LÉGAL · ARTICLE 28 RGPD_
Contrat de sous-traitance
Dernière mise à jour : 30 juin 2026
Modèle de référence à faire valider par un conseil juridique avant publication, notamment pour les données de santé et de mineurs.
Le présent accord (« DPA ») encadre le traitement, par Klubster (le « Sous-traitant »), des données personnelles pour le compte du club (le « Responsable de traitement »). Il est accepté par le club lors de la création de son compte et complète les CGV.
1. Objet et durée
Le Sous-traitant traite les données des adhérents du club aux seules fins de fournir le service Klubster. Le traitement dure le temps de l’abonnement, puis selon les modalités de l’article 8.
2. Nature du traitement
| Personnes concernées | Adhérents, représentants légaux des mineurs, dirigeants. |
|---|---|
| Catégories de données | Identité, contact, adhésion/paiement, date de naissance, attestation de santé et signature. |
| Opérations | Collecte, hébergement, organisation, consultation, conservation, suppression. |
| Finalité | Gestion des inscriptions, des dossiers, des paiements et de la vie du club. |
3. Instructions
Le Sous-traitant ne traite les données que sur instructions documentées du Responsable, telles que matérialisées par l’usage du service, sauf obligation légale.
4. Confidentialité et sécurité
Le Sous-traitant garantit la confidentialité (personnes autorisées tenues à un engagement de confidentialité) et met en œuvre des mesures techniques et organisationnelles appropriées : cloisonnement par club, chiffrement en transit et au repos, contrôle des accès, journalisation, sauvegardes.
5. Sous-traitants ultérieurs
Le Responsable autorise le recours aux sous-traitants ultérieurs suivants, situés dans l’UE ou présentant des garanties appropriées :
- Supabase / AWS (hébergement base de données, authentification, stockage — Union européenne) ;
- Vercel (hébergement applicatif) ;
- Stripe (paiements).
Toute modification est portée à la connaissance du Responsable, qui peut s’y opposer pour un motif légitime.
6. Assistance
Le Sous-traitant aide le Responsable à répondre aux demandes d’exercice des droits des personnes, à garantir la sécurité, à notifier les violations et, le cas échéant, à réaliser une analyse d’impact (AIPD).
7. Violation de données
Le Sous-traitant notifie au Responsable toute violation de données dans les meilleurs délais après en avoir pris connaissance, avec les informations utiles pour permettre, si nécessaire, la notification à la CNIL sous 72 heures.
8. Sort des données en fin de contrat
À la fin de la prestation, le Sous-traitant, au choix du Responsable, restitue puis supprime les données (export disponible), sauf obligation légale de conservation.
9. Audit
Le Sous-traitant met à disposition les informations nécessaires pour démontrer le respect de l’article 28 et permet des audits raisonnables.
10. Localisation
Les données sont hébergées dans l’Union européenne. Aucun transfert hors UE n’est réalisé sans garanties appropriées (clauses contractuelles types).