CHARTE DE PROTECTION DES DONNÉES PERSONNELLES

L’ESTAC est la société en charge de la gestion des activités relatives à ses équipes de football.

Désireux de protéger la vie privée de ses supporters, clients, visiteurs, salariés, collaborateurs, partenaires et internautes, l’ESTAC a engagé des actions de conformité au Règlement Général sur la Protection des Données (RGPD), entré en vigueur le 25 mai 2018, ainsi qu’à la loi « Informatique et Libertés ».

La présente Charte de protection des données personnelles (ci-après la « Charte ») décrit les principes et mesures mis en œuvre par l’ESTAC afin d’assurer la protection, la sécurité et la confidentialité des données personnelles qu’il collecte et traite.

Constitue une donnée personnelle toute information se rapportant à une personne identifiée ou identifiable, directement ou indirectement, notamment par référence à un identifiant ou à un ou plusieurs éléments spécifiques à son identité.

OBJET ET CHAMP D’APPLICATION

La présente Charte a pour objet d’informer, de manière claire, complète et transparente, toute personne concernée sur les modalités de collecte, d’utilisation, de conservation, de partage et de protection de ses données personnelles par l’ESTAC.

Elle s’applique à l’ensemble des traitements mis en œuvre par l’ESTAC dans le cadre de ses activités :

via ses sites internet (estac.fr, store.estac.fr, ticket.estac.fr) ;
lors d’événements sportifs ou promotionnels ;
dans le cadre des opérations commerciales, marketing, ou de fidélisation ;
ainsi qu’à des fins de gestion interne du club.

Des mentions d’information spécifiques peuvent compléter la présente Charte pour certains traitements particuliers (par exemple : jeux-concours, vidéosurveillance, recrutement, candidatures, ou opérations marketing ciblées).

ENGAGEMENTS DE L’ESTAC

L’ESTAC s’engage à :

ne collecter que les données strictement nécessaires à la finalité du traitement ;
informer les personnes de manière claire et compréhensible lors de chaque collecte ;
garantir la sécurité et la confidentialité des données personnelles ;
permettre l’exercice effectif des droits des personnes reconnus par la réglementation ;
veiller à la conformité de ses prestataires et sous-traitants ;
et mettre à jour régulièrement sa politique afin d’assurer un niveau de protection conforme aux évolutions législatives, réglementaires et technologiques.

CONTACT ET MISE À JOUR

Ce document a été mis à jour pour la dernière fois le 19 décembre 2025.

Pour toute question relative à la présente Charte ou au traitement de vos données personnelles, vous pouvez contacter le Délégué à la Protection des Données (DPO) de l’ESTAC à l’adresse suivante : dpo@estac.fr.

Pour toute information complémentaire sur la protection des données personnelles, vous pouvez consulter le site de la Commission Nationale de l’Informatique et des Libertés (CNIL) : www.cnil.fr.

LE RESPONSABLE DE TRAITEMENT

Le responsable de traitement, au sens du Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et de la loi n°78-17 du 6 janvier 1978 modifiée dite « Informatique et Libertés », est :

ESTAC – Société Anonyme Sportive Professionnelle

Immatriculée sous le numéro 419 388 996 au R.C.S. de Troyes

Siège social : 126, Avenue Robert Schumann – 10000 Troyes, France

L’ESTAC détermine les finalités et les moyens des traitements de données à caractère personnel réalisés dans le cadre de ses activités.

DÉLÉGUÉ À LA PROTECTION DES DONNÉES (DPO)

L’ESTAC a désigné un Délégué à la Protection des Données (DPO) chargé de veiller au respect permanent de la réglementation applicable et de conseiller le club dans la mise en œuvre de ses obligations en matière de protection des données personnelles.

Il est également le point de contact privilégié des personnes concernées et de la CNIL.

Vous pouvez le contacter pour toute question relative au traitement de vos données personnelles, à l’exercice de vos droits, ou à toute alerte en matière de confidentialité via l’adresse dpo@estac.fr ou par courrier à l’adresse ESTAC – Délégué à la Protection des Données, 126 Avenue Robert Schumann – 10000 Troyes, France.

LES DONNÉES COLLECTÉES

Dans le cadre de ses activités, l’ESTAC est amenée à collecter et traiter des données à caractère personnel relatives à ses supporters, clients, visiteurs, salariés, collaborateurs, partenaires et internautes.

