Politique de confidentialit\u00e9
Derni\u00e8re mise \u00e0 jour : 23 mai 2026 — Version 1.0
Conforme \u00e0 : RGPD (UE) · PIPEDA (Canada) · CNDP Loi 09-08 (Maroc)
1. Responsable du traitement
QuietBridge Sport, une division de QuietBridge EAP Inc. (« QuietBridge », « nous »), est le responsable du traitement de vos données personnelles. Siège social : 123 Boulevard d’Anfa, Casablanca 20000, Maroc Opérations canadiennes : QuietBridge EAP Inc., Montréal, QC, Canada Délégué à la Protection des Données (DPO) : privacy@quietbridgeeap.com Déclaration CNDP : N° D-MBR-2024-0042
2. Base légale du traitement
Nous traitons les données personnelles sur les bases légales suivantes : • Consentement (RGPD Art. 6(1)(a), PIPEDA Principe 3, Loi 09-08 Art. 4) : Vous fournissez un consentement explicite lors de l’inscription pour le traitement de vos données de performance sportive et de santé mentale. • Exécution du contrat (RGPD Art. 6(1)(b)) : Traitement nécessaire à la fourniture des services de psychologie du sport. • Intérêt légitime (RGPD Art. 6(1)(f)) : Statistiques anonymisées (k-anonymat >= 5) pour les rapports d’équipe et l’amélioration de la plateforme. • Obligation légale (RGPD Art. 6(1)(c)) : Conformité aux lois de conservation des données et exigences réglementaires. Les données de santé mentale et de performance psychologique sont classées comme « données sensibles » au titre du RGPD Art. 9, du PIPEDA et de la Loi 09-08. Nous ne les traitons qu’avec votre consentement explicite et appliquons des mesures de sécurité renforcées incluant le chiffrement AES-256-GCM.
3. Données collectées
Nous collectons les catégories de données personnelles suivantes : Données d’identification : • Nom, prénom, adresse email • Numéro de téléphone (chiffré AES-256-GCM) • Avatar/photo de profil (optionnel) • Discipline sportive, club ou équipe Données de performance et santé mentale (sensibles) : • Résultats des tests psychologiques sportifs (CSAI-2R, POMS, ACSI-28, ABQ, GEQ) — chiffrés AES-256-GCM • Journal d’humeur et de performance mentale (mood logs) — chiffré AES-256-GCM • Notes de séance du psychologue du sport — chiffrées AES-256-GCM, accessibles uniquement au psychologue et à l’athlète concerné • Scores de performance et données d’évaluation sportive • Objectifs de performance et plans de développement mental Données d’utilisation : • Historique de connexion, horodatage des sessions • Réservations de séances et présence • Interactions avec les ressources et exercices mentaux • Préférences de notification Données agrégées équipe : • Rapports de cohésion d’équipe anonymisés (k-anonymat >= 5) • Statistiques d’utilisation agrégées — jamais individuellement identifiables Données techniques : • Adresse IP (non conservée à long terme), type de navigateur • Tokens d’authentification (JWT) • Préférences de consentement aux cookies
4. Finalités du traitement
Chaque catégorie de données est traitée pour une finalité spécifique : • Données d’identification → Fournir l’accès à la plateforme, authentifier les utilisateurs, gérer les comptes • Données de performance et santé mentale → Fournir les services d’accompagnement en psychologie du sport, générer les évaluations et profils de performance, permettre la communication psychologue-athlète • Données d’utilisation → Gérer les réservations, envoyer les rappels, améliorer l’expérience utilisateur • Données agrégées équipe → Générer des rapports de cohésion et performance d’équipe anonymisés (k-anonymat >= 5) • Données techniques → Assurer la sécurité de la plateforme, prévenir la fraude, respecter les obligations légales
5. Durée de conservation
• Notes de séance : 5 ans (obligation déontologique des psychologues) • Résultats des tests psychologiques sportifs : Jusqu’à la demande de suppression par l’utilisateur, ou 2 ans après la dernière activité • Journal d’humeur et performance : 2 ans après la dernière activité • Données de compte : Durée de la relation contractuelle + 1 an • Logs de connexion : 12 mois • Rapports anonymisés : Conservation indéfinie (données non personnelles) Après expiration de la durée de conservation, les données sont définitivement supprimées ou anonymisées de manière irréversible. Un processus automatisé de purge RGPD/CNDP s’exécute quotidiennement.
