LockerfulLockerful.
← Back to home
Legal

Data processing agreement

These documents are currently only available in French. An English version will follow once the French text is finalised by counsel.

Accord de Sous-Traitance (DPA) — Lockerful

Annexe aux Conditions Générales d'Utilisation Version 0.2 — 16 mai 2026

Préambule

Le présent Accord de Sous-Traitance (ci-après le « DPA ») est conclu en application de l'article 28 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après le « RGPD »).

Il a pour objet de définir les conditions dans lesquelles Lockerful (ci-après le « Sous-Traitant ») traite, pour le compte du Club (ci-après le « Responsable de Traitement »), les données personnelles nécessaires à la fourniture des services décrits aux CGU.

Le DPA fait partie intégrante des CGU. En cas de contradiction entre les CGU et le présent DPA s'agissant du traitement des données personnelles, le DPA prévaut.

Article 1 — Définitions

Les termes utilisés dans le présent DPA ont la signification qui leur est attribuée par le RGPD. À titre indicatif :

  • Données Personnelles : toute information se rapportant à une personne physique identifiée ou identifiable.
  • Traitement : toute opération effectuée sur des Données Personnelles.
  • Personne Concernée : la personne physique à laquelle se rapportent les Données Personnelles.
  • Violation de Données : violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des Données Personnelles.

Article 2 — Qualification des parties

2.1 Le Club est Responsable de Traitement

Le Club détermine les finalités et les moyens du traitement des Données Personnelles relatives aux Personnes Filmées, aux Utilisateurs et aux personnes dont il téléverse les données sur la Plateforme. À ce titre, il est Responsable de Traitement au sens du RGPD.

2.2 Lockerful est Sous-Traitant

Lockerful traite les Données Personnelles uniquement pour le compte et sur instruction documentée du Club, dans le cadre strict de la fourniture du service. À ce titre, Lockerful est Sous-Traitant au sens de l'article 28 du RGPD.

2.3 Cas particulier : données propres à Lockerful

Lockerful est Responsable de Traitement pour ses propres traitements indépendants : gestion administrative et commerciale du Club, facturation, prospection, statistiques agrégées et anonymisées d'usage de la Plateforme. Ces traitements sont décrits dans la Politique de Confidentialité de Lockerful.

Article 3 — Description du traitement

3.1 Nature et finalités

Le traitement effectué par Lockerful en qualité de Sous-Traitant a pour finalités :

  • l'hébergement des Contenus téléversés par le Club ;
  • l'habillage des Contenus fournis par le Club (apposition d'overlays sponsor déterministes — logos et couleurs) ;
  • la diffusion des Contenus sur les supports désignés par le Club et la mesure de leur diffusion ;
  • la mise en visibilité du Club et de ses sponsors via la vitrine de découverte ;
  • la gestion des comptes utilisateurs et des accès.

3.2 Catégories de Personnes Concernées

  • Utilisateurs (membres du Club ayant un compte sur la Plateforme) ;
  • Personnes Filmées (joueurs, coachs, arbitres, public, bénévoles apparaissant dans les Contenus) ;
  • Représentants légaux des Personnes Filmées mineures ;
  • Représentants des Sponsors.

3.3 Catégories de Données Personnelles

  • Données d'identification : nom, prénom, fonction au sein du Club, email, téléphone ;
  • Données d'authentification : identifiants, mots de passe (stockés sous forme hachée) ;
  • Données d'image et de voix : extraits vidéo et photographiques des Personnes Filmées ;
  • Données techniques : adresse IP, logs de connexion, données de navigation ;
  • Données relatives aux mineurs : données identifiantes basiques limitées aux besoins du service.

