Politique de confidentialité
Table des matières
- Préambule
- Responsable du traitement
- Définitions
- Renseignements collectés
- Finalités du traitement
- Bases juridiques et consentement
- Renseignements concernant les mineurs
- Communication à des tiers
- Transferts hors Québec
- Durée de conservation
- Mesures de sécurité
- Avis en cas d'incident
- Vos droits
- Témoins (cookies)
- Profilage et décisions automatisées
- Intégrations médias sociaux
- Modifications de la politique
- Nous joindre
1.Préambule
9316-6452 Québec inc., faisant affaire sous le nom de Decizif (« nous », « notre », « nos » ou « CoolPlay »), exploite la plateforme infonuagique CoolPlay, accessible à coolplay.app et services associés (collectivement, le « Service »), permettant aux clubs sportifs et organisations d'organiser, gérer et diffuser des tournois.
La présente politique de confidentialité (la « Politique ») décrit comment nous recueillons, utilisons, conservons, communiquons et protégeons vos renseignements personnels lorsque vous utilisez le Service, peu importe votre rôle (administrateur de club, entraîneur, marqueur, joueur, spectateur, parent, commanditaire ou simple visiteur).
Nous prenons la protection de vos renseignements au sérieux. Nous adhérons aux principes de transparence, de minimisation, de limitation des finalités, de sécurité et de responsabilité établis par la Loi 25 du Québec et la LPRPDE fédérale.
En accédant au Service ou en y créant un compte, vous reconnaissez avoir lu, compris et accepté la présente Politique. Si vous n'y consentez pas, veuillez ne pas utiliser le Service.
2.Responsable du traitement
Le responsable du traitement de vos renseignements personnels est :
| Dénomination sociale | 9316-6452 Québec inc. |
|---|---|
| Nom commercial | Decizif |
| Marque de produit | CoolPlay |
| Adresse postale | 1300 Croissant Louise Mascouche (Québec) J7L 2R7 Canada |
| Numéro d'entreprise du Québec (NEQ) | 1170671656 |
| Courriel général | info@coolplay.app |
Responsable de la protection des renseignements personnels (RPRP)
Conformément à l'article 3.1 de la Loi 25, nous avons désigné un responsable de la protection des renseignements personnels. Vous pouvez communiquer avec cette personne pour toute question relative à la présente Politique, à l'exercice de vos droits ou à un incident :
| Nom | Denis St-Germain |
|---|---|
| Titre | Responsable de la protection des renseignements personnels |
| Courriel principal | privacy@coolplay.app |
| Courriel direct | denis@decizif.com |
3.Définitions
Aux fins de la présente Politique :
- « Renseignement personnel » désigne tout renseignement qui concerne une personne physique et qui permet, directement ou indirectement, de l'identifier.
- « Renseignement personnel sensible » désigne un renseignement qui, en raison de sa nature ou du contexte de sa collecte, suscite un haut degré d'attente raisonnable de vie privée (notamment : données médicales, données concernant des mineurs, données biométriques).
- « Traitement » désigne toute opération effectuée sur un renseignement personnel (collecte, utilisation, conservation, communication, destruction).
- « Vous » désigne toute personne physique dont nous traitons des renseignements personnels par l'intermédiaire du Service.
- « Client » désigne le club, l'organisation ou l'individu titulaire d'un compte administrateur ayant souscrit à un forfait CoolPlay.
- « Utilisateur final » désigne toute personne accédant au Service par le biais d'un Client (entraîneur invité, marqueur bénévole, joueur, parent, spectateur).
4.Renseignements collectés
4.1 Renseignements fournis directement
Lorsque vous interagissez avec le Service, vous nous fournissez :
- Création de compte (Client / utilisateur invité) : nom complet, adresse courriel, mot de passe (haché avec Bcrypt à 12 rondes, jamais en clair), rôle (administrateur, entraîneur, marqueur).
- Profil du club : nom du club, sous-domaine choisi, logo, coordonnées de contact, adresse postale, palette de couleurs.
- Profil du tournoi : nom, description, sport, dates, lieux, organisateur, image bannière, sponsors, contenu d'annonces.
- Données des équipes et joueurs : nom des équipes, division, catégorie d'âge, noms des joueurs, photos de groupe (le cas échéant), informations fournies lors de l'inscription publique d'équipes.
- Données des matchs : pointages, fautes, notes administratives, photos de feuilles de match.
