KinshotKinshot

RGPD · Protection des données

Politique de confidentialité

Comment vos données personnelles sont traitées, conformément au RGPD et à la loi Informatique et Libertés.

Dernière mise à jour : 12 juin 2026 · version 1.0

1. Responsable de traitement et rôle de Kinshot

Le responsable de traitement est M. Valentin Lefrançois, entrepreneur individuel (EI) exerçant sous le nom commercial « Kinshot », SIREN 880 596 259. Le point de contact « protection des données » est joignable à l’adresse dpo@kinshot.com.

Kinshot intervient selon un double rôle :

  • Responsable de traitement pour les données qu’il détermine lui-même : comptes des gérants et administrateurs, facturation des abonnements, sécurité et mesure d’audience du site vitrine.
  • Sous-traitant pour les données des membres, traitées pour le compte et sur instructions du club, qui en est le responsable de traitement. Ces traitements sont régis par l’accord de traitement des données (DPA).

2. Données que nous traitons

Selon votre rôle (gérant, membre ou visiteur), les catégories de données suivantes peuvent être traitées :

  • Identité : nom, prénom, date de naissance le cas échéant.
  • Coordonnées : adresse e-mail, numéro de téléphone, adresse postale.
  • Contact d’urgence : identité et coordonnées de la personne à prévenir.
  • Données de santé et pièces réglementaires (données sensibles) : certificats médicaux, avis préalables, numéro de licence FFTir. Ces données relèvent de l’article 9 du RGPD et ne sont traitées que pour le compte du club, dans le respect de la réglementation du tir sportif.
  • Activité et réservations : réservations de pas de tir, historique de présence, participation aux formations.
  • Facturation : données d’abonnement et de facturation, historique des paiements. Aucune donnée de carte bancaire n’est stockée par Kinshot.
  • Données techniques : adresse IP, journaux de connexion, identifiants de session, données de navigation et cookies.

3. Finalités et bases légales

Chaque traitement repose sur une base légale déterminée :

FinalitéBase légale
Fourniture et administration du service (comptes des gérants, authentification, accès à la plateforme)Exécution du contrat (art. 6 §1 b du RGPD)
Facturation des abonnements et tenue de la comptabilitéObligation légale comptable (art. 6 §1 c) et exécution du contrat (art. 6 §1 b)
Sécurité, prévention de la fraude et des abus, amélioration du serviceIntérêt légitime (art. 6 §1 f)
Mesure d’audience du site vitrine (Google Analytics 4)Consentement (art. 6 §1 a), recueilli via le bandeau cookies. Google Analytics reste désactivé tant que le consentement n’est pas donné
Gestion des documents de santé et pièces réglementaires (licences, certificats, autorisations relatives aux armes), pour le compte du clubObligation légale liée à la réglementation du tir sportif (art. 9 §2, sous réserve de confirmation juridique)

4. Destinataires et sous-traitants

Vos données sont accessibles au personnel habilité de l’éditeur et, pour les besoins du service, aux sous-traitants suivants :

Sous-traitantFinalitéLocalisationTransfert hors UE
Stripe Payments EuropeTraitement des paiements d’abonnementUnion européenneNon
BrevoEnvoi des e-mails transactionnelsUnion européenneNon
Google (Analytics 4)Mesure d’audience du site vitrineÉtats-UnisOui (CCT + DPF)
PulseHebergHébergement de l’infrastructureFranceNon

Le rendu PDF des factures est assuré par un composant interne auto-hébergé sur la même infrastructure : il ne constitue pas un sous-traitant tiers.

5. Transferts hors de l’Union européenne

L’hébergement et l’essentiel des traitements ont lieu au sein de l’Union européenne. Seule la mesure d’audience via Google Analytics 4 implique un transfert de données vers les États-Unis (Google). Ce transfert est encadré par les clauses contractuelles types (CCT) de la Commission européenne et par le Data Privacy Framework (DPF). Il n’intervient qu’après votre consentement au dépôt des cookies de mesure d’audience.

6. Durées de conservation

Les données ne sont pas conservées au-delà de ce qui est nécessaire aux finalités poursuivies :

  • Comptes et données des gérants : durée du contrat, puis suppression ou anonymisation.
  • Données des membres : durée d’adhésion + 3 ans, sauf instruction différente du club responsable de traitement.
  • Factures et données de paiement : 10 ans, conformément aux obligations comptables.
  • Codes de vérification, adresses IP et journaux techniques : durée courte (de quelques jours à quelques mois).
  • Données d’audience Google Analytics 4 : selon le paramétrage de la propriété GA4 (au plus 14 mois).

7. Vos droits

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants :

  • Droit d’accès
  • Droit de rectification
  • Droit à l’effacement
  • Droit à la limitation du traitement
  • Droit d’opposition
  • Droit à la portabilité
  • Retrait du consentement à tout moment
  • Directives post-mortem (art. 85 de la loi Informatique et Libertés)

Ces droits s’exercent gratuitement en écrivant à dpo@kinshot.com. Lorsque les données vous concernant sont traitées pour le compte d’un club (Kinshot agissant comme sous-traitant), adressez votre demande au club concerné, responsable de traitement : Kinshot relaie et assiste le club conformément à l’accord de traitement des données.

Vous pouvez également introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés (CNIL) : www.cnil.fr.

8. Origine des données des membres et mineurs

Les données des membres sont saisies par le club, responsable de traitement, ou par le membre lui-même. Kinshot agit pour le compte du club et sur ses instructions documentées.

Les mineurssont gérés par le club et leurs représentants légaux ; Kinshot n’agit qu’à la demande du club et ne s’adresse pas directement aux personnes mineures.

9. Sécurité des données

Des mesures techniques et organisationnelles sont mises en œuvre pour protéger vos données :

  • chiffrement des échanges en transit (TLS) ;
  • accès restreint au personnel habilité et conditionné à la vérification du propriétaire des ressources ;
  • isolement des données par club (cloisonnement multi-tenant) ;
  • mots de passe protégés par un hachage à l’état de l’art et sessions par jetons à durée de vie courte ;
  • noms de fichiers non devinables et hébergement sur une infrastructure située en France, à accès strictement restreint.

10. Absence de décision automatisée

Aucune décision produisant des effets juridiques ou vous affectant de manière significative n’est prise sur le seul fondement d’un traitement automatisé, au sens de l’article 22 du RGPD.

11. Modifications de la présente politique

La présente politique peut être amenée à évoluer. La version en vigueur est la version 1.0, mise à jour le 12 juin 2026. Toute modification substantielle vous sera signalée par les moyens appropriés.