Politique de Confidentialité

1. Introduction et aperçu

RosterAid® est une application de gestion de listes, de planification, de présence et de paiements destinée aux animateurs de cours, enseignants, formateurs, coachs et instructeurs. Elle est proposée sous forme d'application mobile (iOS, Android prévu) et d'applications web sur rosteraid.com (ce site marketing) et web.rosteraid.com (inscription et facturation).

2. Qui sommes-nous (Responsable du traitement)

Le « responsable du traitement » est la personne ou l'entité qui décide pourquoi et comment vos données personnelles sont traitées. Aux fins de la présente Politique de Confidentialité, le responsable du traitement est :

TGS Enterprise
San Diego, Californie, États-Unis d'Amérique
Courriel : support@rosteraid.com

Délégué à la protection des données. Nous n'avons pas désigné de délégué à la protection des données ; nous n'y sommes pas tenus en vertu de l'article 37, paragraphe 1, du RGPD. Pour toute question de confidentialité, veuillez utiliser les coordonnées de la Section 21.

Tout au long de cette politique, « nous », « notre » et « nos » désignent le responsable indiqué ci-dessus. « Vous » désigne la personne dont nous traitons les données personnelles — le plus souvent un coach, enseignant, formateur ou instructeur utilisant RosterAid, mais dans certains cas un client (adulte ou mineur), un parent ou un tuteur, ou un visiteur de notre site web.

3. Représentant dans l'UE (article 27 du RGPD)

Comme nous sommes établis en dehors de l'Union européenne mais que nous offrons des services à des personnes situées dans l'UE, le droit européen exige que nous désignions un représentant dans l'Union.

Nous sommes une petite entreprise et travaillons à la désignation formelle d'un représentant dans l'UE. Dans l'intervalle, les utilisateurs de l'UE et de l'EEE peuvent nous contacter directement à support@rosteraid.com pour toute question relative au RGPD — nous nous engageons à répondre dans le délai légal d'un mois pour toute demande d'exercice des droits. Nous mettrons cette section à jour dès qu'un représentant sera désigné.

4. Définitions

• « Données personnelles » désigne toute information relative à une personne physique identifiée ou identifiable.
• « Traitement » désigne toute opération effectuée sur des données personnelles — collecte, stockage, utilisation, divulgation, suppression, etc.
• « Notre Service » désigne les applications mobile et web de RosterAid, les sites rosteraid.com et web.rosteraid.com, et l'infrastructure associée.
• « Vous » désigne la personne concernée — généralement un titulaire de compte (coach, enseignant, formateur, instructeur) ou un visiteur de notre site web. Dans certaines sections, nous mentionnons aussi des « clients » (et, lorsque le client est mineur dans un cadre éducatif, des « élèves ») — des personnes dont les informations sont saisies dans notre Service par un coach utilisant son propre compte.
• « RGPD » désigne le Règlement (UE) 2016/679. « RGPD du Royaume-Uni » en est l'équivalent britannique.

5. Quelles données personnelles nous collectons

5.1 Données que vous nous communiquez directement (compte, profil, paiement)

Lorsque vous créez un compte ou utilisez nos formules payantes, nous collectons :

• Données d'identité : prénom, nom (facultatif), nom d'affichage.
• Données de contact : adresse e-mail, numéro de téléphone facultatif.
• Données d'authentification : mot de passe (stocké uniquement sous forme de hachage salé), jetons de session.
• Données de profil : photo de profil si vous en téléversez une, langue préférée.
• Données de paiement : nom du titulaire, pays de facturation et un jeton représentant votre moyen de paiement. Nous ne voyons ni n'enregistrons votre numéro de carte complet, votre CVV ni vos identifiants bancaires — ces données sont traitées par nos prestataires de paiement (voir Section 7).
• Communications : le contenu de tout courriel, soumission de formulaire de contact ou demande d'assistance que vous nous adressez.