Ces traitements concernent notamment les interactions réalisées via les sites internet (www.estac.fr ; https://store.estac.fr ; https://ticket.estac.fr), les événements sportifs, les opérations commerciales et marketing, ainsi que la gestion interne du club.

Pour exemple, l’ESTAC pourra être amené à collecter certaines de vos données personnelles dans le cadre de notre relation commerciale, et notamment à l’occasion de vos achats en ligne de nos produits et services (merchandising, billetterie, etc.).

CATÉGORIES DE DONNÉES COLLECTÉES

L’ESTAC veille à ne collecter que les données strictement nécessaires aux finalités. Les catégories de données susceptibles d’être traitées sont les suivantes :

a) Données d’identification

Nom, prénom, civilité, date de naissance ;
Identifiants de connexion, numéro de compte, identifiant client ;
Informations relatives au programme de fidélité (numéro d’abonné, points, avantages, etc.).

b) Données de contact

Adresse postale, adresse e-mail, numéro de téléphone ;
Coordonnées du représentant légal pour les mineurs.

c) Données relatives aux transactions et services

Historique d’achats (produits, billets, abonnements, événements) ;
Informations de facturation et de paiement (RIB, numéro de transaction, justificatifs légaux) ;
Participation à des jeux concours, sondages ou opérations promotionnelles.

d) Données de navigation et de connexion

Adresse IP, identifiants d’appareil, logs de connexion ;
Données techniques liées au navigateur ou au système d’exploitation ;
Données collectées via les cookies et traceurs (selon vos préférences de consentement) ;
Informations issues de la géolocalisation pour les services de billetterie.

e) Données issues des échanges avec le club

Contenu des messages adressés au service client ou via les formulaires de contact ;
Avis, commentaires et interactions sur les plateformes numériques ou réseaux sociaux officiels.

f) Données relatives à la sécurité et à la conformité

Images issues du dispositif de vidéosurveillance dans les installations ;
Données nécessaires à la gestion de la sécurité des événements (contrôles d’accès, incidents, interdictions de stade) ;
Données collectées dans le cadre de procédures de lutte contre la fraude ou la contrefaçon.

Les autres données qui peuvent être collectées pour des services spécifiques, seront nommées explicitement dans des mentions claires lors de leur collecte (par exemple, lors d’un jeu concours).

Certaines données personnelles sont également collectées automatiquement après l’utilisation de l’un de nos services. Il s’agit de :

L’adresse IP et les identifiants d’appareil,
Les données techniques relatives au navigateur ou à l’appareil (nom, système d’exploitation de votre appareil, langue préférée),
Les données d’authentification (logs de connexion et d’usage, adresse IP, identifiant unique),
La géolocalisation lors des achats Billetterie.

COLLECTE INDIRECTE ET DONNÉES DE TIERS

Dans certains cas, l’ESTAC peut recevoir des données vous concernant via :

des partenaires officiels (billetterie, plateformes de paiement, prestataires CRM ou marketing) ;
des tiers mandatés pour la gestion d’événements ;
ou des bénéficiaires désignés par vos soins (ex. billets offerts, invitations).

Ces données font alors l’objet des mêmes garanties de confidentialité et de sécurité que les données collectées directement.

COLLECTE AUPRÈS DES MINEURS

L’ESTAC accorde une attention particulière à la protection des données personnelles des mineurs.

Le traitement des données personnelles d’un mineur de moins de quinze (15) ans repose sur le consentement conjoint du mineur et du titulaire de l’autorité parentale. Ainsi, lors de toute collecte de données concernant un mineur (inscription à un jeu-concours, création d’un compte en ligne, participation à un événement, etc.), l’ESTAC met en place un mécanisme de vérification de ce consentement parental, par exemple via une confirmation par courriel du représentant légal.

Nous invitons les parents ou représentants légaux à sensibiliser leurs enfants à la protection de leur vie privée et à superviser leur utilisation d’Internet. En outre, nous ne favorisons pas l’inscription sur nos sites des enfants ne disposant pas de la majorité numérique.

L’ESTAC ne procède à aucune prospection commerciale directe auprès des mineurs de moins de 15 ans.

