SwingFlow

Annexe DPA - Article 28 RGPD

Responsable de traitement : le Coach / Client. Sous-traitant : EI LAFUGE ADRIEN (SwingFlow), SIREN 894 371 624, Domaine de la Plaine, 45240 Marcilly-en-Villette, France, contact@swingflow.fr.

Version : 7 mars 2026

1. Qualité des parties et base légale

Pour les données élèves et données de coaching, le Coach / Client agit en qualité de responsable de traitement.
SwingFlow agit exclusivement en qualité de sous-traitant et traite ces données uniquement sur instruction documentée du Coach / Client agissant en qualité de responsable de traitement.
Le Coach / Client détermine seul la base légale applicable (contrat, consentement, intérêt légitime ou autre base légale pertinente).
Le Coach / Client garantit disposer de l'autorité légale nécessaire pour traiter les données confiées à SwingFlow, y compris, lorsque la personne concernée est mineure, de l'information et du consentement parental ou du représentant légal lorsque la réglementation applicable l'exige.

2. Objet, finalité et durée

La présente annexe encadre les traitements de données personnelles réalisés par SwingFlow pour le compte du Client, pendant toute la durée du contrat principal et jusqu'à suppression ou restitution des données.

Finalités principales : hébergement applicatif, gestion des comptes, stockage des données de coaching, traitement des imports de documents, génération de rapports et analyses assistées par IA, sécurité, journalisation et support.

SwingFlow centralise, héberge et organise les données générées dans le cadre des activités de coaching et les documents importés par le Client. SwingFlow ne génère pas les mesures biomécaniques ou de performance primaires.

3. Catégories de personnes et de données

Personnes concernées : coaches, élèves et, le cas échéant, représentants légaux / parents.
Données d'identification : nom, prénom, email, identifiants techniques.
Données de suivi sportif : historique, observations, objectifs, résultats.
Données importées : captures d'écran, rapports, données de performance, métadonnées de fichiers.
Données biomécaniques et informations relatives à la condition physique saisies par le Client.
Données techniques : logs d'accès, horodatages, adresse IP, traces de sécurité.

4. Instructions documentées

SwingFlow traite les données élèves uniquement sur instruction documentée du Coach / Client agissant en qualité de responsable de traitement, sauf obligation légale contraire. SwingFlow n'exploite pas, ne profile pas, ne vend pas et n'analyse pas ces données pour ses propres finalités. Si une instruction semble contraire au RGPD, SwingFlow en informe le Client sans délai.

5. Confidentialité et habilitations

SwingFlow veille à ce que les personnes autorisées à traiter les données soient soumises à une obligation de confidentialité et accèdent uniquement aux informations nécessaires à leurs missions.

6. Mesures techniques et organisationnelles

Chiffrement des flux en transit (TLS) et mesures de protection des données au repos.
Contrôle d'accès logique et principe du moindre privilège.
MFA sur les comptes administrateurs et gestion des secrets.
Journalisation des accès et actions sensibles.
Sauvegardes régulières et procédures de restauration.
Supervision, gestion des vulnérabilités et correctifs de sécurité.
Cloisonnement des environnements et limitation des accès privilégiés.

7. Sous-traitants ultérieurs et registre

Le Client autorise SwingFlow à recourir à des sous-traitants techniques nécessaires à l'exécution du Service, notamment pour l'hébergement, la base de données, le paiement et les notifications techniques.

Supabase (hébergement applicatif / base de données / stockage objet)
Stripe (paiements et facturation)
Vercel (infrastructure de déploiement / hébergement applicatif)
Microsoft Azure Document Intelligence (analyse documentaire OCR pour l'import de feuilles de stats tournoi, région UE)

Pour ce sous-traitant OCR, SwingFlow privilégie une configuration en région UE et désactive, lorsque l'option est proposée contractuellement ou techniquement, la rétention ou l'entraînement fournisseur sur les documents traités.

SwingFlow tient un registre de ses sous-traitants ultérieurs et le met à jour. Ce registre, ainsi que les informations raisonnablement nécessaires à la vérification de conformité, sont mis à disposition du Client sur demande raisonnable.

8. Notification de violation de données

SwingFlow notifie au Client toute violation de données personnelles sans retard injustifié, dans un délai contractuel cible de 48 à 72 heures après détection, avec les informations utiles disponibles.

9. Assistance au Responsable de traitement

SwingFlow assiste raisonnablement le Client pour répondre aux demandes d'exercice des droits des personnes (accès, rectification, effacement, limitation, opposition, portabilité) et pour ses obligations de sécurité, d'analyse d'impact et de notification.

10. Sort des données et purge des sauvegardes

À la fin du contrat, SwingFlow supprime ou restitue les données personnelles selon la demande du Client, sous réserve des obligations légales de conservation.

Les sauvegardes techniques contenant des données personnelles sont purgées dans un délai maximal de quatre-vingt-dix (90) jours calendaires après la suppression logique des données en production.

11. Audit raisonnable

Le Client peut demander des informations de conformité et, en cas de besoin légitime, un audit raisonnable, planifié avec préavis, proportionné et n'interrompant pas de manière excessive l'activité de SwingFlow.

12. Transferts hors UE/EEE

Si un transfert hors UE/EEE est nécessaire, SwingFlow s'assure qu'un mécanisme de transfert valable s'applique, tel qu'une décision d'adéquation ou, à défaut, les Clauses Contractuelles Types de la Commission européenne, complétées si nécessaire par des mesures supplémentaires adaptées au risque.

13. Droit applicable et juridiction

La présente annexe est soumise au droit français. Tout litige relève de la compétence des tribunaux du ressort de la Cour d'appel d'Orléans, sous réserve des dispositions impératives du RGPD.