Informations sur la protection des données
Dernière mise à jour : November 2025
0) Identité de l’éditeur et contact
Raison sociale : Franco Gaudiano Technologies – FGT3CH (entreprise individuelle)
IDE / No registre du commerce : CHE-406.584.174
Adresse : Faubourg Philippe-Suchard 42, 2017 Boudry, Suisse
Téléphone : +41 32 841 57 92
Contact privacy : support@gesticlub.ch
Marque exploitée : GestiClub
1) Champ d’application, rôles et définitions
Cette politique s’applique (i) aux sites vitrines et activités marketing (gesticlub.ch, gesticlub.net), (ii) à la prise de rendez-vous (Calendly), (iii) à l’assistance/support (Jira Service Management Cloud), et (iv) à l’environnement SaaS GestiClub (app.gesticlub.*).
- Contexte SaaS : les clubs clients sont Responsables du Traitement (RT). FGT3ch agit en Sous-traitant (ST) et traite les données sur instruction des clubs, dans le cadre de l’Accord de Traitement des Données (ATD/DPA).
- Contexte sites vitrines/marketing & rendez-vous : FGT3ch est Responsable du Traitement (RT).
- Cadre juridique : LPD (Suisse) ; RGPD si GestiClub cible des personnes dans l’UE (art. 3(2) RGPD).
2) Catégories de données et sources
- SaaS (ST) : données d’adhérents/membres, familles, responsables légaux, encadrants, facturation/écritures (si module activé), journaux techniques d’usage. Données fournies par le club (RT) ou par les personnes auprès du club.
- Support (RT pour la relation d’assistance FGT3ch / ST vis-à-vis des données des clubs) : contenus des tickets, pièces jointes, métadonnées techniques, historiques d’échanges.
- Sites vitrines/marketing (RT) : formulaires de contact, abonnements e-mail (Brevo), statistiques agrégées (GA4), logs.
- Rendez-vous (RT) : identité/contact nécessaires à l’organisation des rendez-vous (Calendly).
3) Finalités et bases légales
Tableau de synthèse
| Contexte | Finalité | Base légale | Commentaires |
|---|---|---|---|
| SaaS (ST) | Prestation du service GestiClub | Exécution du contrat (club ↔ personnes), gérée par le RT | Traitement sur instruction du club via ATD/DPA |
| Support (Jira) | Gestion des tickets / demandes | Intérêt légitime / Exécution du contrat | 24 mois après clôture, puis archivage/anonymisation |
| Sites vitrines (GA4) | Mesure d’audience agrégée | Consentement (cookies non essentiels) | Rétention GA4 : 14 mois |
| Marketing (Brevo) | Prospection / e-mails d’information | Consentement (B2C) / Intérêt légitime (B2B) | Désinscription possible à tout moment |
| Rendez-vous (Calendly) | Organisation des démos/réunions | Mesures précontractuelles / Intérêt légitime | Durée opérationnelle 12 mois |
4) Sous-traitants et transferts internationaux
Sous-traitants/prestataires utilisés à ce jour :
- KreativMedia GmbH (CH) — hébergement en Suisse (datacenters à Zurich via partenaires).
- Atlassian — Jira Service Management Cloud (UE/CH) — data residency activable (UE/CH/US).
- Brevo (UE) — emailing / CRM marketing.
- Calendly LLC (US) — prise de rendez-vous (DPA ; DPF le cas échéant).
- Google Analytics 4 — analyse d’audience des sites vitrines.
Transferts : si le prestataire US est certifié EU–US Data Privacy Framework (DPF), transfert fondé sur la décision d’adéquation du 10.07.2023 ; sinon Clauses Contractuelles Types (SCC).
5) Cookies et mécanismes de consentement
Nous distinguons :
- Essentiels : indispensables (session, authentification, sécurité/CSRF, load-balancing, langue). Pas de consentement requis.
- Fonctionnalité : confort d’usage (mémorisation de préférences).
- Mesure d’audience (analytics) : compréhension d’usage (ex. GA4).
- Marketing/retargeting : uniquement si activés (non nécessaires au fonctionnement).
Application web GestiClub (app.gesticlub.*) :
Cookies strictement nécessaires (session, sécurité, continuité). D’autres cookies uniquement si des intégrations spécifiques sont activées.
Sites vitrines (gesticlub.ch / gesticlub.net) :
Les cookies non essentiels (analytics/marketing) sont soumis à consentement préalable via une bannière CMP (préférences granulaires ; retrait possible à tout moment via la bannière ou le navigateur).
La Politique des cookies dédiée liste finalité et durée de chaque cookie (insérer l’URL).