Les représentants légaux peuvent, à tout moment, retirer le consentement donné au traitement des données de leur enfant en contactant le Délégué à la Protection des Données (DPO) à l’adresse : dpo@estac.fr.

TRAITEMENT DE VIDÉOSURVEILLANCE

L’ensemble des établissements de l’ESTAC sont placés sous vidéosurveillance, dans un intérêt légitime de sécurité, comme indiqué par signalétique sur l’ensemble des sites et, le cas échéant, des obligations légales résultant du Code du sport et du Code de la sécurité intérieure, notamment pour la prévention des troubles à l’ordre public.

Ce dispositif a notamment fait l’objet d’une autorisation préfectorale préalable.

Conséquemment, l’image de l’ensemble des visiteurs ainsi que des salariés de l’ESTAC est susceptible d’être captée par ce dispositif.

Ce système a pour but de protéger les biens et les personnes et prévoit une conservation des images pendant 15 jours. Les images peuvent être visionnées uniquement par le personnel habilité du service sûreté et sécurité de l’ESTAC ainsi que par les forces de l’ordre. Enfin, les personnels de la société en charge de la maintenance du matériel de vidéoprotection peuvent également être amenés à accéder aux images, à cette seule fin.

Néanmoins, en cas d’incident, les images de vidéosurveillance peuvent être utilisées en cas de poursuites pénales dans la limite de la législation et de la réglementation en vigueur. Les images peuvent alors être extraites du dispositif et être conservées sur un autre support le temps du règlement des procédures liées à cet incident et être accessibles aux seules personnes habilitées dans ce cadre.

SPÉCIFICITÉS DES COOKIES ET TRACEURS

Lors de la consultation des sites Internet de l’ESTAC, des cookies ou autres traceurs peuvent être déposés sur votre terminal (ordinateur, smartphone, tablette).

DÉFINITION ET OBJET

Un cookie est un petit fichier texte enregistré par votre navigateur et permettant de reconnaître votre appareil, de conserver certaines informations de navigation ou de personnaliser les services proposés.

L’ESTAC utilise ces cookies afin :

D’adapter le contenu et l’affichage de notre service à votre terminal afin d’améliorer votre navigation ;
De mémoriser des informations relatives à un formulaire déjà rempli, ou relatives à des produits, services ou informations de notre service ;
De personnaliser nos contenus et publicités en fonction des centres d’intérêts de l’utilisateur ;
De garantir le fonctionnement technique du site Internet
D’établir des statistiques et mesures d’audiences sur la fréquentation de notre site ;
D’effectuer des partages sur les réseaux sociaux ;

D’optimiser la diffusion et évaluer l’efficacité des messages publicitaires que nous adressons.

Sont collectées, via les Cookies, toutes les données qui se rapportent à un terminal à un instant donné, et notamment :

L’identification et le contenu d’un fichier cookie stocké par nous, nos sous-traitant, nos partenaires ou des tiers éditeurs de réseaux sociaux dans votre terminal ;
L’adresse IP du terminal ;
Vos identifiants mobiles utilisés pour la publicité ;
La date, l’heure et la durée de connexion d’un terminal à un élément du service ;
La langue d’utilisation du logiciel de navigation utilisé par le terminal ;
L’adresse Internet de la page de provenance du terminal accédant au service ;
Le type de système d’exploitation du terminal ;
Le type et la version du logiciel de navigation utilisé par le terminal ;
Les caractéristiques des contenus consultés ou partagés ;
Les éventuelles informations sur les transactions effectuées ou initiées.

CATÉGORIES DE COOKIES UTILISÉS

Nous utilisons des cookies pour collecter des informations sur les utilisateurs de notre site, afin de les mémoriser soit pendant la durée de votre visite (cookies dits « session ») soit pour des visites répétées (cookies dits « persistants »).

Il existe également des cookies dits « tiers » et des cookies dits « propriétaires ». Un cookie propriétaire est celui installé par le site web que l’utilisateur est en train de consulter. A l’inverse, un cookie tiers est un cookie installé par un autre domaine que celui du site web l’utilisateur consulte. Ainsi, lorsqu’un utilisateur consulte un site ou une plateforme, et qu’une autre entité installe un cookie par l’intermédiaire de ce site ou de cette plateforme, le cookie est un cookie tiers.

