Conformité RGPD
Politique de confidentialité
Dernière mise à jour : 12 mai 2026
La présente politique décrit comment WeRun (édité par WEMOOVE Agency / YENZCLUB) collecte, utilise et protège vos données personnelles, conformément au Règlement (UE) 2016/679 dit RGPD et à la loi française Informatique et Libertés modifiée.
1. Responsable de traitement
Le responsable du traitement des données collectées via la Plateforme est :
- WEMOOVE Agency / YENZCLUB, Toulouse, France.
- Contact data privacy : enzo@wemoove.agency.
Lorsque les données sont traitées dans le cadre de l'activité d'un Club (gestion des Membres, billetterie, boutique), le Club est responsable conjoint du traitement avec WeRun pour ce qui relève de ses propres finalités.
2. Données collectées
Nous distinguons les catégories de données suivantes :
- Données de compte : adresse email, prénom, nom, photo de profil (facultative), rôle (Owner / Coach / Member), date de création du compte.
- Données de paiement : identifiant Stripe (
customer_id), historique des transactions, montants, devises. Aucune donnée de carte bancaire (PAN, CVV) n'est stockée par WeRun ; tous les instruments de paiement sont gérés par Stripe (certifié PCI-DSS niveau 1). - Données d'événement : inscriptions à des Événements, billets émis, participations passées, le cas échéant numéro de licence FFA et certificat médical (selon exigence du Club organisateur).
- Données de livraison(boutique uniquement) : adresse postale, téléphone (facultatif, utilisé pour la livraison à domicile ou point relais).
- Données techniques : adresse IP, type de navigateur, système d'exploitation, journaux de connexion.
- Données d'usage anonymes (sous réserve de votre consentement) : pages vues, événements d'interaction, temps passé. Collectées via PostHog (cloud EU).
3. Finalités et bases légales (art. 6 RGPD)
| Finalité | Base légale |
|---|---|
| Création et gestion de votre compte, authentification par magic link | Exécution du contrat (art. 6.1.b) |
| Traitement des Commandes (billets, produits, abonnements) et facturation | Exécution du contrat (art. 6.1.b) |
| Reversement des fonds aux Clubs et tenue de la comptabilité | Obligation légale (art. 6.1.c) — Code de commerce, CGI |
| Sécurité de la Plateforme, prévention et lutte contre la fraude | Intérêt légitime (art. 6.1.f) |
| Mesure d'audience anonyme (PostHog) et amélioration produit | Consentement (art. 6.1.a) — opt-in via le banner cookies |
| Envoi d'emails de service (confirmation de commande, billet, alerte) | Exécution du contrat (art. 6.1.b) |
| Envoi d'emails marketing (nouveautés, conseils run club) | Consentement (art. 6.1.a) — opt-in séparé, désinscription en 1 clic |
| Réponse aux réclamations et au support utilisateur | Exécution du contrat / Intérêt légitime |
4. Sous-traitants et destinataires
Pour fournir le service, WeRun fait appel aux sous-traitants suivants, tous engagés par contrat à respecter le RGPD :
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Vercel Inc. | Hébergement applicatif & CDN (rendu Next.js, edge functions) | USA (siège) — exécution edge en UE (Paris, Francfort) |
| Supabase Inc. | Base de données PostgreSQL, stockage fichiers, authentification | UE — région eu-central-1 (Francfort, Allemagne) |
| Stripe Payments Europe Ltd. | Traitement des paiements, gestion des cartes, KYC | Irlande (Dublin) — UE |
| Resend (avec Amazon SES) | Envoi d'emails transactionnels | Amazon SES eu-west-1 (Irlande) — UE |
| PassKit | Génération des cartes Apple Wallet / Google Wallet (membres) | UE / UK — selon configuration |
| PostHog | Analytics produit (sous réserve de votre consentement) | Cloud EU (Frankfurt) |
Les Clubs sont également destinataires des données nécessaires à l'exécution de leur prestation (liste des Membres, des Coureurs inscrits à leurs Événements, des acheteurs de leurs produits) et sont tenus contractuellement au respect du RGPD.