5.2 Données que nous recevons de tiers (fournisseurs d'identité OAuth)

Si vous choisissez de vous connecter avec Google ou Apple, nous recevons de leur part un jeu limité d'informations d'identité :

• De Google : vos nom et prénom, votre adresse e-mail et votre identifiant de compte Google, conformément aux autorisations que vous accordez sur l'écran de consentement OAuth.
• D'Apple : votre nom (uniquement à la première connexion) et soit votre e-mail réel, soit un e-mail relais généré par Apple (si vous choisissez « Masquer mon e-mail »). Nous traitons les deux comme votre e-mail de contact.

Nous ne recevons pas votre mot de passe Google ou Apple, votre liste de contacts ni les informations de compte non liées.

5.3 Données que vous téléversez sur d'autres personnes (vos « clients »)

RosterAid vous permet, en tant que coach, enseignant, formateur ou instructeur, de saisir des informations sur les personnes que vous entraînez, formez ou suivez. Nous les appelons vos « clients ». Selon le type d'activité que vous exercez, vos clients peuvent être des adultes (par exemple, des joueurs de tennis amateurs adultes, des clients de coaching personnel, des élèves adultes de musique) ou des mineurs (par exemple, des enfants dans un cours pour enfants). Ce que nous collectons inclut généralement :

• Nom (et, le cas échéant, nom du parent ou du tuteur)
• Coordonnées facultatives (e-mail, téléphone)
• Date de naissance facultative
• Relevés de présence, plannings, notes et registres de paiement que vous créez

Ces personnes sont également des personnes concernées. Comme elles ne nous ont pas communiqué leurs informations directement — c'est vous qui l'avez fait —, nous avons des obligations spécifiques à leur égard au titre de l'article 14 du RGPD (information de la personne concernée lorsque les données ne sont pas collectées auprès d'elle) et de l'article 26 du RGPD (responsabilité conjointe du traitement), quel que soit leur âge. Voir la Section 14 (Responsabilité conjointe avec les coachs), qui s'applique à tous les clients que vous saisissez. La Section 13 (Données des mineurs) établit des règles supplémentaires applicables lorsqu'un client est mineur.

5.4 Données que nous collectons automatiquement

Lorsque vous utilisez l'application ou visitez nos sites web :

• Données d'appareil et techniques : type d'appareil, version du système d'exploitation, version de l'application, taille d'écran, paramètres de langue, fuseau horaire.
• Données de journal : adresse IP, horodatages des requêtes, journaux d'erreurs, journaux de sécurité et d'audit de base.
• Données d'usage : événements de navigation dans l'application utilisés pour diagnostiquer des bugs et améliorer les fonctionnalités (sans traceurs publicitaires tiers ; sans profilage entre sites).
• Cookies et technologies similaires sur rosteraid.com : voir Section 19. Google Analytics n'est chargé qu'après votre consentement via notre bannière cookies.

L'application mobile ne contient pas de SDK publicitaires, de traceurs tiers ni d'identifiants inter-applications.

5.5 Que se passe-t-il si vous ne fournissez pas certaines données

Fournir les données indiquées comme obligatoires constitue une exigence contractuelle (article 13, paragraphe 2, point e), du RGPD) — c'est-à-dire que nous en avons besoin pour conclure et exécuter le contrat de fourniture du Service. Il n'existe aucune obligation légale de fournir vos données, mais sans elles nous ne pouvons pas créer ni gérer votre compte. Par exemple, nous ne pouvons pas créer de compte sans adresse e-mail, ni traiter un abonnement payant sans données de paiement.

Les données facultatives (telles qu'une date de naissance ou un consentement aux analytiques) ne sont pas nécessaires pour utiliser le Service. Le choix de ne pas les fournir n'affecte pas votre accès.

6. Pourquoi nous traitons vos données et sur quelle base juridique

Le RGPD nous impose d'identifier une base juridique (article 6) pour chaque finalité de traitement. Le tableau ci-dessous fait correspondre chaque finalité à sa base juridique.