- Photos de spectateurs : images téléversées via l'interface publique des tournois.
- Renseignements de paiement : nous ne stockons jamais votre numéro de carte de crédit. Les paiements sont traités directement par Stripe Payments; nous conservons uniquement les identifiants de référence émis par Stripe (ID client, ID abonnement, derniers 4 chiffres pour affichage).
- Communications : contenu des messages échangés via la messagerie régie ↔ marqueurs, invitations courriel, demandes au soutien.
4.2 Renseignements collectés automatiquement
- Données techniques : adresse IP, type et version du navigateur, système d'exploitation, identifiant de session, langue préférée, fuseau horaire.
- Données d'utilisation : pages consultées, fonctionnalités utilisées, horodatages, durée des sessions, parcours dans l'application, terminaux utilisés (marqueurs).
- Journaux serveur : requêtes HTTP, erreurs, accès aux ressources, conservés pour la sécurité et le diagnostic.
- Témoins et technologies similaires : voir section 14.
4.3 Renseignements provenant de tiers
- Authentification Meta (Facebook / Instagram) : lorsqu'un administrateur connecte un compte Meta pour publier sur les réseaux sociaux, nous recevons depuis Meta : votre nom, identifiant Facebook public, liste des Pages que vous gérez et leurs identifiants, jeton d'accès à durée limitée (chiffré dans notre base de données), et — si lié — votre nom d'utilisateur Instagram Business. Voir section 16.
- Stripe : statut d'abonnement, dates de facturation, événements de paiement (succès, échec, remboursement) via les webhooks signés.
- Hébergeur de courriels : statuts de livraison des courriels transactionnels (envoyé, livré, ouvert, échec) via notre fournisseur SMTP.
5.Finalités du traitement
Nous traitons vos renseignements personnels uniquement aux fins suivantes :
| Finalité | Renseignements concernés |
|---|---|
| Fournir, exploiter et maintenir le Service (création de comptes, gestion de tournois, calcul de classements, diffusion en direct) | Identifiants, données du club, données du tournoi, données techniques |
| Authentifier les utilisateurs et sécuriser l'accès au compte | Courriel, mot de passe haché, jeton de session, adresse IP |
| Traiter les paiements et gérer les abonnements | Identifiants Stripe, statut de facturation |
| Communiquer avec vous (notifications, invitations, soutien, alertes de service) | Courriel, préférences linguistiques |
| Diffuser publiquement les contenus que vous publiez intentionnellement (classements, scores en direct, annonces, photos validées) | Données de tournoi et contenu téléversé |
| Publier sur vos réseaux sociaux à votre demande explicite | Jetons OAuth Meta, contenu publié |
| Améliorer le Service (analytique d'usage interne anonymisée) | Données d'utilisation agrégées |
| Respecter nos obligations légales (comptabilité, demandes d'autorités, litiges) | Selon le contexte |
| Prévenir la fraude, les abus et les atteintes à la sécurité | Journaux d'accès, IP, anomalies |
Nous ne traitons pas vos renseignements personnels à des fins de publicité ciblée par des tiers, de revente, ni d'analyse comportementale à des fins commerciales externes.
6.Bases juridiques et consentement
Nous traitons vos renseignements personnels uniquement lorsque l'une des bases suivantes s'applique :
- Exécution du contrat : le traitement est nécessaire pour fournir le Service que vous nous avez demandé (gérer votre compte, traiter vos paiements, héberger vos données).
- Consentement : pour les traitements optionnels (publication sur médias sociaux à votre nom, infolettre, témoins non essentiels). Vous pouvez retirer votre consentement en tout temps; le retrait n'affecte pas la licéité des traitements antérieurs.
- Intérêt légitime : prévenir la fraude, assurer la sécurité de la plateforme, améliorer le Service de manière non intrusive. Nous évaluons systématiquement si nos intérêts sont équilibrés avec vos droits.
- Obligation légale : tenue de registres comptables, réponse à des demandes formelles d'autorités.
7.Renseignements concernant les mineurs
Le Service est conçu pour être utilisé par des organisations sportives, dont l'activité peut inclure le suivi de mineurs (joueurs, photos d'équipe, classements). Nous portons une attention particulière à ces traitements.
Aucun mineur ne crée directement de compte administrateur. Seuls des adultes (administrateurs de club, entraîneurs, parents) peuvent inscrire des équipes ou ajouter des données concernant des mineurs.