GESTION DU CONSENTEMENT

Concernant le dépôt des cookies strictement nécessaires au fonctionnement de notre site, ceux-ci sont activés par défaut et ne requièrent pas de consentement de votre part. La durée de vie de ces cookies est limitée à treize (13) mois, cependant les données personnelles recueillies via ceux-ci peuvent être conservées pour une durée maximale de 25 (vingt-cinq) mois.

Vous pouvez modifier ces cookies sur notre site via la fenêtre contextuelle afin de choisir parmi les trois types de cookies lesquels l’ESTAC peut utiliser (cookies techniques [obligatoire au bon fonctionnement du site], cookies de performance et de suivi, cookies de suivi publicitaire.)

Les cookies relatifs à la publicité personnalisée et des réseaux sociaux sont soumis au consentement de l’utilisateur, qui sera conservé pour une durée de 6 (six) mois. Vous pouvez donc consentir au dépôt de ces cookies, ou les refuser, et ce depuis la fenêtre contextuelle RAS disponible à tout moment lors de votre visite de notre site.

Si vous cliquez sur « Personnaliser », vous serez redirigé vers la page de gestion des cookies. Depuis cette page, vous avez la possibilité d’accepter ou de refuser directement tout ou partie des cookies, à l’exception des cookies fonctionnels strictement nécessaires au fonctionnement du site.

Quel que soit votre choix initial, vous pouvez changer d’avis à tout moment et choisir d’accepter ou de refuser tout ou partie de ces cookies directement sur le site. Un lien vers le popup de gestion des cookies est à tout moment accessible en bas à gauche sur votre écran pour vous permettre de personnaliser vos préférences relatives aux cookies

PARAMÉTREZ VOTRE NAVIGATEUR

Si vous naviguez sur Google Chrome, vous pouvez gérer votre paramétrage via le lien suivant : chrome://settings/cookies.

Si vous naviguez sur Safari, vous pouvez gérer votre paramétrage via le lien suivant : https://support.apple.com/fr-fr/guide/safari/sfri11471/mac.

Si vous naviguez sur Firefox, vous pouvez gérer votre paramétrage via le lien suivant : about:preferences#privacy.

Si vous naviguez sur Internet Explorer, vous pouvez gérer votre paramétrage via le lien suivant : https://support.microsoft.com/fr-fr/help/17442/windows-internet-explorer-delete-manage-cookies.

FINALITÉS DES TRAITEMENTS DES DONNÉES ET DURÉE DE CONSERVATION DES DONNÉES

L’ESTAC collecte et traite des données personnelles uniquement pour des finalités déterminées, explicites et légitimes.

Aucune donnée n’est utilisée à des fins incompatibles avec celles pour lesquelles elle a été collectée.

Les durées de conservation ci-dessous sont définies en fonction des obligations légales ou, à défaut, des besoins opérationnels et commerciaux légitimes de l’ESTAC.

Finalité du traitement	Données concernées	Fondement	Durée de conservation
Gestion du compte client / espace personnel	Identité, coordonnées, identifiants de connexion, historique de commandes	Exécution du contrat	3 ans à compter de la dernière activité sur le compte ou de la fin de la relation contractuelle
Gestion des achats (billetterie, stages, produits dérivés)	Données d’identité, de contact, informations de paiement, historique d’achats	Exécution du contrat / Obligation légale (facturation)	10 ans à compter de la clôture de l’exercice comptable pour les données de facturation ; 5 ans pour les données contractuelles
Programme de fidélité / avantages supporters	Identité, coordonnées, historique des points, préférences	Exécution du contrat / Intérêt légitime (fidélisation)	3 ans après la dernière activité du client
Gestion des demandes de contact, réclamations et service client	Identité, coordonnées, contenu des messages	Intérêt légitime / Mesures précontractuelles	3 ans après la clôture de la demande
Prospection commerciale (newsletter, offres partenaires)	Email, nom, préférences marketing	Consentement	3 ans à compter du dernier contact ou jusqu’au retrait du consentement
Jeux concours et opérations marketing	Identité, coordonnées, participation, résultats	Consentement / Exécution du contrat	1 an après la fin de l’opération
Analyse statistique et amélioration du site	Données de navigation, cookies analytiques	Intérêt légitime	13 mois à compter du dépôt des cookies ; les données collectées par leur biais peuvent être conservées pour une durée maximale de 25 mois, uniquement sous une forme anonymisée.
Cookies publicitaires et de suivi tiers	Données de navigation et préférences	Consentement	6 mois (durée du consentement)
Sécurité des événements (contrôles d’accès, prévention des incidents)	Identité, photo, données d’accès	Obligation légale (Code du sport L.332-1) / Intérêt légitime	5 ans maximum ou durée de la mesure d’interdiction
Vidéosurveillance dans les installations	Image, date, heure	Intérêt légitime (sécurité) / Obligation légale	15 jours (ou durée légale plus longue en cas d’incident)
Gestion des mineurs	Identité du mineur et du parent, coordonnées	Consentement parental conforme à l’art. 8 RGPD	3 ans à compter de la dernière interaction ou jusqu’au retrait du consentement
Gestion des droits RGPD (accès, rectification, opposition, etc.)	Identité, nature de la demande, réponse	Obligation légale	3 ans à compter de la clôture de la demande
Comptabilité et obligations légales	Données de facturation et pièces justificatives	Obligation légale	10 ans à compter de la clôture de l’exercice comptable
Lutte contre la fraude et la contrefaçon	Données d’identité, paiement, historique d’achat	Intérêt légitime / Obligation légale	5 ans à compter de la clôture de l’enquête

