Cette politique de confidentialité décrit la manière dont Padelya collecte, utilise, partage et protège vos données personnelles. Elle s'applique à l'ensemble des produits Padelya — la marketplace, les applications mobiles joueur et club, les tableaux de bord cockpit et le site public.
Nous nous engageons à respecter la règlementation sur la protection des données dans chacun de nos marchés : Loi n° 2008-12 au Sénégal, Loi sur la protection des données à caractère personnel en Géorgie, et le Règlement général sur la protection des données (RGPD) dans l'Union européenne dès que nous y serons lancés.
1. Qui nous sommes
Padelya est exploité par Padelya SAS (entité juridique à finaliser lors de la constitution de la société). L'adresse de notre siège social sera publiée ici dès qu'elle sera arrêtée. En attendant, le responsable de traitement pour les besoins de cette politique est l'équipe fondatrice, joignable à privacy@padelya.app.
2. Données personnelles collectées
Nous collectons des données uniquement quand vous choisissez de nous les fournir, quand notre service en a strictement besoin pour fonctionner, ou quand la loi nous l'impose.
Données de compte — à l'inscription : e-mail, nom complet, numéro de téléphone, mot de passe (chiffré à sens unique, nous n'en voyons jamais la valeur en clair), langue préférée, pays.
Données de profil — quand vous remplissez votre profil : photo d'avatar, genre (optionnel), niveau auto-évalué, coup préféré (optionnel), heure de jeu préférée, courte bio, main directrice.
Données de réservation et de match — chaque réservation que vous effectuez : terrain, club, date, durée, prix payé, statut du paiement, statut d'annulation. Pour les matchs ouverts : qui a rejoint, qui a été approuvé, qui a signalé quoi.
Données de communication — les messages envoyés via le chat médié de Padelya sont chiffrés au repos ; leur contenu n'est accessible qu'à une petite équipe d'opérations, et uniquement lorsqu'un signalement implique le fil.
Données de paiement — jetons des prestataires de paiement (Stripe, TBC ePay, Bank of Georgia, Orange Money selon le pays). Nous ne voyons ni ne stockons jamais votre numéro de carte complet, votre numéro de compte ou votre cryptogramme. L'historique des remboursements est conservé chez nous pour la réconciliation comptable.
Données techniques — adresse IP, type d'appareil, empreinte navigateur, points d'abonnement push, historique des pages vues. Utilisés pour la sécurité (prévention de la fraude, limitation des requêtes) et — uniquement avec votre consentement explicite — pour des analyses produit anonymes.
Cookies — voir Section 10 et la Politique cookies dédiée.
3. Bases légales du traitement
Nous traitons vos données sur la base de l'un des fondements juridiques suivants :
- Exécution du contrat — pour fournir les services de réservation, match, paiement et chat que vous avez explicitement demandés en vous inscrivant.
- Intérêt légitime — pour prévenir la fraude, les abus, le harcèlement et protéger les autres utilisateurs (fonctionnalités de blocage et de signalement).
- Obligation légale — pour conserver les livres comptables, répondre aux demandes des autorités habilitées et respecter les obligations RGPD / Loi 2008-12 / PDP géorgienne.
- Votre consentement — pour les cookies non essentiels (analytiques), les communications marketing auxquelles vous adhérez explicitement, et toute fonctionnalité future où le consentement est le bon fondement.
4. Finalités du traitement
Nous utilisons vos données uniquement aux fins suivantes :
- Fournir la marketplace (rechercher, réserver, payer, jouer).
- Envoyer des notifications transactionnelles (confirmation de réservation, invitation à un match, remboursement effectué).
- Envoyer des e-mails de service essentiels (réinitialisation de mot de passe, alerte sécurité, confirmation de suppression de compte).
- Faire fonctionner des analyses produit anonymes (uniquement avec votre consentement — voir la Politique cookies).
- Détecter et prévenir la fraude, le harcèlement, le scraping et les abus.
- Respecter nos obligations légales (comptabilité, fiscalité, demandes légales).
Nous N'utilisons PAS vos données pour la publicité comportementale. Nous NE vendons PAS, NE louons PAS et NE partageons PAS vos données avec des régies publicitaires.
5. Qui a accès à vos données
En interne : l'équipe d'opérations Padelya (fondateurs et une petite équipe support), strictement sous contrôle d'accès et journalisation d'audit.
À l'externe — uniquement les sous-traitants suivants, chacun lié par un accord de traitement des données :
- Supabase (région UE Francfort) — authentification, base de données, stockage de fichiers.
- Vercel (edge multi-régions) — hébergement et diffusion de contenu.
- Stripe (siège UE en Irlande) — traitement des paiements par carte.
- TBC Bank / Bank of Georgia — traitement des paiements géorgiens.
- Orange Money — traitement des paiements sénégalais.
- Twilio (siège UE en Irlande) — vérification téléphonique par SMS.
- Postmark / Resend (US, Clauses Contractuelles Types) — e-mails transactionnels.