Lorsque des données de mineurs sont traitées par le Service :
- Le Client (le club organisateur) est responsable d'obtenir le consentement parental explicite avant tout téléversement de photo identifiable, mention nominative publique ou diffusion d'information concernant un mineur.
- Les photos téléversées par des spectateurs publics ne sont rendues visibles qu'après modération par un administrateur du Client.
- À la demande d'un parent ou tuteur, nous procéderons à la suppression rapide de toute donnée identifiant un mineur, sous réserve des obligations légales de conservation.
- Conformément à la Loi 25, par défaut, les paramètres de confidentialité les plus restrictifs s'appliquent aux profils des mineurs.
Pour toute demande concernant des renseignements d'un mineur, écrivez à privacy@coolplay.app en incluant la preuve de votre lien de filiation.
8.Communication à des tiers
Nous ne vendons jamais vos renseignements personnels. Nous les communiquons uniquement aux catégories suivantes de destinataires, et uniquement dans la mesure nécessaire :
8.1 Sous-traitants (fournisseurs de services)
| Fournisseur | Service rendu | Données transmises | Localisation |
|---|---|---|---|
| Stripe Payments Canada Ltd. | Traitement des paiements, gestion des abonnements | Courriel, nom, données de carte (jamais stockées chez nous) | Canada / États-Unis |
| Meta Platforms Inc. | Publication sur Facebook et Instagram à votre demande | Jetons OAuth, contenu et images des posts publiés | États-Unis / Irlande |
| A2 Hosting Inc. | Hébergement web et bases de données | Toutes les données stockées par le Service | États-Unis |
| Fournisseur SMTP | Envoi des courriels transactionnels (invitations, notifications) | Adresse courriel destinataire, contenu du courriel | Variable (selon configuration) |
| Google LLC (Google Fonts, Google Maps si activé) | Affichage de cartes et polices web | Adresse IP, agent utilisateur | États-Unis |
Chacun de ces sous-traitants est tenu par contrat à respecter des exigences de sécurité et de confidentialité équivalentes à celles de la présente Politique. Nous avons procédé à une évaluation des facteurs relatifs à la vie privée (ÉFVP) pour les transferts impliquant des risques significatifs, conformément à l'article 17 de la Loi 25.
8.2 Autres destinataires
- Autorités publiques et tribunaux : lorsque la loi nous y oblige (assignation, mandat, ordonnance judiciaire valide), ou pour protéger nos droits, notre propriété ou la sécurité d'autrui.
- Cessionnaire en cas de fusion / acquisition / vente d'actifs : sous réserve que le cessionnaire s'engage à respecter la présente Politique. Vous en serez avisé(e) au préalable.
- Conseillers professionnels : avocats, comptables, vérificateurs, dans le cadre strict de leurs mandats et sous obligation de confidentialité.
8.3 Diffusion publique intentionnelle
Certaines données sont rendues publiques par votre fait délibéré via les fonctionnalités du Service :
- Pages publiques des tournois (par jeton) : nom du tournoi, équipes, joueurs, scores, classements, photos validées.
- Mode TV : affichage en direct dans les gymnases.
- Publications sur réseaux sociaux : à votre demande, via vos comptes connectés.
Le Client est responsable de s'assurer qu'il dispose des consentements requis avant de diffuser publiquement des informations identifiantes.
9.Transferts hors Québec
Certaines de vos données peuvent être hébergées, traitées ou consultées à l'extérieur du Québec (notamment au Canada et aux États-Unis), via nos fournisseurs énumérés à la section 8.1.
Avant tout transfert de renseignements personnels hors Québec, nous procédons à une évaluation des facteurs relatifs à la vie privée conformément à l'article 17 de la Loi 25, prenant en compte :
- la sensibilité des renseignements visés;
- la finalité du transfert;
- les mesures de protection contractuelles, techniques et organisationnelles offertes par le destinataire;
- le régime juridique du territoire de destination.
Vous pouvez obtenir, sur demande, une description sommaire de l'évaluation effectuée pour un transfert spécifique.