Tests de mise en balance pour l'intérêt légitime (résumé) :

• Sécurité. Intérêt : protéger les comptes et les données de listes contre les accès non autorisés, les abus et la fraude. Nécessité : les limitations de débit, hCaptcha et les verrouillages de connexion sont les moyens techniques les moins intrusifs que nous connaissons pour atteindre cet objectif ; des alternatives comme un blocage IP général seraient plus restrictives et moins efficaces. Équilibre : les utilisateurs s'attendent raisonnablement à ce qu'un prestataire SaaS gérant des données de listes — qui dans certains déploiements incluent des données de mineurs — prenne ces précautions ; l'impact sur la vie privée est faible (pas de profilage, pas de publicité tierce) ; les utilisateurs peuvent s'opposer en vertu de la Section 10, point 6.
• Assistance client pour les utilisateurs gratuits. Intérêt : répondre aux demandes initiées par l'utilisateur lui-même. Nécessité : nous ne pouvons pas répondre à une question d'assistance sans utiliser les coordonnées du message. Équilibre : les données ne sont pas réutilisées ; conservées uniquement le temps nécessaire pour résoudre l'affaire.
• Actions en justice. Intérêt : se défendre contre ou exercer des actions en justice liées au Service. Nécessité : limité aux données effectivement pertinentes pour un litige spécifique. Équilibre : les utilisateurs peuvent s'opposer ; nous évaluons et documentons.

Vous pouvez vous opposer à tout moment au traitement fondé sur l'intérêt légitime. Voir la Section 10, point 6.

7. Avec qui nous partageons vos données (Destinataires et sous-traitants ultérieurs)

Nous ne vendons pas vos données personnelles et ne les partageons pas à des fins publicitaires. Nous partageons les données uniquement avec les prestataires dont nous avons besoin pour fonctionner. Chacun est lié par un accord de traitement de données conforme à l'article 28 du RGPD.

Nous pouvons aussi partager des données :

• Avec d'autres utilisateurs de RosterAid que vous autorisez — par exemple, un coach qui partage des informations de liste avec un remplaçant ou un copropriétaire d'équipe. Vous contrôlez ces partages depuis l'application.
• Avec des conseils juridiques et fiscaux, des experts-comptables ou des auditeurs, soumis à des obligations de confidentialité.
• En réponse à des demandes licites d'autorités publiques — voir Section 17.
• Dans le cadre d'une opération de cession d'entreprise (fusion, acquisition, cession d'actifs). Nous vous informerions à l'avance et vous conserveriez tous les droits prévus par la présente politique.

Le tableau des sous-traitants ultérieurs de la présente Section 7 constitue la liste actuelle ; nous mettons cette Politique de Confidentialité à jour lorsqu'elle change. Nous vous informerons avec un délai raisonnable (par e-mail ou avis dans l'application) avant d'ajouter un nouveau sous-traitant ayant un effet substantiel sur le traitement de vos données, afin que vous ayez l'occasion de vous y opposer avant sa mise en production.

8. Où vos données sont traitées (Transferts internationaux)

L'essentiel de notre infrastructure est hébergé aux États-Unis. Lorsque vous utilisez RosterAid depuis l'Espace économique européen, le Royaume-Uni ou la Suisse, vos données personnelles sont transférées et stockées aux États-Unis.

Nous utilisons les garanties suivantes au titre des articles 44 à 49 du RGPD / des équivalents britanniques :

1. Cadre UE-États-Unis de protection des données (DPF) et son extension au Royaume-Uni — lorsque la société réceptrice est auto-certifiée.
2. Clauses contractuelles types (CCT) — Décision d'exécution (UE) 2021/914 de la Commission, Module 2 (responsable à sous-traitant) ou Module 3 (sous-traitant à sous-traitant), pour les transferts auxquels le DPF ne s'applique pas ou en complément de garantie.
3. Addendum britannique aux transferts internationaux de données et clauses suisses reconnues par le Préposé fédéral à la protection des données et à la transparence lorsque applicable.

Mesures supplémentaires : nous exigeons un chiffrement en transit (TLS 1.3 lorsque le client le prend en charge, avec TLS 1.2 comme minimum acceptable) et un chiffrement au repos pour les données personnelles stockées ; nous restreignons l'accès par des contrôles fondés sur des rôles avec le moindre privilège ; et nous tenons un journal d'audit des accès administratifs.

Vous pouvez demander une copie des CCT applicables à vos données en écrivant à support@rosteraid.com. Nous pouvons caviarder les conditions commercialement confidentielles mais nous fournirons intégralement les clauses de protection des données.

