transferts. Aux fins des SCCs :

  • L’« exportateur de données » est le Client (Responsable du traitement) ;
  • L’« importateur de données » est Saturday (Sous-traitant) ;
  • Clause 7 (Clause d’amarrage) : La clause d’amarrage facultative s’applique, permettant à des entités supplémentaires d’adhérer aux SCCs ;
  • Clause 9(a) (Sous-traitants ultérieurs) : L’Option 2 (Autorisation écrite générale) s’applique, avec un préavis de trente (30) jours de tout ajout ou remplacement envisagé de Sous-traitants ultérieurs ;
  • Clause 17 (Droit applicable) : Les SCCs seront régies par le droit de l’Irlande ;
  • Clause 18 (Choix de la juridiction et du for) : Les litiges découlant des SCCs seront résolus devant les tribunaux de l’Irlande ;
  • L’Annexe I.A (Liste des parties), l’Annexe I.B (Description du transfert) et l’Annexe I.C (Autorité de contrôle compétente) sont complétées à l’Annexe 1 du présent DPA ;
  • L’Annexe II (Mesures techniques et organisationnelles) est complétée à l’Annexe 3 du présent DPA ;
  • L’Annexe III (Liste des Sous-traitants ultérieurs) est complétée à l’Annexe 2 du présent DPA.

14.3 Mécanisme de transfert — Royaume-Uni. Dans la mesure où des Données à caractère personnel sont transférées depuis le Royaume-Uni, l’UK International Data Transfer Addendum to the EU Commission Standard Contractual Clauses (Version B1.0, publié par l’ICO et déposé devant le Parlement le 2 février 2022, tel que révisé en vertu de la Section 18 desdites Mandatory Clauses) s’applique à ces transferts et est incorporé au présent DPA par référence. Les informations requises par les Tableaux 1 à 4 de l’UK Addendum sont celles énoncées dans les SCCs incorporées au titre de la Section 14.2, sous réserve de ce qui suit :

  • Les Approved EU SCCs visées au Tableau 2 sont les SCCs telles qu’incorporées au titre de la Section 14.2 du présent DPA, y compris l’Appendix Information ;
  • Chaque partie peut mettre fin à l’UK Addendum conformément à ses termes ;
  • L’UK Information Commissioner’s Office est l’autorité de contrôle compétente pour les transferts soumis à l’UK GDPR.

14.4 Mécanisme de transfert — Suisse. Dans la mesure où des Données à caractère personnel sont transférées depuis la Suisse, les SCCs incorporées au titre de la Section 14.2 s’appliquent avec les modifications suivantes : (a) les références au GDPR sont interprétées comme des références à la Swiss Federal Act on Data Protection ("FADP") selon le cas ; (b) les références à « État membre » sont interprétées comme incluant la Suisse ; (c) les références à l’« autorité de contrôle compétente » sont interprétées comme des références au Swiss Federal Data Protection and Information Commissioner ("FDPIC") ; et (d) les références à « UE », « Union » et « droit des États membres » sont interprétées de manière à ne pas exclure les personnes concernées suisses de l’exercice de leurs droits dans leur lieu de résidence habituelle en Suisse.

14.5 Mesures supplémentaires. Saturday a évalué les lois et pratiques des États-Unis conformément aux Recommandations 01/2020 de l’EDPB (version 2.0, adoptées le 18 juin 2021) relatives aux mesures qui complètent les outils de transfert pour garantir le respect du niveau de protection des données à caractère personnel de l’UE. Saturday met en œuvre les mesures supplémentaires suivantes :

  • Mesures techniques : Chiffrement des Données à caractère personnel en transit (TLS 1.3) et au repos (AES-256) ; contrôles d’accès par document ; usurpation d’identité limitée dans le temps avec journalisation de la justification ;
  • Mesures contractuelles : Contrats de Sous-traitants ultérieurs exigeant des protections équivalentes ; engagement de contester les demandes d’accès gouvernementales dans la mesure où la loi le permet ; transparence concernant les demandes d’accès gouvernementales reçues (le cas échéant et dans la mesure où la loi le permet) ;
  • Mesures organisationnelles : Restrictions d’accès selon le besoin d’en connaître ; obligations de confidentialité pour l’ensemble du personnel ; revues de sécurité périodiques ; procédures de réponse aux incidents.

