Protection des données personnelles
Politique de confidentialité
Dernière mise à jour : 17 avril 2026
ESS Fan Zone attache une importance particulière à la protection des données personnelles de ses utilisateurs. La présente politique décrit, en toute transparence, les données collectées, les finalités de leur traitement, vos droits et la manière de les exercer.
Article 1.Responsable de traitement
- Identité :
- ESS Fan Zone — projet indépendant dédié aux supporters de l’Étoile Sportive du Sahel
- Adresse :
- Stade Olympique de Sousse, 4000 Sousse, Tunisie
- Délégué à la protection des données (DPO) :
- [email protected]
Article 2.Données personnelles collectées
Selon les services utilisés, l’ESS collecte tout ou partie des données suivantes :
| Catégorie | Données concernées | Origine |
|---|---|---|
| Identification | Prénom, nom, email, téléphone, date d’inscription | Renseignées par l’utilisateur |
| Authentification | Mot de passe (haché bcrypt), tokens JWT, codes OTP | Générées par le système |
| Profil | Photo de profil, biographie, sections sportives suivies, joueur favori, tribune préférée | Renseignées par l’utilisateur |
| Transactions | Commandes, billets, transferts P2P, abonnements, recharges wallet, transactions Stars | Générées par les achats |
| Adresse de livraison | Pays, ville, adresse postale, code postal, téléphone | Renseignées au checkout |
| Préférences | Notifications (email/push), devise, choix d’affichage | Renseignées par l’utilisateur |
| Techniques | Adresse IP (hachée), user-agent, logs de connexion, identifiants d’appareil | Collectées automatiquement |
Article 3.Finalités du traitement
- Gestion du compte utilisateur — création, authentification, identification, support.
- Exécution des contrats — traitement et suivi des commandes, livraisons, billetterie, abonnements, remboursements.
- Programme de fidélité Fan Card — calcul des Stars, suivi des niveaux, attribution des récompenses.
- Wallet ESS — gestion du solde, traçabilité comptable, lutte contre la fraude.
- Communication — envoi d’emails transactionnels (commande, billet, abonnement) et, sous consentement, de communications marketing.
- Sécurité — détection des activités suspectes, lutte contre le piratage, traçabilité des accès admin.
- Statistiques agrégées — compréhension des usages pour améliorer le service. Aucune décision individuelle automatisée n’est prise.
Article 4.Bases légales (RGPD article 6)
- Exécution du contrat — pour les commandes, billets, abonnements, wallet.
- Obligation légale — pour la conservation des documents comptables et la lutte contre la fraude.
- Intérêt légitime — pour la sécurité du service et l’amélioration produit (statistiques agrégées).
- Consentement — pour les communications marketing, les cookies non essentiels, et la collecte de données analytiques.
Article 5.Destinataires des données
Vos données ne sont jamais vendues. Elles peuvent être partagées avec les destinataires suivants, strictement dans le cadre de leur mission :
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| Konnect Network | Traitement des paiements par carte bancaire | Tunisie |
| Cloudinary | Hébergement et diffusion des médias (photos, vidéos) | États-Unis (clauses contractuelles types) |
| Vercel | Hébergement frontend | États-Unis (clauses contractuelles types) |
| Transporteur logistique | Livraison des commandes boutique | Tunisie |
Article 6.Durées de conservation
| Catégorie | Durée |
|---|---|
| Compte actif | Tant que le compte n’est pas supprimé |
| Compte inactif (aucune connexion) | 36 mois, puis suppression automatique |
| Documents comptables (factures, paiements) | 10 ans (obligation légale tunisienne) |
| Logs de sécurité et accès | 12 mois |
| Données marketing (newsletter) | Jusqu’au retrait du consentement |
| Cookies non essentiels | 13 mois maximum |
Article 7.Vos droits
Conformément au Règlement Général sur la Protection des Données (UE 2016/679, RGPD) et à la loi organique tunisienne n° 2004-63 du 27 juillet 2004 relative à la protection des données personnelles, vous disposez des droits suivants :
- Droit d’accès — obtenir la confirmation que vos données sont traitées et en recevoir une copie.
- Droit de rectification — corriger des informations inexactes (modifiable directement depuis votre compte).
- Droit à l’effacement — demander la suppression de votre compte et de vos données personnelles.
- Droit à la portabilité — récupérer l’ensemble de vos données dans un format structuré (JSON), disponible depuis « Mon compte → Mes données ».
- Droit à la limitation — demander la suspension temporaire du traitement de vos données.
- Droit d’opposition — vous opposer au traitement à des fins marketing, à tout moment.
- Droit de retirer votre consentement — lorsque le traitement est fondé sur votre consentement, vous pouvez le retirer sans affecter la licéité du traitement antérieur.
Comment exercer vos droits
Article 8.Cookies et traceurs
La gestion détaillée des cookies est exposée dans notre politique cookies. Vous pouvez à tout moment modifier vos préférences depuis le bandeau cookies ou la rubrique « Mes données ».
Article 9.Sécurité
L’ESS met en œuvre les mesures techniques et organisationnelles appropriées pour protéger vos données :
- Mots de passe hachés (bcrypt, jamais stockés en clair).
- Communications chiffrées (HTTPS/TLS).
- Tokens JWT à durée courte avec rotation et blocklist Redis.
- Aucune donnée bancaire stockée chez nous (PCI-DSS via Konnect).
- Logs d’audit de toutes les actions administrateur.
- Sauvegardes chiffrées et plan de reprise d’activité.
Article 10.Transferts hors Tunisie
Certains sous-traitants techniques (Cloudinary, Vercel) sont situés hors de Tunisie. Les transferts s’effectuent dans le cadre de clauses contractuelles types ou de mécanismes équivalents garantissant un niveau de protection adéquat.
Article 11.Réclamation auprès d’une autorité
Si vous estimez que vos droits ne sont pas respectés, vous pouvez adresser une réclamation auprès de l’autorité compétente :
- Tunisie :
- Instance Nationale de Protection des Données Personnelles (INPDP) — www.inpdp.nat.tn
- Union européenne :
- Autorité de protection des données de votre pays de résidence (par ex. CNIL en France)
Article 12.Mise à jour de la politique
La présente politique peut être mise à jour pour refléter les évolutions légales ou techniques. La date de dernière mise à jour est indiquée en haut de la page. En cas de changement substantiel, vous serez informé par email et/ou notification in-app.