L’ESTAC s’engage à ne pas utiliser vos données personnelles à d’autres fins que celles prévues ci-dessus information et/ou accord préalable.

La durée de conservation n’excède pas celle nécessaire au regard des finalités pour lesquelles les données sont traitées.

Des données peuvent être archivées à des fins probatoires pendant la durée de la prescription applicable (5 ans en matière civile, sauf exceptions). Certaines données peuvent être conservées plus longtemps lorsque cela est requis pour répondre à une obligation légale, régler un litige ou défendre les droits de l’ESTAC.

Passé ces délais, les données sont supprimées ou anonymisées de manière sécurisée.

DESTINATAIRES DE VOS DONNÉES

ACCÈS RESTREINT

L’ESTAC accorde une importance essentielle à la confidentialité des données personnelles.

L’accès aux informations collectées est strictement limité aux seules personnes ou entités dûment habilitées à en connaître, selon leurs missions et dans le respect du principe de nécessité d’accès.

PARTAGE AVEC DES PRESTATAIRES ET SOUS-TRAITANTS

Dans les cas où l’ESTAC a fait appel à un sous-traitant pour traiter des données personnelles des utilisateurs et clients pour son compte, l’ESTAC s’assure que celui-ci présente des garanties suffisantes quant à la mise en œuvre de mesures de sécurité techniques et organisationnelles appropriées de manière que le traitement réponde aux exigences du RGPD et garantisse la protection de vos droits.

Une liste actualisée des principales catégories de sous-traitants (hébergeurs, prestataires billetterie, prestataires CRM, prestataires marketing, etc.) peut être communiquée sur simple demande à dpo@estac.fr.

L’ESTAC est susceptible de transférer vos données personnelles à :

Des prestataires de services dans la mesure où ils interviennent pour la fourniture d’un produit ou service, par les services postaux et de livraison par exemple ;
Des prestataires de services de paiement prenant en charge les opérations de paiement et les contrôles appropriés ;
Des tiers nous fournissant des services informatiques, tels que des fournisseurs de plateformes, des services d’hébergement, de support technique pour nos logiciels et applications pouvant contenir des données vous concernant, l’analyse de données, la distribution des emails ;
Des prestataires de services, associés à l’organisation des manifestations et événements organisés par ou dans nos infrastructures, y compris ceux chargés des accès et de la sécurité aux abords et dans l’enceinte du Stade de l’Aube ;
Toute personne morale contrôlée par la même entité que l’ESTAC au sens de l’article L233-3 du Code de commerce ;
Les autorités administratives, judiciaires et de tutelle, lorsque cette communication est requise par la Loi.

TRANSFERT DE VOS DONNÉES PERSONNELLES HORS DE L’UNION EUROPÉENNE

Certaines données peuvent, de manière exceptionnelle, être traitées hors de l’Union européenne.

Dans ce cas, nous prenons les dispositions nécessaires vis-à-vis de nos prestataires pour garantir un niveau de protection de vos données adéquate et ce en toute conformité avec la règlementation en vigueur.