14.6 Déclaration du Client. Le Client déclare et garantit qu’il a le pouvoir de transférer des Données à caractère personnel à Saturday, y compris au-delà des frontières internationales, et que ces transferts sont effectués dans le respect des lois applicables en matière de protection des données.

15. Restitution ou suppression des Données à caractère personnel

15.1 Conformément à l’article 28(3)(g) du GDPR, à la résiliation ou à l’expiration de l’Accord, Saturday, au choix et sur demande écrite du Client, soit : (a) restituera toutes les Données à caractère personnel au Client dans un format couramment utilisé et lisible par machine ; soit (b) supprimera toutes les Données à caractère personnel et les copies existantes. Saturday achèvera cette restitution ou suppression dans les trente (30) jours suivant la réception de la demande écrite du Client.

15.2 Si le Client ne fournit pas d’instructions dans les trente (30) jours suivant la résiliation ou l’expiration de l’Accord, Saturday supprimera toutes les Données à caractère personnel conformément à la Section 15.1(b).

15.3 Exceptions. Saturday peut conserver des Données à caractère personnel après la résiliation dans la mesure où la loi applicable l’exige, notamment :

  • Registres de facturation : Conservés pendant sept (7) ans comme l’exigent les réglementations financières et fiscales applicables ;
  • Entrées du journal d’audit : Conservées dans la mesure nécessaire à la constatation, à l’exercice ou à la défense de droits en justice au titre de l’article 17(3)(e) du GDPR ;
  • Données requises par une ordonnance judiciaire ou un mandat réglementaire.

Saturday notifiera au Client toute obligation de conservation de ce type et limitera le Traitement des données conservées à la finalité légale spécifique pour laquelle la conservation est requise.

15.4 À l’achèvement de la restitution ou de la suppression, Saturday fournira au Client une certification écrite de la suppression, sur demande écrite.

15.5 Les données qui ont été anonymisées de telle sorte qu’elles ne constituent plus des Données à caractère personnel au sens du GDPR peuvent être conservées par Saturday sans restriction.

16. Responsabilité et indemnisation

16.1 La responsabilité de chaque partie au titre du présent DPA est soumise aux exclusions et limitations de responsabilité énoncées dans l’Accord, sauf que ces limitations ne limiteront pas la responsabilité d’une partie envers les Personnes concernées au titre des SCCs ou de la loi applicable en matière de protection des données lorsqu’une telle limitation n’est pas permise.

16.2 Chaque partie indemnisera et garantira l’autre partie contre toutes les réclamations, dommages, pertes, coûts et dépenses (y compris les honoraires raisonnables d’avocats) découlant de ou en lien avec toute réclamation d’un tiers résultant du manquement de la partie indemnisante au présent DPA.

16.3 La responsabilité globale de Saturday pour toutes les réclamations découlant du présent DPA, qu’elles soient contractuelles, délictuelles ou autres, n’excédera pas le total des frais payés par le Client à Saturday au titre de l’Accord au cours des douze (12) mois précédant immédiatement l’événement donnant lieu à la réclamation. Cette limitation ne s’applique pas à : (a) la responsabilité de Saturday au titre des SCCs ; (b) les obligations d’indemnisation de Saturday au titre de la Section 16.2 dans la mesure où elles découlent de la faute intentionnelle ou de la négligence grave de Saturday ; ou (c) les amendes réglementaires imposées directement au Client par une Autorité de contrôle, qui demeurent de la seule responsabilité du Client.

17. Durée et résiliation

17.1 Le présent DPA prend effet à la date de sa signature et restera en vigueur pendant toute la durée de l’abonnement du Client au Coach Portal au titre de l’Accord.