9. Combien de temps nous conservons vos données (Durées de conservation)

Nous conservons les données personnelles uniquement le temps nécessaire aux finalités énoncées à la Section 6, ou selon ce que la loi impose.

Si vous exercez votre droit à l'effacement (Section 10, point 3), nous l'honorons dans un délai de 30 jours sauf si nous avons une obligation légale de conserver un élément spécifique (auquel cas nous vous indiquons lequel et pourquoi).

10. Vos droits

Si le RGPD ou le RGPD du Royaume-Uni vous est applicable, vous disposez des droits suivants. Vous pouvez exercer chacun de ces droits en écrivant à support@rosteraid.com. Nous répondrons dans un délai d'un mois (prorogeable de deux mois supplémentaires pour les demandes complexes, avec notification).

1. Droit d'accès (art. 15) — obtenir une copie des données personnelles que nous détenons à votre sujet.
2. Droit de rectification (art. 16) — corriger des données inexactes ou incomplètes.
3. Droit à l'effacement / « droit à l'oubli » (art. 17) — faire effacer vos données, sous réserve des exceptions de conservation légale.
4. Droit à la limitation du traitement (art. 18) — suspendre notre utilisation de vos données pendant qu'un litige est résolu.
5. Droit à la portabilité (art. 20) — recevoir vos données dans un format structuré, couramment utilisé et lisible par machine. Jusqu'à ce que notre fonctionnalité d'export intégrée soit publiée, nous fournissons l'export manuellement sur demande, sous 30 jours.
6. Droit d'opposition (art. 21) — vous opposer au traitement fondé sur l'intérêt légitime (Section 6) ou à la prospection directe (nous arrêterons immédiatement).
7. Droit de retirer le consentement (art. 7, 3) — pour les traitements fondés sur le consentement (p. ex. prospection, cookies analytiques). Le retrait n'affecte pas la licité du traitement effectué avant le retrait.
8. Droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou similaires (art. 22) — voir Section 12.

Nous ne facturons pas ces demandes sauf si elles sont manifestement infondées ou excessives (auquel cas nous vous en informerons au préalable).

Si vous êtes résident de Californie, voir l'addendum CCPA/CPRA à la Section 18.

11. Droit d'introduire une réclamation auprès d'une autorité de contrôle

Si vous estimez que nous avons mal traité vos données personnelles, vous avez le droit d'introduire une réclamation auprès d'une autorité de contrôle.

• Utilisateurs UE/EEE — votre autorité locale de protection des données. Le Comité européen de la protection des données tient une liste à jour sur edpb.europa.eu. En France, il s'agit de la CNIL.
• Utilisateurs du Royaume-Uni — l'Information Commissioner's Office (ICO) sur ico.org.uk.
• Utilisateurs en Suisse — le Préposé fédéral à la protection des données et à la transparence (PFPDT) sur edoeb.admin.ch.

Nous apprécierions l'occasion d'examiner d'abord votre préoccupation — écrivez-nous à support@rosteraid.com avant de déposer une réclamation — mais c'est votre choix et non un préalable obligatoire.

12. Décisions automatisées et profilage

Nous ne prenons pas de décisions produisant des effets juridiques ou similaires à votre égard par des moyens exclusivement automatisés au sens de l'article 22 du RGPD.

Certaines fonctionnalités du Service paraissent automatisées — par exemple, le report des présences, les notifications de rappel ou la génération de sessions récurrentes. Ce sont des outils de confort que vous contrôlez et que vous pouvez remplacer manuellement ou désactiver à tout moment. Ils ne vous notent pas, ne profilent pas et ne classent pas.

Nous n'utilisons pas vos données pour entraîner des modèles d'apprentissage automatique tiers et nous ne les vendons ni ne les partageons avec des courtiers en données.

13. Données des mineurs

RosterAid est destiné aux adultes âgés de 18 ans ou plus (le coach/enseignant/formateur/instructeur qui crée le compte — voir nos Conditions). Les clients que vous saisissez dans RosterAid peuvent inclure des mineurs (et, lorsque vous travaillez dans un cadre éducatif, des élèves).