Si les prestataires concernés ne sont pas situés dans un pays disposant d’une législation considérée comme offrant une protection adéquate, ils auront alors préalablement signé les clauses contractuelles types de la Commission européenne (conformément à la décision d’exécution (UE) 2021/914 de la Commission européenne) de sorte que le niveau de protection garanti par la réglementation en vigueur ne soit pas compromis.

ABSENCE DE REVENTE DE DONNÉES

L’ESTAC ne vend, ne loue, ni échange aucune donnée personnelle à des tiers à des fins commerciales ou publicitaires.

Toute utilisation des données à des fins de prospection ou de partenariat commercial est strictement soumise à votre consentement préalable.

VOS DROITS

Conformément à la réglementation en vigueur sur la protection des données personnelles, vous disposez de plusieurs droits relatifs à l’utilisation de vos données personnelles par l’ESTAC.

L’ESTAC veille à ce que l’exercice de ces droits soit simple, transparent et gratuit.

Ces demandes s’exercent en complétant le formulaire accessible via ce lien ou par courrier électronique à l’adresse dpo@estac.fr ou par courrier postal à l’attention du Délégué à la Protection des Données (DPO) de l’ESTAC.

Votre demande doit préciser l’identité du demandeur et le droit exercé.

En cas de doute raisonnable sur votre identité, l’ESTAC pourra vous demander un justificatif d’identité afin de prévenir toute usurpation.

L’ESTAC s’engage à répondre à votre demande dans un délai d’un (1) mois à compter de sa réception. Ce délai peut être prolongé de deux (2) mois en cas de demande complexe ou multiple, conformément à l’article 12.3 du RGPD. Dans ce cas, vous en serez informé.

DROIT D’ACCÈS

Vous pouvez obtenir confirmation que des données personnelles vous concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, accéder à l’ensemble des informations suivantes :

les finalités du traitement ;
les catégories de données traitées ;
les destinataires ou catégories de destinataires ;
la durée de conservation ;
l’existence de vos droits ;
et, le cas échéant, les informations sur les transferts hors UE.

Une copie de vos données peut vous être fournie sous format électronique ou papier.

DROIT DE RECTIFICATION

Vous pouvez demander la correction ou la mise à jour de vos données personnelles lorsqu’elles sont inexactes, incomplètes ou obsolètes.

DROIT À L’EFFACEMENT

Vous pouvez demander la suppression de vos données personnelles dans les cas prévus par la réglementation, notamment lorsque :

elles ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées ;
vous retirez votre consentement ;
vous vous opposez à leur traitement ;
ou lorsque leur traitement est illicite.

Ce droit ne s’applique pas lorsque la conservation est requise pour le respect d’une obligation légale ou pour la constatation, l’exercice ou la défense de droits en justice.

DROIT À LA LIMITATION DE TRAITEMENT

Vous pouvez demander la suspension temporaire de l’utilisation de vos données, par exemple le temps qu’une vérification soit effectuée (exactitude, licéité, opposition).

DROIT D’OPPOSITION

Vous pouvez vous opposer à tout moment au traitement de vos données personnelles fondé sur l’intérêt légitime de l’ESTAC, pour des raisons tenant à votre situation particulière.

Vous pouvez également vous opposer, sans justification, à tout traitement à des fins de prospection commerciale (y compris le profilage lié à cette prospection).

DROIT À LA PORTABILITÉ

Vous pouvez obtenir la restitution des données personnelles que vous avez fournies à l’ESTAC dans un format structuré, couramment utilisé et lisible par machine, ou demander leur transfert direct vers un autre organisme lorsque cela est techniquement possible.

DROIT DE RETRAIT DU CONSENTEMENT

Lorsque le traitement repose sur votre consentement (ex. cookies, newsletter, opérations marketing), vous pouvez retirer ce consentement à tout moment, sans que cela n’affecte la licéité du traitement effectué avant ce retrait.

DROIT DE DÉFINIR LE SORT DE VOS DONNÉES APRÈS VOTRE DÉCÈS

Vous pouvez établir des directives anticipées relatives à la conservation, l’effacement ou la communication de vos données personnelles après votre décès.

Ces directives peuvent être générales (enregistrées auprès d’un tiers de confiance certifié par la CNIL) ou particulières (communiquées directement à l’ESTAC).