17.2 Chaque partie peut résilier le présent DPA pour manquement substantiel en donnant un préavis écrit de trente (30) jours à l’autre partie, à condition que la partie en défaut ait eu la possibilité de remédier au manquement dans ce délai de préavis.

17.3 La résiliation de l’Accord (y compris la résiliation de l’abonnement du Client au Coach Portal) met automatiquement fin au présent DPA.

17.4 Les Sections suivantes survivent à la résiliation ou à l’expiration du présent DPA : Section 1 (Définitions), Section 8 (Confidentialité), Section 11 (Notification de violation de données à caractère personnel), Section 13 (Droits d’audit, pour une période de douze mois après la résiliation), Section 14 (Transferts internationaux de données, dans la mesure où les Données à caractère personnel restent en possession de Saturday), Section 15 (Restitution ou suppression des Données à caractère personnel), Section 16 (Responsabilité et indemnisation) et Section 22 (Droit applicable).

18. Signature

18.1 Le présent DPA peut être signé en plusieurs exemplaires, chacun étant réputé être un original et tous ensemble constituant un seul et même instrument.

18.2 Les signatures électroniques (y compris celles fournies via DocuSign ou des services de signature électronique équivalents) auront la même force et le même effet juridiques que les signatures manuscrites originales.

18.3 Pour obtenir une copie signée du présent DPA, contactez Saturday à l’adresse alex@saturdaymorning.fit. La signature électronique via DocuSign est disponible sur demande.

Annexe 1 : Description du traitement

La présente Annexe fait partie du présent DPA et satisfait aux exigences de l’Annexe I des Clauses contractuelles types (Module 2 : Responsable du traitement vers Sous-traitant).

A. Liste des parties

Rôle Partie Détails
Exportateur de données (Responsable du traitement) Client Tel qu’identifié sur la page de signature. Activités pertinentes pour le transfert : utilisation du Saturday Coach Portal pour gérer les relations avec les athlètes, consulter les données de conformité et traiter la facturation.
Importateur de données (Sous-traitant) Saturday Inc. 8 The Green, STE A, Dover, DE 19901, États-Unis. Contact : alex@saturdaymorning.fit. Activités pertinentes pour le transfert : fourniture de la plateforme SaaS du Coach Portal.

B. Description du transfert

Champ Description
Catégories de Personnes concernées Athlètes (utilisateurs finaux de l’application Saturday) ; entraîneurs (professionnels de l’entraînement individuels) ; membres de l’organisation (administrateurs, entraîneurs assistants, administrateurs de facturation, entraîneurs principaux, entraîneurs en lecture seule) ; personnel de Saturday (lors de l’exercice de l’usurpation d’identité).
Catégories de Données à caractère personnel Données d’identité (nom d’affichage, e-mail, Firebase UID) ; données de relation (liens entraîneur-athlète, appartenance à l’organisation, rôles, enregistrements de consentement) ; données de conformité (récence d’activité, nombre d’activités) ; données d’activité (type de sport, durée, date) ; données de facturation (montants des frais, conditions de l’arrangement, statut du paiement, identifiants Stripe) ; données d’audit (actions administratives, événements d’usurpation d’identité, adresses IP, agents utilisateur, horodatages) ; données d’organisation (nom, hiérarchie, liste des membres, rôles).
Catégories particulières de Données à caractère personnel Données de santé : les données d’activité des athlètes (type de sport, durée et métriques de conformité) peuvent constituer des données concernant la santé au sens de l’article 9 du GDPR. Restrictions et garanties appliquées : contrôles d’accès à la base de données par document, accès basé sur les rôles, chiffrement au repos et en transit, partage de données fondé sur le consentement.
Fréquence du transfert Continue, pendant la durée de l’Accord.
Nature du traitement Collecte, conservation, structuration, extraction, consultation, utilisation, communication par transmission, rapprochement, interconnexion, limitation, effacement et destruction.
Finalité du traitement Fourniture du service Coach Portal : gestion de la liste des athlètes, suivi de la conformité, opérations de facturation via Stripe Connect, analyses organisationnelles, journalisation d’audit, usurpation d’identité administrative à des fins d’assistance et communications transactionnelles.
Durée de conservation Telle que spécifiée à la Section 5 (Catégories de données) du présent DPA : données d’identité et données d’activité pendant la durée du compte plus 30 jours ; données de relation et d’organisation pendant la durée plus 90 jours ; données de facturation pendant 7 ans ; données d’audit indéfiniment (base de l’article 17(3)(e)) ; données de conformité calculées en temps réel et non conservées de manière persistante.