13.1 Mineurs utilisant RosterAid directement

Nous ne créons pas sciemment de comptes pour des mineurs. L'âge minimum pour créer un compte RosterAid est 18 ans. Si nous apprenons que nous avons créé un compte pour un mineur, nous le supprimerons.

L'article 8 du RGPD fixe un âge plancher du consentement numérique à 16 ans, que les États membres peuvent abaisser sans pouvoir descendre en dessous de 13 ans (par exemple France : 15 ; Espagne : 14 ; Portugal : 13). L'Allemagne applique l'âge par défaut du RGPD de 16 ans. Lorsque le droit local fixe un âge inférieur, c'est cet âge qui s'applique.

Pour les utilisateurs américains : la Children's Online Privacy Protection Act (COPPA, 15 USC §6501 et suiv.) interdit la collecte de données personnelles auprès d'enfants de moins de 13 ans sans le consentement parental vérifiable. RosterAid ne collecte pas sciemment de données directement auprès d'un mineur de moins de 18 ans. Lorsqu'un coach saisit dans le Service des données relatives à un mineur résidant aux États-Unis de moins de 13 ans, c'est au coach qu'il incombe d'obtenir le consentement parental vérifiable exigé par la COPPA.

13.2 Règles supplémentaires lorsque le client est mineur

Le régime de responsabilité conjointe de la Section 14 s'applique à tous les clients qu'un coach saisit dans le Service — adultes ou mineurs. La désignation de l'avis de l'article 14 prévue à la Section 14 s'applique également aux mineurs. Les règles supplémentaires suivantes s'appliquent spécifiquement lorsqu'un client est mineur :

• Garantie de consentement parental / du tuteur. Avant d'ajouter les données d'un mineur à RosterAid, le coach doit avoir obtenu le consentement du parent ou du tuteur légal (ou disposer d'une autre base juridique valide selon son droit local). Cette garantie est réitérée dans nos Conditions du Service.
• Droits des parents et tuteurs — qui contacter. Les parents et tuteurs peuvent contacter RosterAid (support@rosteraid.com) ou le coach pour exercer un droit de la personne concernée au nom du mineur. Sur preuve raisonnable d'identité et de la relation, RosterAid agira de sa propre initiative lorsque la demande concerne le traitement technique des données (par exemple suppression de nos systèmes, export, limitation). Nous coordonnons avec le coach lorsque la demande concerne le contenu de la liste (par exemple, si l'enfant doit ou non figurer dans le cours). Nous répondons dans un délai d'un mois après une demande valide.

13.3 Catégories particulières (article 9)

Nous ne traitons pas sciemment de données personnelles relevant de catégories particulières (santé, religion, origine raciale ou ethnique, et autres catégories énumérées à l'article 9 du RGPD). Si vous incluez ce type d'informations dans des champs libres (par exemple, une note médicale dans un commentaire de session), vous devez disposer d'une base valide au titre de l'article 9, paragraphe 2, pour le faire — généralement le consentement explicite de la personne concernée (ou de son parent/tuteur pour les mineurs). Nous traiterons ces données avec les mêmes mesures de sécurité que le reste, mais nous vous déconseillons fortement de saisir des données de catégorie particulière dans le Service.

14. Responsabilité conjointe avec les coachs : qui est responsable de quoi

Lorsque vous utilisez RosterAid pour gérer des informations sur d'autres personnes — vos clients, qu'ils soient adultes ou mineurs —, vous et RosterAid êtes responsables conjoints du traitement au sens de l'article 26 du RGPD pour ces données. Nous partageons la responsabilité — mais pas de manière symétrique. L'« essentiel » de l'accord au titre de l'article 26, paragraphe 1, est :

• Le coach décide qui est saisi, quelles données sont saisies et pourquoi (les finalités du traitement).
• RosterAid décide où les données sont stockées, combien de temps elles sont conservées, quelles mesures de sécurité les protègent et quels sous-traitants ultérieurs les traitent (les moyens du traitement).
• Chacune des parties peut recevoir et traiter une demande d'exercice des droits de la personne concernée et coordonnera avec l'autre lorsque la demande recoupe leurs responsabilités respectives.