VOIES DE RECOURS

Si vous estimez, après avoir contacté l’ESTAC, que vos droits ne sont pas respectés ou que le traitement de vos données n’est pas conforme à la réglementation, vous pouvez introduire une réclamation auprès d’une autorité de contrôle et notamment auprès de la CNIL (https://www.cnil.fr/fr/plaintes).

MESURES DE SÉCURITÉ

L’ESTAC accorde une importance primordiale à la sécurité et à la confidentialité des données personnelles qu’elle traite.

Des mesures techniques et organisationnelles appropriées sont mises en œuvre pour protéger vos données contre tout accès non autorisé, perte, altération, divulgation ou destruction accidentelle ou illicite.

PRINCIPE GÉNÉRAUX DE SÉCURITÉ

L’ESTAC applique le principe de sécurité par conception et par défaut (“privacy by design & by default”) à l’ensemble de ses traitements. Ainsi, dès la conception de chaque outil, service ou collecte de données, des mécanismes de protection adaptés sont intégrés.

Les mesures de sécurité comprennent notamment :

le chiffrement des données sensibles (pendant le stockage et le transfert) ;
la gestion des accès par authentification et habilitations nominatives ;
la journalisation et la traçabilité des actions sur les systèmes contenant des données personnelles ;
des sauvegardes régulières et des procédures de restauration testées ;
la segmentation des réseaux et la mise à jour régulière des logiciels de sécurité ;
la sécurisation des postes et terminaux mobiles (antivirus, pare-feu, VPN, MFA, mots de passe forts) ;
et la sensibilisation régulière des collaborateurs aux règles de protection des données.

Ces mesures de sécurité sont par ailleurs renforcées dès lors que l’ESTAC traite des données considérées comme sensibles.

Chaque collaborateur, prestataire ou tierce personne ayant accès à des données personnelles est soumis à une obligation contractuelle de confidentialité.

REGISTRE DES TRAITEMENTS ET ANALYSES D’IMPACT

L’ESTAC tient à jour un registre des activités de traitement, conformément à l’article 30 du RGPD. Ce registre recense pour chaque traitement :

la finalité, la base légale et les catégories de données traitées ;
les destinataires et durées de conservation ;
les mesures de sécurité mises en œuvre.

Lorsque certaines opérations sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes, une Analyse d’Impact relative à la Protection des Données (AIPD ou DPIA) est réalisée (exemples : vidéosurveillance, profilage marketing, dispositifs biométriques).

Ces analyses permettent d’évaluer et de minimiser les risques avant la mise en œuvre du traitement.

GESTION DES VIOLATIONS DE DONNÉES

L’ESTAC a mis en place une procédure interne de gestion des incidents et violations de données à caractère personnel.

Cette procédure permet de :

détecter et qualifier rapidement tout incident de sécurité (perte, vol, accès non autorisé, divulgation, etc.) ;
documenter l’incident dans un registre spécifique de violations ;
notifier la CNIL dans un délai maximum de 72 heures lorsqu’un incident est susceptible d’engendrer un risque pour les droits et libertés des personnes concernées ;
informer individuellement les personnes concernées lorsque la violation présente un risque élevé pour leur vie privée.

SÉCURITÉ DES SOUS-TRAITANTS ET PARTENAIRES

Tous les prestataires et partenaires de l’ESTAC ou tiers ayant accès à des données personnelles sont soumis à des clauses contractuelles de sécurité conformes à l’article 28 du RGPD.

Ces contrats imposent notamment :

la mise en œuvre de mesures de sécurité équivalentes à celles de l’ESTAC ;
l’obligation de notifier toute violation de données sans délai ;
et la coopération avec le Délégué à la Protection des Données en cas d’incident.

L’ESTAC peut procéder à des audits ou évaluations de conformité pour s’assurer du respect de ces engagements.

LIMITES LIÉES À INTERNET

L’ESTAC rappelle que, malgré toutes les précautions prises, la transmission de données sur Internet n’est jamais totalement sécurisée.

Ainsi, la responsabilité de l’ESTAC ne saurait être engagée pour des failles de sécurité survenant en dehors de son périmètre de contrôle (réseaux publics, appareils personnels non sécurisés, etc.).

Néanmoins, l’ESTAC s’engage à réagir immédiatement et à accompagner les personnes concernées en cas d’incident avéré impliquant leurs données personnelles.