C. Autorité de contrôle compétente

L’autorité de contrôle compétente sera déterminée conformément à la Clause 13 des SCCs. Lorsque l’Exportateur de données est établi dans un État membre de l’UE, l’autorité de contrôle de cet État membre sera l’autorité compétente. Lorsque l’Exportateur de données n’est pas établi dans un État membre de l’UE mais relève du champ d’application territorial du GDPR en vertu de l’article 3(2), l’autorité de contrôle de l’État membre désigné par l’Exportateur de données sur la page de signature sera l’autorité compétente. En l’absence d’une telle désignation, l’Irish Data Protection Commission fera office d’autorité de contrôle compétente.

Annexe 2 : Liste des Sous-traitants ultérieurs

La présente Annexe fait partie du présent DPA et satisfait aux exigences de l’Annexe III des Clauses contractuelles types (Module 2 : Responsable du traitement vers Sous-traitant).

Sous-traitant ultérieur Adresse Description du traitement Emplacement
Google LLC (Google Cloud Platform, Firebase, Firestore, Cloud Functions, Cloud Secret Manager) 1600 Amphitheatre Parkway, Mountain View, CA 94043, États-Unis Infrastructure cloud : stockage des données (Firestore), authentification des utilisateurs (Firebase Auth), calcul sans serveur (Cloud Functions), gestion des secrets (Cloud Secret Manager) et hébergement. États-Unis (us-central1)
Stripe, Inc. 354 Oyster Point Blvd, South San Francisco, CA 94080, États-Unis Traitement des paiements : Stripe Connect pour la facturation entraîneur-athlète, gestion des abonnements, enregistrement des frais, traitement des remboursements et vérification d’identité (KYC) des entraîneurs. États-Unis
Sendinblue SAS (d/b/a Brevo) 106 boulevard Haussmann, 75008 Paris, France E-mail transactionnel : notifications d’invitation des entraîneurs, notifications d’événements d’usurpation d’identité et communications générées par le système. Union européenne (France)
Klaviyo, Inc. 125 Summer Street, Boston, MA 02110, États-Unis E-mail marketing : communications de cycle de vie des entraîneurs, envoi de codes de réduction et séquences d’e-mails d’intégration. États-Unis
Cloudflare, Inc. 101 Townsend Street, San Francisco, CA 94107, États-Unis Diffusion de contenu, résolution DNS, protection DDoS et hébergement en périphérie de l’application frontend du Coach Portal. Réseau de périphérie mondial

Annexe 3 : Mesures techniques et organisationnelles

La présente Annexe fait partie du présent DPA et satisfait aux exigences de l’Annexe II des Clauses contractuelles types (Module 2 : Responsable du traitement vers Sous-traitant). Les mesures suivantes décrivent les mesures de sécurité techniques et organisationnelles mises en œuvre par Saturday (Importateur de données).

Chiffrement des Données à caractère personnel

  • Toutes les données en transit sont chiffrées à l’aide de TLS 1.3.
  • Toutes les données au repos sont chiffrées à l’aide d’AES-256 via le chiffrement par défaut de Google Cloud Platform. Google gère les clés de chiffrement conformément au Key Management Service de Google.

Confidentialité, intégrité, disponibilité et résilience

  • Les Firestore Security Rules imposent un contrôle d’accès par document, limitant l’accès de l’entraîneur aux athlètes de la liste active de l’entraîneur.
  • Neuf (9) rôles définis et vingt-trois (23) autorisations distinctes régissent l’accès au niveau de l’application.
  • Google Cloud Platform fournit des capacités de redondance, de sauvegarde et de reprise après sinistre au niveau de l’infrastructure.
  • Saturday maintient des procédures de réponse aux incidents pour l’identification et la remédiation rapides des interruptions de disponibilité.