10.Durée de conservation
Nous conservons vos renseignements personnels uniquement le temps nécessaire à la réalisation des finalités identifiées :
| Catégorie | Durée de conservation |
|---|---|
| Compte utilisateur actif | Toute la durée de la relation contractuelle |
| Compte utilisateur inactif (sans connexion) | 24 mois, après quoi suppression ou anonymisation |
| Données de tournoi | Selon la décision du Client; archivées ou supprimées sur sa demande |
| Données de paiement (Stripe) | 7 ans (obligations comptables et fiscales canadiennes) |
| Journaux de sécurité | 12 mois |
| Sauvegardes | Rétention glissante de 30 jours; les suppressions se propagent au prochain cycle de purge |
| Communications de soutien | 3 ans après la fermeture du dossier |
| Jetons d'accès OAuth Meta | Jusqu'à révocation par l'utilisateur ou expiration naturelle (~60 jours), puis suppression immédiate |
À l'échéance, les renseignements sont soit détruits de manière sécuritaire, soit anonymisés irréversiblement afin de servir nos analytiques internes.
11.Mesures de sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles raisonnables pour protéger vos renseignements contre l'accès, l'utilisation, la modification, la divulgation ou la destruction non autorisés :
- Chiffrement en transit : toutes les communications avec le Service utilisent HTTPS/TLS 1.2 ou supérieur.
- Chiffrement au repos des données sensibles : mots de passe hachés (Bcrypt 12 rondes), jetons OAuth Meta chiffrés avec la clé d'application Laravel.
- Cloisonnement multi-locataires : isolation logique stricte des données entre les Clients via un identifiant de locataire vérifié à chaque requête.
- Contrôle d'accès : authentification par mot de passe, vérification du courriel, gestion des rôles (administrateur, entraîneur, marqueur) avec privilèges minimaux.
- Sauvegardes : sauvegardes automatiques chiffrées; tests de restauration périodiques.
- Journalisation et surveillance : journaux d'audit, détection d'anomalies de connexion, alertes sur usurpation potentielle.
- Mises à jour : application régulière des correctifs de sécurité de l'écosystème logiciel utilisé.
- Sensibilisation : nos employés et collaborateurs sont sensibilisés à la protection des renseignements personnels.
Aucune mesure n'est infaillible. Nous ne pouvons garantir une sécurité absolue, mais nous nous engageons à agir avec diligence raisonnable.
12.Avis en cas d'incident de confidentialité
En cas d'incident de confidentialité présentant un risque de préjudice sérieux (selon l'évaluation prévue à la Loi 25), nous nous engageons à :
- aviser dans les meilleurs délais la Commission d'accès à l'information du Québec;
- aviser les personnes concernées, à moins que cela ne soit susceptible d'entraver une enquête menée par un organisme chargé de l'application de la loi;
- tenir un registre des incidents pendant au moins 5 ans;
- prendre les mesures raisonnables pour atténuer les préjudices et prévenir la récurrence.
13.Vos droits
Conformément à la Loi 25 du Québec et à la LPRPDE, vous bénéficiez des droits suivants à l'égard de vos renseignements personnels :
13.1 Droit d'accès
Obtenir confirmation que nous détenons des renseignements vous concernant et en recevoir une copie compréhensible.
13.2 Droit de rectification
Demander la correction de renseignements inexacts, incomplets ou équivoques.
13.3 Droit à la portabilité
Obtenir vos renseignements personnels dans un format technologique structuré et couramment utilisé (export JSON ou CSV), et demander leur transmission directe à un autre prestataire, lorsque techniquement possible.
13.4 Droit au retrait du consentement
Retirer en tout temps un consentement précédemment accordé, sans que cela n'affecte la licéité des traitements antérieurs.
13.5 Droit à la cessation de la diffusion et au déréférencement
Demander la cessation de la diffusion publique d'un renseignement, ou son déréférencement, lorsque la diffusion vous cause préjudice grave et que le préjudice est manifestement supérieur à l'intérêt public d'information.
13.6 Droit à l'oubli (suppression)
Demander la suppression de vos renseignements personnels, sous réserve des obligations légales de conservation (comptabilité, litiges en cours).
13.7 Droit d'opposition aux décisions automatisées
Demander à être informé de toute décision fondée exclusivement sur un traitement automatisé qui produit des effets juridiques ou affecte significativement vous concernant, et exiger une intervention humaine. À ce jour, CoolPlay n'effectue aucune décision purement automatisée ayant ce type d'effet.
13.8 Exercice de vos droits
Pour exercer l'un de ces droits, écrivez à notre RPRP à privacy@coolplay.app en précisant :
- vos nom complet et adresse courriel associée au compte;
- le droit que vous souhaitez exercer;
- la portée précise de votre demande;
- tout document permettant de vérifier votre identité (afin d'éviter toute divulgation à un tiers non autorisé).
