Version 1.3, juin 2026
Entre :
Holdsport.dk ApS(ci-après dénommée « Holdsport »)
Et :
Le club, le groupement ou l'organisation qui utilise la plateforme de Holdsport ApS et qui a numériquement accepté les conditions applicables ainsi que le présent contrat de sous-traitance.
(ci-après dénommé « le Club »)
(ci-après dénommés individuellement « Partie » et ensemble « les Parties ») ont conclu ce jour un contrat de sous-traitance aux conditions suivantes :
1.1 Les termes « données à caractère personnel » et « traitement » ont le sens qui leur est attribué à l'article 4 du Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après le « RGPD »).
1.2 Le Club détermine les finalités et les moyens du traitement des données à caractère personnel effectué dans le cadre du présent contrat et est, à ce titre, le Responsable du traitement, conformément à l'article 4, point 7, du RGPD.
1.3 Holdsport traite les données pour le compte du Responsable du traitement et agit donc en qualité de Sous-traitant, conformément à l'article 4, point 8, du RGPD.
2.1 Le Club peut utiliser le service de Holdsport pour :
2.2 Les informations utilisées par le système indiqué seront collectées auprès du Club ainsi qu'auprès des joueurs, entraîneurs, parents, etc.
2.3 Il n'est procédé à aucun traitement de données à caractère personnel relatives à la santé, aux condamnations pénales, au numéro d'identification personnel (CPR-nr.) (sauf si le Club y est légalement tenu) et aux infractions.
2.4 Les données traitées concernent les catégories de personnes concernées suivantes : joueurs, entraîneurs, parents ou autres personnes liées, salariés et, le cas échéant, arbitres.
3.1 Holdsport utilise principalement Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Allemagne, pour l'hébergement de ses propres données et logiciels, y compris des données à caractère personnel. Voir également le point 7 et l'annexe 1 pour des informations complémentaires, ainsi que pour les informations relatives aux sous-traitants ultérieurs, etc.
3.2 Holdsport ne peut transférer ni traiter les données à caractère personnel visées par le présent contrat dans d'autres pays situés en dehors de l'UE sans l'accord écrit préalable du Responsable du traitement.
4.1 Holdsport s'engage à ne traiter les données à caractère personnel que sur la base d'instructions documentées émanant du Club, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale.
4.2 Si Holdsport est tenue de transférer des données à caractère personnel vers un pays tiers ou une organisation internationale, Holdsport en informe le Club préalablement au traitement, sauf si la loi interdit une telle information pour des motifs d'intérêt public.
4.3 Holdsport met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que toutes les données à caractère personnel qui sont à sa disposition ou qui sont traitées par elle le soient de manière à assurer un niveau de sécurité approprié pour ces données à caractère personnel, y compris leur protection contre tout traitement non autorisé ou illicite et contre la perte, la destruction ou l'endommagement accidentels, ou tout autre traitement contraire au RGPD. Ces mesures techniques et organisationnelles figurent à l'annexe 1.
4.4 Holdsport veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité, soit par contrat, soit en vertu de la loi.
4.5 Holdsport notifie au Club toute violation de données à caractère personnel dans les meilleurs délais. Par violation de données à caractère personnel, on entend une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données, conformément à l'article 4, paragraphe 12, du RGPD.
4.6 Holdsport a mis en place une procédure de surveillance continue de l'ensemble de ses systèmes, avec la mise en œuvre d'alertes ainsi que la notification du DPO de la société, lequel est responsable de la mise en œuvre de toutes les mesures techniques pertinentes et de l'information de toutes les parties concernées en cas de violation de données. Après plus de 20 ans d'exploitation, Holdsport n'a à ce jour connu aucune violation de données à caractère personnel.
4.7 Holdsport traite de manière confidentielle les données à caractère personnel qu'elle traite pour le compte du Club. Holdsport ne peut divulguer à des tiers les données à caractère personnel qui lui sont fournies par, pour ou pour le compte du Club, sauf en cas de consentement ou d'un autre fondement légal.
4.8 Aucune stipulation du présent contrat n'empêche l'une des Parties de se conformer à une obligation légale imposée par des autorités ou des juridictions. Les deux Parties doivent toutefois, dans la mesure du possible, se concerter sur la réponse appropriée à toute demande d'une autorité ou d'une juridiction ayant pour objet la divulgation d'informations.
5.1 Holdsport met à la disposition du Club, sous forme électronique, toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent contrat. Cela prend la forme du présent contrat de sous-traitance, de ses annexes, des documents contractuels conclus entre Holdsport et le Club, ainsi que des informations disponibles sur notre site internet.