6. Transferts internationaux de données
Vos données peuvent être traitées dans les juridictions suivantes : • Supabase (base de données) : Région AWS eu-west (UE). Données chiffrées au repos. • Vercel (hébergement & edge) : Réseau edge avec traitement principal en UE/US. DPA Vercel en place. • Daily.co (sessions vidéo) : Base aux États-Unis. Les flux vidéo sont chiffrés en transit. • Resend (emails transactionnels) : Base aux États-Unis. Les emails contiennent un minimum de DCP. • Stripe (paiements) : US/UE. Certifié PCI-DSS Niveau 1. Pour les transferts hors UE/EEE, nous nous appuyons sur les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne, ou des garanties équivalentes requises par le PIPEDA et la Loi 09-08.
7. Sous-traitants
Les sous-traitants tiers suivants peuvent accéder aux données personnelles : • Supabase — Base de données & stockage (UE, AWS eu-west) • Vercel — Hébergement, fonctions edge (UE/US) • Daily.co — Visioconférence (US) • Resend — Email transactionnel (US) • Stripe — Traitement des paiements (US/UE, PCI-DSS Niveau 1) Tous les sous-traitants sont liés par des Accords de Traitement des Données (DPA) conformes aux exigences du RGPD, du PIPEDA et de la Loi 09-08.
8. Mesures de sécurité
QuietBridge Sport applique les mesures de sécurité suivantes : • Chiffrement AES-256-GCM pour toutes les données sensibles (notes de séance, résultats d’évaluation, journal d’humeur) • HTTPS/TLS 1.3 pour toutes les communications • Authentification sécurisée (tokens JWT, sessions NextAuth) • Contrôle d’accès par rôle (RBAC) — les psychologues du sport n’accèdent qu’à leurs propres athlètes • k-anonymat >= 5 sur tous les rapports d’équipe agrégés • Nettoyage des DCP dans les logs applicatifs • Limitation de débit sur tous les endpoints API • Audits de sécurité trimestriels
9. Vos droits
En vertu du RGPD, du PIPEDA et de la Loi 09-08, vous disposez des droits suivants : • Droit d’accès : Obtenir une copie de vos données personnelles • Droit de rectification : Corriger des données inexactes • Droit à l’effacement (« droit à l’oubli ») : Demander la suppression de vos données • Droit à la portabilité : Recevoir vos données dans un format structuré et lisible par machine • Droit d’opposition : Vous opposer au traitement fondé sur l’intérêt légitime • Droit à la limitation du traitement : Demander la limitation du traitement • Droit de retrait du consentement : Retirer votre consentement à tout moment Pour exercer l’un de ces droits, contactez : privacy@quietbridgeeap.com Nous répondrons à votre demande dans un délai de 30 jours (RGPD/CNDP) ou selon les délais prévus par la loi applicable.