MODIFICATIONS DE NOTRE CHARTE DE PROTECTION DES DONNÉES PERSONNELLES

L’ESTAC s’engage à maintenir cette Charte à jour et conforme aux exigences légales et réglementaires en vigueur.

Chaque modification est datée et intégrée dans la version la plus récente, consultable en permanence sur le site officiel : www.estac.fr.

En cas de modification substantielle de la présente Charte (nouveaux traitements, changement de finalité, nouveaux destinataires ou transferts de données hors UE), l’ESTAC :

informera les personnes concernées par publication sur le site internet ;
et, le cas échéant, par notification directe (par email, message sur l’espace personnel ou autre canal approprié).

Lorsque ces modifications nécessitent votre consentement renouvelé, l’ESTAC veillera à le recueillir à nouveau avant toute mise en œuvre.

L’ESTAC conserve l’historique des versions précédentes de la Charte afin d’assurer la traçabilité des évolutions et la transparence de ses engagements. Sur demande, les versions antérieures peuvent être consultées auprès du Délégué à la Protection des Données (DPO).

GLOSSAIRE

« Donnée à caractère personnel » : Toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un identifiant (nom, numéro d’identification, données de localisation, identifiant en ligne) ou à un ou plusieurs éléments propres à son identité physique, économique, culturelle ou sociale.

« Traitement » : Toute opération ou tout ensemble d’opérations effectuées sur des données personnelles, qu’elles soient automatisées ou non, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, la consultation, l’adaptation, la modification, l’extraction, l’utilisation, la communication, la diffusion, l’effacement ou la destruction.

« Responsable de traitement » : La personne morale (ici l’ESTAC) qui détermine les finalités (le « pourquoi ») et les moyens (le « comment ») du traitement des données personnelles. Par ESTAC, il est entendu la société anonyme sportive professionnelle à conseil d’administration, immatriculée 419 388 996 au R.C.S de TROYES, dont le siège social est situé 126, Avenue Robert Schumann à TROYES (10000), ainsi que :

(i) toute entité contrôlée par elle, le terme « contrôle » ayant le sens qui lui est donné à l’article L.233-3 du Code de commerce,

(ii) toute entité sœur ou mère de la société et plus généralement du même groupe,

(iii) l’Association ESTAC dont les relations avec la société ESTAC sont définies aux termes d’une convention prise en application de l’article L.122-14 du Code du sport.

« Sous-traitant » : Toute personne physique ou morale, autorité publique, service ou autre organisme qui traite des données personnelles pour le compte du responsable de traitement, selon ses instructions et sous son contrôle.

« Consentement » : Toute manifestation de volonté, libre, spécifique, éclairée et univoque, par laquelle une personne accepte, par une déclaration ou un acte positif clair, que des données personnelles la concernant fassent l’objet d’un traitement.

« Délégué à la Protection des Données (DPO) » : Personne désignée par l’ESTAC pour veiller au respect du RGPD, conseiller l’organisation sur ses obligations légales, et être l’interlocuteur privilégié de la CNIL et des personnes concernées.

« Violation de données personnelles » : Une violation de sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé à des données personnelles transmises, conservées ou traitées.

« Profilage » : Toute forme de traitement automatisé de données personnelles consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique (par exemple : préférences, centres d’intérêt, comportement d’achat), afin de lui proposer des contenus ou services adaptés.

« Transfert de données hors de l’Union européenne » : Toute communication, copie ou déplacement de données personnelles vers un pays situé en dehors de l’Union européenne ou vers une organisation internationale, nécessitant un encadrement juridique spécifique.

« Mineur » : Toute personne âgée de moins de 18 ans. En France, un enfant de moins de 15 ans ne peut consentir seul au traitement de ses données dans le cadre de services en ligne : le consentement conjoint du mineur et du titulaire de l’autorité parentale est requis.

« Intérêt légitime » : Base juridique permettant à l’ESTAC de traiter des données lorsque ce traitement est nécessaire à la poursuite d’un objectif légitime (sécurité, amélioration du service, prévention de la fraude, etc.), à condition que les droits et libertés des personnes concernées ne soient pas affectés de manière disproportionnée.

« CNIL » : La Commission Nationale de l’Informatique et des Libertés est l’autorité administrative indépendante française chargée de veiller à la protection des données personnelles et au respect du RGPD.