3.4 Catégories particulières (article 9 RGPD)

Le seul traitement de catégorie particulière au sens de l'article 9 du RGPD mis en œuvre par Lockerful est le filet de sécurité biométrique éphémère décrit ci-après. En particulier :

  • Lockerful n'effectue aucune reconnaissance faciale aux fins d'identification des personnes filmées, aucune extraction de gabarit biométrique persistant, et n'analyse pas le contenu des Contenus (ni scène, ni action, ni reconnaissance individuelle).
  • Dans le cadre du filet de sécurité de revue des visages (« mosaïque de revue »), optionnel et activé sur instruction du Club, Lockerful calcule une empreinte de visage éphémère dont la seule fonction est de regrouper les apparitions d'une même personne le temps d'un rendu. Ce calcul est juridiquement qualifiable de traitement de données biométriques ; l'empreinte n'est jamais persistée, jamais rapprochée d'une base externe, jamais transférée hors UE, et est effacée en fin de rendu. Ce traitement repose sur l'article 9.2.g du RGPD (motif d'intérêt public important — protection des personnes filmées, en particulier des mineurs) et a fait l'objet d'une analyse d'impact (DPIA consent-mosaic-2026.md). Il est décrit en détail dans la Politique de Confidentialité (§3) et le formulaire de consentement à l'image.
  • Lockerful ne traite aucune donnée de santé, ni aucune donnée révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, l'orientation sexuelle ou la vie sexuelle.

Si le Club souhaite mettre en œuvre un traitement portant sur d'autres catégories particulières de données via la Plateforme, il doit en informer Lockerful préalablement, le présent DPA devant alors faire l'objet d'un avenant.

3.5 Durée du traitement

Le traitement est effectué pendant toute la durée d'utilisation de la Plateforme par le Club, augmentée :

  • d'un délai de 30 jours post-résiliation pour permettre au Club de récupérer ses Contenus ;
  • des délais légaux de conservation applicables à certaines catégories de données (facturation, journaux de sécurité).

Article 4 — Obligations de Lockerful en qualité de Sous-Traitant

Conformément à l'article 28 du RGPD, Lockerful s'engage à :

4.1 Ne traiter les données que sur instruction

Ne traiter les Données Personnelles que sur instruction documentée du Club, sauf obligation légale contraire. La signature des CGU et du présent DPA, l'utilisation de la Plateforme conformément à sa documentation et les paramétrages effectués par le Club valent instructions documentées.

Lockerful informe immédiatement le Club si une instruction lui paraît constituer une violation du RGPD ou de toute autre disposition relative à la protection des données personnelles.

4.2 Garantir la confidentialité

Veiller à ce que les personnes autorisées à traiter les Données Personnelles s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

4.3 Sécurité du traitement

Mettre en œuvre les mesures techniques et organisationnelles appropriées prévues à l'article 32 du RGPD, telles que décrites en Annexe 1 du présent DPA.

4.4 Sous-traitance ultérieure

Ne pas recruter un autre sous-traitant sans autorisation écrite, préalable, spécifique ou générale, du Club.

La liste des sous-traitants ultérieurs autorisés au jour de la conclusion du présent DPA figure en Annexe 2. Lockerful informe le Club de tout projet de modification de cette liste avec un préavis de 30 jours, le Club disposant de la faculté de s'y opposer pour des motifs légitimes.

Lockerful impose contractuellement à ses sous-traitants ultérieurs des obligations équivalentes à celles du présent DPA.

4.5 Assistance au Responsable de Traitement

Aider le Club, par des mesures techniques et organisationnelles appropriées, à :

  • répondre aux demandes d'exercice des droits des Personnes Concernées (articles 15 à 22 du RGPD) ;
  • respecter ses obligations en matière de sécurité, de notification de violation, d'analyse d'impact et de consultation préalable de l'autorité de contrôle (articles 32 à 36 du RGPD).

4.6 Suppression ou restitution des données

Au terme de la prestation, et selon le choix du Club exprimé au plus tard à la résiliation, Lockerful procède :

  • soit à la suppression complète des Données Personnelles dans un délai de 30 jours ;
  • soit à leur restitution dans un format structuré, couramment utilisé et lisible par machine.