Avis au titre de l'article 14. Comme les données des clients nous parviennent par l'intermédiaire d'un coach et non directement du client, l'article 14 du RGPD nous impose d'informer la personne concernée sur la façon dont nous traitons ses données. La présente Politique de Confidentialité constitue l'avis prévu à l'article 14 pour chaque client qu'un coach saisit dans le Service — adulte ou mineur. Si vous êtes un client (ou, lorsque le client est mineur, son parent ou tuteur) et que vous souhaitez recevoir une copie de cet avis dans votre langue ou savoir quel coach a saisi vos données, contactez-nous à support@rosteraid.com.

Plus précisément :

Vous (le coach) êtes responsable de :

1. Disposer d'une base juridique (généralement, le consentement du parent/tuteur, ou une autre base au titre de votre droit local) avant de saisir une personne dans RosterAid.
2. Indiquer à la personne concernée (ou à son parent/tuteur) que vous utilisez RosterAid et que vous avez saisi ses informations.
3. L'exactitude et la licité du contenu des fiches que vous créez.
4. Répondre aux demandes de droits de la personne concernée qui portent sur le contenu de votre liste (par exemple, « cette personne doit-elle figurer sur votre liste ? » ou « pourquoi ce client est-il encore actif ? »).
5. Conserver vos identifiants de compte confidentiels.

Nous (RosterAid) sommes responsables de :

1. La sécurité technique et organisationnelle des données (Section 15).
2. L'endroit où les données sont stockées, leur durée de conservation et les sous-traitants ultérieurs qui les traitent (Sections 7 et 9).
3. Traiter les demandes de droits de la personne concernée qui portent sur le traitement technique des données (par exemple suppression de nos systèmes, export, limitation).
4. Notification des violations au titre des articles 33 et 34 (Section 16).
5. Mettre à disposition la présente Politique de Confidentialité en tant qu'avis prévu à l'article 14 pour les personnes concernées.

Chacune des parties peut recevoir et traiter une demande de droits émanant d'une personne affectée (ou de son parent/tuteur). Nous coordonnerons de bonne foi. Les personnes concernées peuvent nous contacter à tout moment — voir la Section 21 pour nos coordonnées — et doivent contacter directement leur coach pour les questions de contenu.

Nous vous apporterons une aide raisonnable pour exécuter vos responsabilités au titre de la présente Section.

15. Mesures de sécurité (article 32)

Nous appliquons des mesures techniques et organisationnelles adaptées au risque, notamment :

• TLS 1.3 lorsque le client le prend en charge, TLS 1.2 au minimum pour toutes les données en transit (web, application, API).
• Chiffrement au repos pour notre base de données PostgreSQL administrée (fournie par Supabase / AWS) et pour les identifiants sensibles sur l'appareil mobile (stockage sécurisé chiffré AES via Capacitor Preferences).
• Contrôle d'accès fondé sur les rôles avec paramètres par défaut au moindre privilège.
• Journaux d'audit des accès administratifs à la base de données.
• Verrouillage de connexion et limitations de débit pour dissuader le credential stuffing.
• Hachage des mots de passe avec sel (nous ne stockons jamais votre mot de passe en clair).
• Sauvegardes automatiques régulières avec la durée indiquée à la Section 9.
• Diligence raisonnable sur les prestataires, incluant un accord de traitement de données signé.
• Revue annuelle de notre posture de sécurité.

Nous ne prétendons pas être invulnérables. Aucun service en ligne ne l'est. Nous nous engageons à vous informer rapidement en cas d'incident — voir Section 16.

16. Notification des violations de données personnelles (articles 33 et 34)

En cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés :

• Nous notifierons l'autorité de contrôle compétente dans un délai de 72 heures après en avoir pris connaissance, conformément à l'art. 33.
• Nous notifierons directement et clairement les utilisateurs concernés, sans retard injustifié, lorsque la violation est susceptible d'engendrer un risque élevé (art. 34), en décrivant ce qui s'est passé, les données touchées, les conséquences probables et les mesures que nous prenons.

Nous documentons chaque incident, y compris ceux que nous n'étions pas tenus de notifier.