5. Transferts hors Union européenne
La majorité des traitements s'effectuent au sein de l'Union européenne. Toutefois :
- Vercel Inc.a son siège aux États-Unis. Bien que le rendu et le cache des pages s'effectuent sur des edge nodes situés en UE, certains métadonnées techniques peuvent être consultées par les équipes US. Le transfert est encadré par les Clauses Contractuelles Types de la Commission européenne (décision 2021/914) et l'adhésion de Vercel au EU-US Data Privacy Framework.
- Stripe Payments Europe Ltd. est établi en Irlande. Pour des fonctions internes mondiales, certains transferts vers Stripe Inc. (USA) sont possibles, encadrés par les Clauses Contractuelles Types.
6. Durées de conservation
- Compte utilisateur : conservé tant que le compte est actif, puis supprimé 3 ans après la dernière connexion (CNIL, recommandation prospection commerciale).
- Données de facturation et de paiement : conservées 10 ansà compter de la clôture de l'exercice comptable (article L123-22 du Code de commerce).
- Données d'événement et de billet: conservées 3 ans après l'Événement à des fins de gestion des litiges et statistiques agrégées.
- Logs techniques et journaux d'accès : 12 mois maximum (recommandation CNIL et obligations LCEN).
- Cookies et identifiants de mesure : 13 mois maximum, conformément aux lignes directrices CNIL.
- Données de prospection : 3 ans à compter du dernier contact.
7. Vos droits
Vous disposez à tout moment des droits suivants :
- Droit d'accès — obtenir la copie de vos données (art. 15 RGPD).
- Droit de rectification — corriger des données inexactes (art. 16).
- Droit à l'effacement (« droit à l'oubli ») — sous réserve des données que nous devons conserver au titre d'une obligation légale (art. 17).
- Droit à la limitation du traitement (art. 18).
- Droit à la portabilité — récupérer vos données dans un format structuré et lisible par machine (art. 20).
- Droit d'oppositionau traitement fondé sur l'intérêt légitime ou à des fins de prospection (art. 21).
- Retrait du consentement à tout moment, sans effet rétroactif sur les traitements déjà réalisés (art. 7.3).
- Directives post-mortem — définir le sort de vos données après votre décès (art. 85 loi Informatique et Libertés).
Pour exercer ces droits : écrivez à enzo@wemoove.agency en précisant la nature de votre demande et en joignant un justificatif d'identité en cas de doute. Réponse sous 30 jours maximum (prolongation possible de 2 mois si demande complexe, vous serez informé).
8. Délégué à la protection des données (DPO)
WEMOOVE Agency / YENZCLUB n'est pas tenue de désigner un Délégué à la protection des données au titre de l'article 37 RGPD (l'activité ne remplit pas les critères de désignation obligatoire fixés par la CNIL pour les organismes privés de petite taille). Néanmoins, un point de contact unique est désigné :
Référent vie privée : Enzo Z. — enzo@wemoove.agency.
9. Sécurité
WeRun met en œuvre les mesures techniques et organisationnelles suivantes :
- Chiffrement des communications via HTTPS / TLS 1.3 sur l'ensemble de la Plateforme ;
- Authentification sans mot de passe (magic link) et stockage des secrets internes via des coffres chiffrés ;
- Row Level Security (RLS)sur la base de données Supabase, garantissant qu'un Club ne peut accéder qu'à ses propres données ;
- Hashing des éventuels secrets (jetons API, codes invitation) avec bcrypt ;
- Cloisonnement strict entre les données des différents Clubs (architecture multi-tenant) ;
- Sauvegardes quotidiennes chiffrées, restauration testée régulièrement ;
- Journalisation des accès administrateurs et procédure de notification des violations sous 72 heures à la CNIL (art. 33 RGPD) en cas d'incident.
10. Cookies et traceurs
L'usage des cookies sur la Plateforme est détaillé dans notre Politique cookies. Vous pouvez à tout moment modifier vos préférences via le bandeau de consentement.
11. Réclamation auprès de la CNIL
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- CNIL — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.
- Téléphone : 01 53 73 22 22.
- Formulaire en ligne : cnil.fr/fr/plaintes.
12. Évolution de la présente politique
La présente politique peut évoluer pour refléter des changements légaux ou opérationnels. Toute modification substantielle vous sera notifiée par email et/ou via une bannière sur la Plateforme.
13. Comment nous contacter
- Vie privée / RGPD : enzo@wemoove.agency
- Support : hello@werunclub.fr
- Adresse postale : WEMOOVE Agency / YENZCLUB — Toulouse, France.