Lockerful détruit les copies existantes, sauf obligation légale de conservation.

4.7 Information et audit

Mettre à la disposition du Club toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 du RGPD, et permettre la réalisation d'audits, y compris des inspections, par le Club ou un auditeur indépendant qu'il aura mandaté.

Les modalités pratiques d'audit sont les suivantes : préavis de 30 jours, sauf urgence ; au maximum un audit par an, sauf incident de sécurité avéré ; à la charge du Club, sauf manquement avéré de Lockerful auquel cas les frais raisonnables sont supportés par Lockerful.

Article 5 — Obligations du Club en qualité de Responsable de Traitement

5.1 Base légale

Le Club s'assure de disposer d'une base légale valable pour chaque traitement effectué via la Plateforme.

S'agissant des Personnes Filmées, la base légale est en principe le consentement au sens de l'article 6.1.a du RGPD, recueilli dans les conditions prévues à l'article 7 du RGPD. Pour les mineurs, le consentement est recueilli auprès des représentants légaux.

5.2 Information des Personnes Concernées

Le Club informe les Personnes Concernées dans les conditions prévues aux articles 13 et 14 du RGPD. Il porte à leur connaissance la Politique de Confidentialité de Lockerful.

5.3 Recueil et conservation des consentements

Le Club recueille les consentements à l'image préalablement à tout téléversement de Contenu. Il conserve les preuves de ces consentements et les met à disposition de Lockerful sur première demande.

5.4 Exercice des droits

Le Club est l'interlocuteur de premier rang des Personnes Concernées pour l'exercice de leurs droits. Il transmet à Lockerful les demandes nécessitant une intervention technique, dans un délai compatible avec le respect du délai d'un mois imparti par l'article 12 du RGPD.

5.5 Documentation

Le Club tient à jour le registre des activités de traitement prévu à l'article 30 du RGPD.

Article 6 — Transferts hors Union européenne

6.1 Localisation des données

Les Données Personnelles sont hébergées au sein de l'Union européenne, dans des centres de données situés en Belgique (région Google Cloud europe-west1, Saint-Ghislain).

6.2 Transferts encadrés

Tout transfert de Données Personnelles vers un pays tiers ou une organisation internationale n'a lieu que dans le respect des articles 44 et suivants du RGPD : décision d'adéquation, clauses contractuelles types, ou autre mécanisme prévu par le RGPD.

La liste des transferts éventuels et des garanties associées figure en Annexe 2.

Article 7 — Notification des violations de données

7.1 Délai de notification

Lockerful notifie au Club toute Violation de Données dont il a connaissance dans un délai maximum de 48 heures à compter de cette connaissance, par tout moyen permettant d'en accuser réception.

7.2 Contenu de la notification

La notification comprend, dans la mesure du possible :

  • la nature de la violation, les catégories et le nombre approximatif de Personnes Concernées ;
  • les conséquences probables ;
  • les mesures prises ou proposées pour remédier à la violation et en atténuer les effets ;
  • les coordonnées du point de contact.

Si toutes les informations ne peuvent être communiquées en même temps, elles le sont de manière échelonnée sans retard indu.

7.3 Coopération

Lockerful coopère avec le Club pour permettre, si nécessaire, la notification à l'autorité de contrôle (article 33 du RGPD) et la communication aux Personnes Concernées (article 34 du RGPD).

Article 8 — Responsabilité

8.1 Principe

Chaque partie est responsable des dommages causés par un traitement qui constitue une violation du RGPD pour ce qui concerne les obligations qui lui incombent.

8.2 Limitation

La limitation de responsabilité prévue aux CGU s'applique au présent DPA, sous réserve des dispositions impératives du RGPD.

8.3 Indemnisation

Chaque partie indemnise l'autre des conséquences financières d'un manquement qui lui serait imputable.