17. Demandes des autorités et services de l'ordre

Nous respectons la loi mais ne donnons pas un accès généralisé aux données des utilisateurs. Lorsque nous recevons une demande d'une autorité publique :

1. Nous vérifions que la demande nous est dument adressée et qu'elle est légalement valide dans la juridiction dont elle émane.
2. Nous contestons les demandes trop larges, vagues ou semblant dépourvues de base juridique.
3. Nous informons l'utilisateur concerné lorsque la loi nous le permet.
4. Nous ne divulguons que les données précisément visées.
5. Nous tenons un journal interne de chaque demande.

18. Résidents de Californie — Addendum CCPA / CPRA

Si vous êtes résident de Californie, la California Consumer Privacy Act (« CCPA »), telle que modifiée par la California Privacy Rights Act (« CPRA »), vous accorde les droits suivants, en plus de ceux mentionnés ci-dessus :

• Droit de savoir quelles informations personnelles nous avons collectées à votre sujet, les sources, les finalités et les catégories de tiers avec lesquels nous les avons partagées.
• Droit de suppression des informations personnelles que nous détenons sur vous, sous réserve des exceptions légales.
• Droit de rectification des informations personnelles inexactes.
• Droit de refuser la vente ou le partage des informations personnelles.
• Droit de limiter l'utilisation des informations personnelles sensibles.
• Droit à la non-discrimination pour l'exercice de l'un de ces droits.

Nous ne vendons pas d'informations personnelles et nous ne les partageons pas à des fins de publicité comportementale entre contextes, au sens du droit californien.

Vous pouvez exercer ces droits en écrivant à support@rosteraid.com. Nous pouvons devoir vérifier votre identité en comparant la demande aux informations déjà présentes sur votre compte. Un mandataire autorisé peut soumettre une demande en votre nom sur justification de son habilitation.

19. Cookies et technologies similaires (site marketing)

Le site marketing sur rosteraid.com utilise un petit nombre de cookies et technologies similaires. Nous les regroupons en trois catégories :

1. Strictement nécessaires — requis pour fournir le site. Ne nécessitent pas de consentement.
2. Analytiques — Google Analytics 4. Utilisé uniquement pour compter et comprendre les visites. Ne se déclenche qu'après votre consentement via la bannière cookies. Si vous refusez ou fermez la bannière, aucun cookie analytique n'est posé.
3. Préférences — par exemple, mémorisation de vos choix cookies, locale.

Vous pouvez modifier ou retirer votre consentement à tout moment en cliquant sur « Préférences cookies » dans le pied de page du site.

L'application mobile n'utilise pas de cookies tiers et n'inclut pas de SDK publicitaires ni de suivi inter-applications.

20. Modifications de la présente Politique de Confidentialité

Nous mettrons cette politique à jour au fur et à mesure de l'évolution de nos pratiques, de la législation ou de notre liste de sous-traitants ultérieurs.

• Pour les modifications substantielles (nouvelles catégories de données, nouvelles finalités, nouveaux sous-traitants ultérieurs ayant un effet significatif), nous vous donnerons un préavis d'au moins 30 jours par e-mail et/ou avis bien visible dans l'application, et lorsque le consentement était la base du traitement, nous vous demanderons un nouveau consentement.
• Pour les clarifications mineures (coquilles, mise en forme, coordonnées), nous mettrons à jour le numéro de version et la date d'entrée en vigueur sans notification séparée.

Chaque version publiée est identifiée par une date d'entrée en vigueur et un numéro de version en tête du document. Les versions antérieures sont disponibles sur demande à support@rosteraid.com.

21. Comment nous contacter

Pour toute question, demande ou réclamation relative à la confidentialité :

• E-mail : support@rosteraid.com
• Adresse postale : TGS Enterprise — San Diego, Californie, États-Unis
• Représentant dans l'UE : voir Section 3
• UK Information Commissioner's Office : ico.org.uk
• Comité européen de la protection des données (annuaire des APD de l'UE) : edpb.europa.eu

Nous nous efforçons de répondre sous 7 jours pour les questions générales et dans le délai légal d'un mois pour les demandes formelles d'exercice des droits.