Capacité de rétablir la disponibilité et l’accès

  • Saturday s’appuie sur les mécanismes de sauvegarde et de récupération au niveau de l’infrastructure de Google Cloud Platform, y compris la réplication automatique de Firestore sur plusieurs zones de disponibilité.

Tests et évaluations réguliers

  • Saturday effectue des revues de sécurité annuelles de ses mesures techniques et organisationnelles.
  • Saturday procède à des évaluations périodiques des vulnérabilités de l’infrastructure du Coach Portal.
  • Saturday teste ses procédures de réponse aux incidents afin de garantir la préparation aux scénarios de Violation de données à caractère personnel.

Identification et autorisation des utilisateurs

  • L’authentification est gérée via Firebase Authentication, prenant en charge la connexion par e-mail/mot de passe et basée sur OAuth.
  • L’authentification multifacteur (MFA) est disponible et peut être imposée par organisation pour les clients de niveau Enterprise, avec des périodes de grâce configurables et des méthodes autorisées (TOTP, SMS).
  • Le middleware de l’API impose des autorisations basées sur les rôles à chaque endpoint, renvoyant un HTTP 403 pour les tentatives d’accès non autorisées.
  • La gestion des sessions comprend l’énumération des sessions, la révocation de sessions individuelles et la révocation de toutes les autres sessions.

Protection des données pendant la transmission et le stockage

  • Chiffrement TLS 1.3 pour tout le trafic API et web entre les clients et les services de Saturday.
  • Chiffrement AES-256 au repos pour toutes les collections Firestore, les objets Cloud Storage et les autres services de stockage GCP.
  • Stripe gère les données de cartes de paiement dans une infrastructure conforme PCI-DSS ; Saturday ne stocke, ne traite ni ne transmet de données de titulaire de carte.

Sécurité physique des lieux de traitement

  • Toutes les Données à caractère personnel sont stockées dans des centres de données Google Cloud Platform. Google maintient des contrôles de sécurité physique certifiés SOC 2 Type II et ISO 27001, y compris des restrictions d’accès, de la surveillance et des contrôles environnementaux.

Journalisation des événements

  • Saturday maintient un journal d’audit en ajout seul enregistrant toutes les actions administratives (plus de 40 types d’actions définies), les événements d’usurpation d’identité (avec justification), l’identité de l’acteur, la cible, les instantanés de l’état avant/après, l’adresse IP, l’agent utilisateur et les horodatages.
  • Les entrées du journal d’audit ne sont jamais mises à jour ni supprimées.
  • Google Cloud Logging capture tous les journaux structurés, y compris les événements au niveau de l’application et de l’infrastructure.

Minimisation des données

  • Les indicateurs de conformité (récence d’activité, nombre d’activités) sont calculés en temps réel et ne sont pas conservés de manière persistante.
  • Les entraîneurs ne peuvent pas accéder aux jetons d’intégration des athlètes (identifiants OAuth pour des services tiers tels que TrainingPeaks et Intervals.icu), aux données biométriques brutes, aux prescriptions de santé détaillées ou aux identifiants de paiement.

Conservation et suppression des données

  • Les durées de conservation sont spécifiées par catégorie de données à la Section 5 du présent DPA.
  • La suppression du compte déclenche la suppression immédiate de l’accès et une purge des données sous 30 jours.
  • La révocation de la relation par un athlète met immédiatement fin à l’accès de l’entraîneur via les Firestore Security Rules, les enregistrements historiques étant conservés selon la durée de conservation applicable.

Responsabilité

  • Saturday maintient le présent DPA, la Politique de confidentialité du Coach et les Coach Terms of Service en tant que registres documentés de ses engagements en matière de protection des données.
  • Le flux d’acceptation des Terms of Service de Saturday enregistre l’acceptation par chaque utilisateur de la version actuelle des ToS, y compris l’horodatage, l’adresse IP et l’agent utilisateur.