Article 9 — Durée

Le présent DPA prend effet à la date d'acceptation des CGU et reste en vigueur tant que Lockerful traite des Données Personnelles pour le compte du Club, augmentée des délais nécessaires à la suppression ou la restitution des données.

Annexe 1 — Mesures techniques et organisationnelles de sécurité

Lockerful met en œuvre les mesures suivantes, conformes à l'état de l'art :

Mesures organisationnelles :

  • politique de sécurité documentée et revue annuellement ;
  • gestion des habilitations sur le principe du moindre privilège ;
  • engagement de confidentialité signé par les collaborateurs ;
  • sensibilisation et formation des collaborateurs à la protection des données ;
  • gestion documentée des incidents.

Mesures techniques :

  • chiffrement des données en transit (TLS 1.3) ;
  • chiffrement des données sensibles au repos (AES-256) ;
  • authentification forte des accès administrateurs (2FA) ;
  • sauvegardes régulières testées ;
  • journalisation des accès et opérations sensibles ;
  • segmentation réseau, pare-feux ;
  • tests de sécurité périodiques (revues de code, tests d'intrusion).

Hébergement :

  • prestataire(s) hébergeur(s) certifié(s) [ISO 27001, HDS le cas échéant], situé(s) en Union européenne ;
  • redondance des infrastructures critiques.

Cette annexe sera complétée et précisée avec l'équipe technique au moment de la mise en production.

Annexe 2 — Liste des sous-traitants ultérieurs

Sous-traitantFinalitéLocalisationGaranties
Google Cloud Platform (Belgium)Hébergement infrastructure (Cloud Run, Firestore, Cloud Storage, Secret Manager)UE — région europe-west1 (St-Ghislain, BE)DPA Google Cloud + CCT pour services hors UE éventuels
Google Cloud Vision APIModération automatisée des images de marque (logos club / sponsor) — détection contenu inappropriéUS (Cloud Vision n'a pas d'endpoint UE strict — à confirmer)DPA Google Cloud + DPF Google LLC + CCT — voir Politique de Modération /legal/moderation
Stripe Payments EuropeFacturation de la commission de plateforme au sponsor via Stripe InvoicingUE / transferts encadrésCCT + politique de confidentialité Stripe
Yousign SASSignature électronique avancée (eIDAS) des CGU SponsorUE — FranceDPA Yousign ; prestataire de services de confiance qualifié ; chiffrement TLS in-transit
Resend (Resend.com)Notifications transactionnelles email (invitations sponsor, factures de commission, échecs de publication)UE — région FrankfurtDPA Resend + chiffrement TLS in-transit, AES-256 at-rest
Meta Platforms (Instagram + Facebook Graph API)Publication de contenu sur les comptes connectés des clubsUS — opérateur OAuth + publicationTokens stockés en Secret Manager UE ; transferts Meta encadrés DPF Meta + CCT
TikTok (ByteDance Content Posting API)Publication de contenu sur les comptes TikTok connectésUS/CN — opérateur OAuth + publicationTokens stockés en Secret Manager UE ; transferts encadrés CCT TikTok
PostHog (PostHog Inc., USA)Mesure d'audience produit (pageviews, événements applicatifs, funnels d'acquisition) — formule Cloud EUUE — région Frankfurt (AWS eu-central-1) ; transferts résiduels vers les USA pour le supportDPA PostHog + CCT (Commission européenne) ; configuration identified_only, pas de session replay, rétention 12 mois ; consentement explicite préalable côté utilisateur
[Outil support — ex. Crisp / Intercom EU]Support clientUE[À préciser]

Cette liste sera complétée à mesure des intégrations techniques. Toute évolution est notifiée au Club avec un préavis de 30 jours.

Document de travail — version 0.2 — 16 mai 2026 À soumettre pour relecture à un avocat spécialisé avant mise en production.