5.2 Holdsport informe immédiatement le Club si, selon Holdsport, une instruction du Club constitue une violation du RGPD.
5.3 Holdsport aide le Club, par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées.
5.4 Compte tenu de la nature du traitement et des informations à la disposition de Holdsport, Holdsport aide le Club à garantir le respect des obligations relatives à :
5.4.1 la sécurité du traitement ;
5.4.2 la notification à l'autorité de contrôle des violations de données à caractère personnel ;
5.4.3 la communication aux personnes concernées des violations de données à caractère personnel ; et
5.4.4 l'analyse d'impact relative à la protection des données.
5.5 Si l'article 30 du RGPD trouve à s'appliquer, Holdsport tient un registre des activités de traitement effectuées sous sa responsabilité et en fournit, sur demande, une copie au Club.
6.1 Conformément au RGPD, le Club a une obligation générale de veiller au respect des mesures techniques et organisationnelles, y compris celles mises en œuvre par un sous-traitant. Holdsport a évalué les risques induits par le traitement des données à caractère personnel qu'elle effectue au titre du présent contrat et a mis en œuvre des mesures appropriées, conformément au point 5.3.
6.2 Le Club déclare que les données à caractère personnel traitées par Holdsport au titre du présent contrat peuvent l'être par Holdsport. Autrement dit, le Club garantit qu'il s'agit d'informations pour lesquelles il a recueilli le consentement au traitement, et que ce consentement couvre le traitement ultérieur par Holdsport. Le Club exonère Holdsport de toute responsabilité à cet égard.
6.3 Il est rappelé, pour la bonne forme, que le Club, en qualité de Responsable du traitement, doit se conformer aux règles du RGPD, ce qui inclut notamment la conclusion de contrats de sous-traitance avec ses prestataires.
6.4 Afin d'assurer une communication et un support rapides et précis pour vous en tant qu'utilisateur, Holdsport peut recourir à des outils automatisés, notamment ChatGPT d'OpenAI et des outils apparentés, pour analyser les demandes provenant de vous et d'autres utilisateurs et y répondre. Nous utilisons le dialogue avec l'ensemble des utilisateurs comme base pour le développement de ces outils. Le dialogue avec vous est anonymisé. En tant qu'utilisateur, vous acceptez cette utilisation.
7.1 Le Club accorde à Holdsport une autorisation générale de recourir à des sous-traitants ultérieurs. Holdsport informe le Club de tout changement prévu concernant les sous-traitants ultérieurs moyennant un préavis d'au moins 30 jours, permettant ainsi au Club de s'opposer à de tels changements.
7.2 La liste des sous-traitants ultérieurs figure à l'annexe 1.
7.3 En complément, Holdsport a recours à plusieurs services de paiement, par exemple MobilePay, Stripe, Altapay, etc. Les informations pertinentes et nécessaires à la réalisation des paiements sont conservées auprès des services concernés, conformément aux conditions et règles qui leur sont applicables, et Holdsport ne conserve pas de copie de ces informations, sauf dans la mesure nécessaire pour garantir les droits du payeur, par exemple l'accès à une équipe ou à une activité payante.
8.1 Le présent contrat est en vigueur tant que Holdsport traite des données à caractère personnel pour le compte du Club.
8.2 À la suite de la résolution ou de la résiliation du présent contrat, Holdsport détruit, sur demande du Club, l'ensemble de ces données. Ce qui précède ne s'applique toutefois pas lorsque la législation confère un droit ou impose une obligation de conservation.
9.1 Le présent contrat est régi par le droit danois.
9.2 Tout litige né du présent contrat ou en lien avec celui-ci, y compris les litiges relatifs à son existence, sa validité ou sa résiliation, sera tranché par le tribunal d'Aarhus (Byretten i Aarhus) si le litige ne peut être résolu par voie de négociation.
| Sous-traitant | HOLDSPORT.DK ApS, CVR-nr. 33765509, Filmbyen 23, 3., 8000 Aarhus C |
| Service | Holdsport / SportMember — plateforme d'administration de clubs (web, application et API) |
| Type de document | Annexe au contrat de sous-traitance — documentation des mesures de sécurité conformément à l'art. 32 du Règlement général sur la protection des données (RGPD) |
| Version | 1.3 |
| Date | 2026-06-30 |
Le présent document décrit les mesures techniques et organisationnelles de sécurité (Technical and Organizational Measures, TOM) que Holdsport, en qualité de sous-traitant, a mises en œuvre pour protéger les données à caractère personnel traitées pour le compte du responsable du traitement (le club / le client).
Le document constitue la documentation mise à disposition en application du contrat de sous-traitance et de l'art. 28, par. 3, point h, du RGPD, et peut servir de base au contrôle / à l'audit effectué par le responsable du traitement (voir la section 10).