- PostHog (quand activé avec votre consentement) — analyses produit anonymes, hébergement UE.
Les exploitants de club reçoivent les données strictement nécessaires pour honorer votre réservation : votre nom affiché, votre numéro de téléphone (uniquement lorsque le club a été vérifié comme étant le lieu) et les détails de la réservation.
6. Transferts internationaux
Notre infrastructure principale est dans l'Union européenne (Supabase Francfort) pour maximiser l'alignement avec la protection des données. Certains sous-traitants opérationnels (fournisseurs d'e-mail) sont basés aux États-Unis ; les transferts vers ces prestataires sont encadrés par les Clauses Contractuelles Types de la Commission européenne (CCT), et nous maintenons des DPA imposant des garanties équivalentes.
7. Durées de conservation
- Données de profil — conservées jusqu'à la suppression de votre compte. Une fois la suppression déclenchée, un délai de réflexion de 7 jours s'applique ; après cela, nous supprimons définitivement le profil, anonymisons l'historique des réservations (la loi nous oblige à conserver les enregistrements de paiement) et écrivons un log d'audit de la cascade.
- Réservations et paiements — anonymisés après suppression du compte et conservés au moins 5 ans pour la conformité fiscale et comptable.
- Identifiants d'abonnement push — conservés jusqu'au désabonnement de l'appareil ou à la suppression du compte.
- Logs d'audit — 18 mois glissants, puis purgés.
- Événements analytiques (sur consentement) — 90 jours dans PostHog.
8. Vos droits
En vertu du RGPD (UE), de la Loi 2008-12 (Sénégal) et de la Loi géorgienne sur la protection des données, vous disposez du droit de :
- Accès — demander une copie de toutes les données personnelles que nous détenons à votre sujet.
- Rectification — corriger toute donnée inexacte ou incomplète.
- Effacement — supprimer votre compte et les données personnelles associées (« droit à l'oubli »). Sous réserve des obligations légales de conservation des écritures comptables.
- Portabilité — recevoir vos données dans un format structuré et lisible par machine (export ZIP JSON).
- Opposition — vous opposer au traitement fondé sur l'intérêt légitime.
- Limitation — demander que nous limitions (plutôt que supprimions) le traitement dans des circonstances spécifiques.
- Retrait du consentement — pour tout traitement fondé sur le consentement (cookies, marketing) à tout moment.
- Introduire une réclamation auprès de l'autorité de contrôle de votre pays (voir Section 13).
9. Comment exercer vos droits
Les chemins les plus simples :
- Supprimer votre compte — rendez-vous dans les paramètres de votre profil → « Supprimer mon compte ». Un délai de réflexion de 7 jours s'applique ; reconnectez-vous à tout moment avant cette date pour annuler.
- Exporter vos données — rendez-vous dans les paramètres de votre profil → « Exporter mes données ». Un ZIP de fichiers JSON est généré et vous est envoyé par e-mail sous 24 heures.
- Retirer le consentement cookies — ouvrez la carte « Préférences cookies » en bas de vos paramètres de profil, ou réaffichez le bandeau sur n'importe quel appareil en effaçant le cookie
__padelya_cookie_consent.
Pour toute autre demande, écrivez à privacy@padelya.app en indiquant votre demande, l'adresse e-mail liée à votre compte et la description de ce que vous souhaitez. Nous répondons sous 30 jours maximum (le plafond RGPD), et généralement sous 5 jours ouvrés.
10. Cookies
Nous utilisons un petit nombre de cookies strictement nécessaires (session d'authentification, persistance de la langue, enregistrement du choix de consentement) et — uniquement avec votre consentement — des cookies analytiques. Voir la Politique cookies dédiée pour l'inventaire complet et les contrôles d'opt-in / opt-out.
11. Enfants
Padelya n'est pas destiné aux enfants de moins de 16 ans. Nous ne collectons pas sciemment de données de toute personne en dessous de cet âge. Si vous pensez que nous avons collecté des données d'un enfant, écrivez à privacy@padelya.app : nous procéderons à leur suppression immédiate.
12. Modifications de cette politique
Nous vous notifierons par e-mail au moins 30 jours avant toute modification substantielle de cette politique. Les modifications non substantielles (corrections typographiques, mises à jour de liens, clarifications) sont publiées silencieusement avec une date mise à jour en haut de cette page.
13. Contact et autorités de contrôle
Délégué à la protection des données (intérimaire) : privacy@padelya.app
Si vous n'êtes pas satisfait de la manière dont nous traitons vos données, vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle de votre pays :
- Sénégal — Commission de protection des données personnelles (CDP), https://cdp.sn
- Géorgie — Personal Data Protection Service of Georgia, https://pdp.ge
- Union européenne — votre autorité nationale de protection des données. Le Comité européen de la protection des données (CEPD/EDPB) maintient un annuaire à https://edpb.europa.eu
Dernière mise à jour : 2026-05-18