Nous répondrons à votre demande dans un délai maximal de 30 jours. Si nous refusons, nous vous fournirons les motifs ainsi que les recours possibles. Nos services sont fournis sans frais, sauf demande manifestement abusive ou répétitive.
13.9 Recours
Si vous estimez que nous n'avons pas répondu adéquatement à votre demande ou que nous avons enfreint la législation applicable, vous pouvez déposer une plainte auprès de :
- Commission d'accès à l'information du Québec — www.cai.gouv.qc.ca
- Commissariat à la protection de la vie privée du Canada — www.priv.gc.ca
14.Témoins (cookies) et technologies similaires
Le Service utilise des témoins et technologies similaires (stockage local du navigateur, jetons de session). Nous distinguons :
| Catégorie | Finalité | Base juridique |
|---|---|---|
| Témoins strictement nécessaires | Maintenir votre session authentifiée, sécuriser les formulaires (CSRF), mémoriser vos préférences linguistiques | Exécution du contrat (pas de consentement requis) |
| Témoins fonctionnels | Sauvegarder votre dernier mode d'affichage, préférences d'interface | Intérêt légitime |
| Témoins analytiques internes | Mesurer l'utilisation agrégée pour améliorer le Service | Intérêt légitime; données anonymisées |
| Témoins publicitaires | Non utilisés. | — |
Vous pouvez configurer votre navigateur pour refuser les témoins; le Service pourrait alors ne pas fonctionner correctement (impossibilité de se connecter notamment).
15.Profilage et décisions automatisées
CoolPlay n'effectue aucun profilage à des fins publicitaires ou commerciales, et ne prend aucune décision exclusivement automatisée ayant un effet juridique ou un effet significatif sur vous. Les calculs automatisés du Service (classements, brackets, statistiques) sont des opérations techniques transparentes, et leurs résultats peuvent être consultés, vérifiés et corrigés par les administrateurs des Clients.
16.Intégrations médias sociaux (Meta : Facebook + Instagram)
Le Service permet aux administrateurs de Clients de connecter une Page Facebook (et un compte Instagram Business lié) pour publier automatiquement, à leur demande, du contenu lié à leurs tournois.
Lors de la connexion :
- Vous êtes redirigé(e) vers l'écran d'autorisation officiel de Meta. Nous ne voyons jamais vos identifiants Facebook (courriel, mot de passe).
- Meta nous transmet un jeton d'accès et la liste des Pages que vous gérez. Ces jetons sont chiffrés dans notre base de données via la clé d'application Laravel.
- Les permissions demandées sont strictement limitées à ce qui est nécessaire à la publication :
pages_show_list,pages_read_engagement,pages_manage_posts,instagram_basic,instagram_content_publish,business_management. - Vous pouvez déconnecter votre compte Meta à tout moment depuis l'écran Paramètres → Intégrations. Cela supprime immédiatement le jeton de notre base de données. Pour révoquer également l'autorisation côté Meta, visitez vos paramètres Facebook.
L'utilisation des plateformes Meta est régie par les politiques de confidentialité propres à Meta, sur lesquelles nous n'avons aucun contrôle.
17.Modifications de la présente Politique
Nous pouvons modifier la présente Politique pour refléter une évolution du Service, des exigences légales ou de nos pratiques. La date de « Dernière mise à jour » indiquée en haut de cette page sera révisée en conséquence.
Lorsque les modifications sont substantielles, nous vous en aviserons par courriel et/ou par une notification visible dans le Service au moins 30 jours avant leur entrée en vigueur, afin de vous laisser le temps de prendre connaissance des changements et, le cas échéant, de retirer votre consentement.
18.Nous joindre
Pour toute question, demande d'exercice de droit ou plainte :
| Responsable de la protection des renseignements personnels | privacy@coolplay.app |
|---|---|
| Soutien général | info@coolplay.app |
| Adresse postale | 9316-6452 Québec inc. a/s Responsable de la protection des renseignements personnels 1300 Croissant Louise Mascouche (Québec) J7L 2R7 Canada |
Note : La présente politique de confidentialité fait partie intégrante de nos Conditions d'utilisation. En cas de divergence entre les versions française et anglaise, la version française prévaut.