La description reflète l'environnement d'exploitation à la date du document. Les mesures évoluent en continu ; toute modification substantielle donne lieu à une nouvelle version du présent document.
Catégories de données à caractère personnel
Holdsport traite notamment le nom, les coordonnées (e-mail, téléphone, adresse), l'âge / le sexe ainsi que les données d'activité et de paiement des membres du club, des entraîneurs, des parents, etc. Aucune catégorie particulière de données relative à la santé, aux infractions pénales ou aux condamnations n'est traitée et, en principe, aucun numéro d'identification personnel (CPR-nr.) n'est traité (sauf si le club y est légalement tenu).
Chiffrement en transit (in transit)
Chiffrement au repos (at rest)
Authentification des utilisateurs
Accès administratif et opérationnel
Accès organisationnel et physique
Sauvegarde (backup)
Redondance
Holdsport recourt aux sous-traitants ultérieurs suivants :
| Sous-traitant ultérieur | Fonction | Lieu de traitement | Fondement du transfert |
|---|---|---|---|
| Hetzner Online GmbH | Hébergement des serveurs et de l'infrastructure | Allemagne (UE) | Au sein de l'UE / EEE |
| Amazon Web Services (AWS) | Stockage des sauvegardes chiffrées de la base de données | Irlande (UE) | Au sein de l'UE / EEE |
| AppSignal B.V. | Supervision des performances et des erreurs (backend) | Pays-Bas (UE) | Au sein de l'UE / EEE |
| Elastic Email | Envoi d'e-mails système et transactionnels | Serveurs européens du fournisseur (UE — Irlande, France et Pologne) | Au sein de l'UE / EEE |
| Honeybadger | Supervision des erreurs (backend) | États-Unis — AWS us-east-1 (Northern Virginia) | CCT via le contrat de sous-traitance de Honeybadger |
| Sentry | Supervision des erreurs (application mobile) | États-Unis — région US de Sentry, Iowa (Google Cloud us-central1) | CCT via le contrat de sous-traitance de Sentry |
| Meta Platforms (Facebook) | Connexion Facebook ainsi que données d'événements d'application provenant de l'application mobile (SDK Facebook) | États-Unis — Meta Platforms, Inc. (entité UE : Meta Platforms Ireland) | EU-US Data Privacy Framework (Meta autocertifiée) + CCT |
Remarque : Les services de supervision (erreurs / performances) traitent principalement des données techniques de diagnostic et d'exploitation, mais peuvent, en cas d'erreur, contenir des informations limitées susceptibles d'identifier une personne. Pour les sous-traitants ultérieurs situés en dehors de l'UE / EEE, un mécanisme de transfert (par exemple les clauses contractuelles types de la Commission européenne, CCT) est assuré via le contrat de sous-traitance du fournisseur concerné (voir Transferts internationaux ci-dessous).
Transferts internationaux (transferts vers des pays tiers)
Les données à caractère personnel sont, en principe, traitées et stockées au sein de l'UE / EEE (voir la section 6 et le tableau ci-dessus). Les sous-traitants ultérieurs suivants peuvent traiter des données limitées aux États-Unis : Honeybadger (supervision des erreurs) chez AWS us-east-1 (Northern Virginia), Sentry (supervision des erreurs) en Iowa (Google Cloud us-central1) ainsi que Meta / Facebook (connexion Facebook et événements d'application provenant de l'application mobile). Le transfert repose sur les fondements suivants :
À titre de mesures complémentaires, Holdsport s'emploie à (i) minimiser les données à caractère personnel envoyées à ces services — notamment en désactivant la collecte des adresses IP et des données à caractère personnel identifiables (PII) dans l'application mobile (Sentry) et en filtrant les champs susceptibles d'identifier une personne (par exemple nom, e-mail, téléphone, adresse, numéro d'identification personnel (CPR-nr.) et coordonnées bancaires) dans les rapports d'erreur (Honeybadger) — et à (ii) migrer les deux services vers des régions de l'UE, après quoi le transfert vers un pays tiers cessera.
En cas de violation de données à caractère personnel, Holdsport notifie le responsable du traitement dans les meilleurs délais, conformément au contrat de sous-traitance, afin que le responsable du traitement puisse s'acquitter de ses obligations au titre des art. 33–34 du RGPD.
Holdsport a mis en place une procédure de surveillance continue de l'ensemble de ses systèmes, avec des alertes et une notification interne au DPO de Holdsport, lequel est responsable de la mise en œuvre des mesures techniques pertinentes et de l'information des parties concernées en cas d'éventuelle violation.