10. RGPD — Union européenne
Si vous êtes situé dans l’Espace économique européen (EEE) : • Droit de déposer une plainte auprès de votre autorité de contrôle locale (ex. CNIL en France) • Notre DPO est joignable à : privacy@quietbridgeeap.com • Nous réalisons des Analyses d’Impact relatives à la Protection des Données (AIPD) pour les activités à haut risque • Les données de santé mentale et performance sportive sont classées comme données de « catégorie spéciale » au titre du RGPD Art. 9
11. PIPEDA — Canada
Si vous êtes situé au Canada : • Droit de contester la conformité de QuietBridge au PIPEDA en contactant notre DPO • Droit de déposer une plainte auprès du Commissariat à la protection de la vie privée du Canada (CPVP) : www.priv.gc.ca • Consentement valable obtenu pour la collecte et l’utilisation des données de performance et santé mentale • Les données de santé mentale sportive sont considérées comme des renseignements personnels sensibles
12. CNDP Loi 09-08 — Maroc
Si vous êtes situé au Maroc : • Droit de déposer une plainte auprès de la CNDP (Commission Nationale de contrôle de la protection des Données à caractère Personnel), Avenue Imam Malik, Hay Riad, Rabat — www.cndp.ma • QuietBridge est déclaré auprès de la CNDP sous le N° D-MBR-2024-0042 • Les données de santé mentale et performance sportive sont classées comme « données sensibles » au titre de l’Art. 1 de la Loi 09-08 • Vous pouvez exercer vos droits d’accès, de rectification, d’opposition et de suppression en contactant privacy@quietbridgeeap.com
13. Données de performance sportive — Protections spéciales
Les données de performance sportive et de santé mentale des athlètes sont classées comme « sensibles ». QuietBridge Sport applique les mesures supplémentaires suivantes : • Consentement explicite requis avant toute collecte de données de performance ou de santé mentale • Toutes les données d’évaluation sportive sont chiffrées en AES-256-GCM au repos • Les notes du psychologue du sport ne sont accessibles qu’au psychologue traitant et à l’athlète concerné • Les rapports d’équipe agrégés utilisent un k-anonymat >= 5 — aucun athlète individuel ne peut être ré-identifié • Les entraîneurs et clubs ne reçoivent JAMAIS de données de santé mentale individuelles • Le journal d’humeur (mood log) est strictement privé — non partagé avec l’équipe ou le club • Le traitement des données peut être retiré à tout moment
14. Avertissement médical — Psychologie du sport
IMPORTANT : QuietBridge Sport est une plateforme d’accompagnement en psychologie du sport. Les évaluations proposées (CSAI-2R, POMS, ACSI-28, ABQ, GEQ) sont des outils psychométriques validés utilisés à titre informatif et d’accompagnement. • Les résultats des tests ne constituent PAS un diagnostic médical ou psychologique • Ils ne remplacent pas une consultation avec un professionnel de santé qualifié • En cas de détresse psychologique, contactez immédiatement les services d’urgence • Les recommandations générées par la plateforme sont à titre indicatif uniquement • Un psychologue du sport qualifié interprète les résultats dans leur contexte clinique et sportif Contacts d’urgence : • ANARUZ : 0800 008 008 • SOS Détresse : 141 • Croissant-Rouge Marocain : 05 22 25 27 27
15. Notification de violation de données
En cas de violation de données personnelles : • RGPD : Notification de l’autorité de contrôle compétente dans les 72 heures • PIPEDA : Signalement au Commissariat à la protection de la vie privée du Canada • CNDP (Loi 09-08) : Notification de la CNDP et des personnes concernées conformement aux exigences applicables
16. Cookies
QuietBridge Sport utilise des cookies et technologies similaires. Pour tous les détails, consultez notre Politique de cookies dédiée à /legal/cookies. Les cookies essentiels (authentification, protection CSRF) sont toujours actifs. Les cookies d’analyse et de préférence nécessitent votre consentement explicite.
17. Contact — Délégué à la Protection des Données
Pour toute question relative à vos données personnelles ou pour exercer vos droits : Email : privacy@quietbridgeeap.com Adresse : QuietBridge EAP Inc., 123 Boulevard d’Anfa, Casablanca 20000, Maroc Déclaration CNDP : N° D-MBR-2024-0042 Vous pouvez également déposer une plainte auprès de : • CNDP (Maroc) : www.cndp.ma — Avenue Imam Malik, Hay Riad, Rabat • CNIL (France) : www.cnil.fr • CPVP (Canada) : www.priv.gc.ca
Email : privacy@quietbridgeeap.com
Adresse : QuietBridge EAP Inc., 123 Boulevard d'Anfa, Casablanca 20000, Maroc
CNDP : D\u00e9claration N\u00b0 D-MBR-2024-0042
ANARUZ : 0800 008 008
SOS D\u00e9tresse : 141
Croissant-Rouge Marocain : 05 22 25 27 27