6) Durées de conservation
Tableau de synthèse
| Catégorie | Durée | Remarques |
|---|---|---|
| Sauvegardes (prod) | Journalières 7 j ; Hebdomadaires 2 mois ; Mensuelles 2 snapshots → rétention 30–60 j | Purge automatique à l’échéance |
| GA4 | 14 mois | Paramètre de rétention activé |
| Tickets support (Jira) | 24 mois après clôture | Puis archivage/anonymisation (accès restreint) |
| Rendez-vous (Calendly) | 12 mois | Suppression des calendriers FGT3ch au-delà |
| Emailing (Brevo) | Selon relation et preuve du consentement | Désinscription à tout moment |
7) Sécurité des traitements
Mesures techniques et organisationnelles proportionnées : TLS, gestion des accès & authentification, séparation des environnements, journalisation des accès support, sauvegardes et tests de restauration, durcissement des services exposés, data residency activée pour l’outil de support.
8) Droits des personnes concernées
- SaaS (club RT) : adresses les demandes (accès, rectification, effacement, opposition, portabilité, restriction) au club. Si FGT3ch reçoit une demande par erreur, redirection immédiate vers le RT et journalisation.
- Sites vitrines/marketing (FGT3ch RT) : exercer vos droits via support@gesticlub.ch.
9) Données de mineurs
La base légale est déterminée par les clubs (RT) (ex. consentement parental). FGT3ch (ST) n’accède aux données de mineurs que sur demande documentée du club dans le cadre d’un ticket de support, avec traçabilité.
10) Violations de données (data breach)
FGT3ch (ST) notifie sans délai le club (RT).
- RGPD : le RT notifie l’autorité ≤ 72 h en cas de risque ; information des personnes en cas de risque élevé.
- LPD (Suisse) : notification au PFPDT en cas de risque élevé (lignes directrices officielles).
11) Fin de contrat et effacement
À la résiliation : export en formats ouverts (CSV/SQL). Effacement de l’environnement à J+30 (au plus tard J+60 pour l’extinction des sauvegardes), puis purge automatique des sauvegardes.
12) Représentant UE (art. 27 RGPD)
Pas de représentant UE désigné à ce jour (FGT3ch en Suisse). Réexamen si ciblage régulier de résidents UE (art. 3(2) RGPD).
13) Réclamations et autorités compétentes
- Suisse : Préposé fédéral à la protection des données et à la transparence (PFPDT).
- Union européenne : si le RGPD s’applique, possibilité de saisir l’autorité de contrôle compétente.
14) Mises à jour de cette politique
Cette politique peut être mise à jour. La mention « Dernière mise à jour » en tête indique la version en vigueur.
Annexe A — Registre synthétique des traitements (vue RT/FGT3ch)
| Traitement | Responsable | Sous-traitant(s) | Base légale | Durée |
|---|---|---|---|---|
| SaaS GestiClub (adhérents) | Club (RT) | FGT3ch (ST), hébergeur | Contrat (club ↔ personnes) / obligations légales du club | Selon politique du club ; sauvegardes FGT3ch 30–60 j |
| Support (tickets) | FGT3ch (RT) | Atlassian (Jira) | Intérêt légitime / Contrat | 24 mois puis archivage/anonymisation |
| Vitrine & contact | FGT3ch (RT) | Hébergeur | Intérêt légitime / Consentement si cookies | Logs techniques ; GA4 14 mois |
| Emailing marketing | FGT3ch (RT) | Brevo | Consentement (B2C) / Intérêt légitime (B2B) | Jusqu’à désinscription + preuve consentement |
| Rendez-vous | FGT3ch (RT) | Calendly | Mesures précontractuelles / Intérêt légitime | 12 mois |
Annexe B — Liste des sous-traitants et régions de données
KreativMedia (CH) — hébergement Suisse (Zurich) • Atlassian (Jira SM Cloud, UE/CH) — data residency • Brevo (UE) • Calendly (US) — DPA, DPF si applicable • Google Analytics 4.
Annexe C — Mesures techniques et organisationnelles (exemples)
TLS ; durcissement serveur ; gestion des accès (moindre privilège), authentification, rotation des secrets ; journalisation des accès support & piste d’audit ; sauvegardes + tests de restauration ; purge automatique ; data residency activée côté support.
Annexe D — Références réglementaires et documentaires
RGPD (UE) — EUR-Lex ; GDPR-Info (art. 13/28/33/34) • LPD/OPDo (Suisse) — Fedlex • PFPDT — guide notification • EU–US DPF — décision d’adéquation + registre • Cour de justice (communiqué 03.09.2025) • Atlassian Data Residency • Brevo Privacy • Calendly DPA • GA4 (rétention) • IAB Europe TCF.