Sécurité des Sous-traitants ultérieurs

  • Chaque Sous-traitant ultérieur est contractuellement lié par des obligations de protection des données substantiellement équivalentes à celles du présent DPA.
  • Google Cloud Platform maintient les certifications SOC 2 Type II, ISO 27001 et ISO 27017.
  • Stripe maintient la certification PCI-DSS Level 1 et des rapports SOC 2 Type II.
  • Brevo maintient une infrastructure conforme au GDPR au sein de l’Union européenne.
  • Cloudflare maintient les certifications SOC 2 Type II et ISO 27001.

19. Dispositions générales

19.1 Intégralité de l’accord. Le présent DPA, conjointement avec l’Accord, constitue l’intégralité de l’accord entre les parties en ce qui concerne le Traitement des Données à caractère personnel et remplace tous les accords, ententes ou déclarations antérieurs ou contemporains relatifs au même objet.

19.2 Modifications. Le présent DPA ne peut être modifié que par un instrument écrit signé par les deux parties. Nonobstant ce qui précède, Saturday peut mettre à jour les mesures techniques et organisationnelles décrites à la Section 7 et à l’Annexe 3 à tout moment, à condition que ces mises à jour ne diminuent pas matériellement le niveau global de protection accordé aux Données à caractère personnel.

19.3 Divisibilité. Si une disposition du présent DPA est jugée invalide ou inapplicable, les dispositions restantes demeureront pleinement en vigueur et de plein effet.

19.4 Absence de tiers bénéficiaires. Le présent DPA est conclu au seul bénéfice des parties et de leurs successeurs et ayants droit autorisés respectifs, sauf que les Personnes concernées sont des tiers bénéficiaires des SCCs telles qu’incorporées au présent DPA.

19.5 Notifications. Toutes les notifications au titre du présent DPA seront faites par écrit et envoyées aux adresses spécifiées dans l’Accord ou, pour Saturday, à alex@saturdaymorning.fit.

20. Coopération avec les Autorités de contrôle

20.1 Saturday coopérera, sur demande, avec l’Autorité de contrôle compétente dans l’exécution de ses missions, conformément à l’article 31 du GDPR.

20.2 Saturday informera rapidement le Client s’il reçoit une demande, une plainte ou une enquête d’une Autorité de contrôle relative au Traitement de Données à caractère personnel au titre du présent DPA.

21. Relation avec l’Accord

21.1 Rien dans le présent DPA ne réduit les obligations de Saturday au titre de l’Accord en ce qui concerne la protection des Données à caractère personnel ni ne permet à Saturday de Traiter des Données à caractère personnel d’une manière qui ne serait pas permise au titre de l’Accord.

21.2 Sauf pour les modifications apportées par le présent DPA, l’Accord demeure inchangé et pleinement en vigueur et de plein effet.

22. Droit applicable

22.1 Le présent DPA et toute obligation non contractuelle découlant de ou en lien avec celui-ci seront régis et interprétés conformément aux lois de l’État du Delaware, États-Unis, sans tenir compte de ses règles de conflit de lois.

22.2 Nonobstant la Section 22.1, dans la mesure où les SCCs l’exigent, les SCCs seront régies et interprétées conformément au droit spécifié à la Clause 17 des SCCs (le droit de l’Irlande), et les litiges découlant des SCCs seront résolus devant les tribunaux spécifiés à la Clause 18 des SCCs (les tribunaux de l’Irlande).

22.3 Dans la mesure où l’UK Addendum l’exige, l’UK Addendum sera régi et interprété conformément aux lois d’Angleterre et du Pays de Galles.

Contact

Pour les demandes de DPA, la signature ou les questions relatives à la protection des données :
Saturday Inc.
8 The Green, STE A, Dover, DE 19901
alex@saturdaymorning.fit

© 2026 Saturday Inc. — Tous droits réservés.