Sécurité & Conformité

La base de données de PickleDeck est hébergée dans l'Union européenne (Francfort, Allemagne) par Supabase sur infrastructure AWS. L'application est servie par Vercel, qui dispose d'un CDN mondial avec contrat de sous-traitance conforme aux exigences européennes.

Une question revient en permanence : « qu'est-ce qui est visible publiquement, qu'est-ce qui ne l'est jamais ? ». Voici la réponse explicite.

• HTTPS / TLS sur toutes les communications entre votre navigateur et nos serveurs
• Chiffrement au repos des bases de données (AES-256)
• Tokens d'intégration sensibles (DUPR, HelloAsso) chiffrés en AES-256-GCM
• Mots de passe hachés avec bcrypt par Supabase Auth

• Politiques de sécurité au niveau des lignes (Row Level Security) sur l'ensemble des tables sensibles
• Restrictions au niveau des colonnes masquant email, téléphone et date de naissance pour les accès non authentifiés
• Système de rôles hiérarchiques : propriétaire > co-organisateur > arbitre

• Validation côté serveur de toutes les entrées avec Zod
• Headers HTTP de sécurité : HSTS 2 ans, CSP, X-Frame-Options DENY, Referrer-Policy
• Masquage des informations sensibles pour les utilisateurs non authentifiés
• Identifiants UUID v4 non prédictibles sur toutes les ressources publiques (anti-énumération, anti-scraping)
• Protection CSRF Next.js sur toutes les Server Actions
• Sessions sécurisées : SameSite=Lax, flag Secure, durée de vie configurée
• Tokens à usage unique avec expiration explicite (reset password, access links arbitre, magic links)

• Bannière de consentement cookies via tarteaucitron.js
• Consentements granulaires avec horodatage
• Droit à la portabilité : export JSON de vos données
• Droit à l'effacement : anonymisation de votre compte
• Politique de confidentialité détaillee
• Registre des traitements conforme Art. 30 du RGPD

Pour plus de détails, consultez notre politique de confidentialité.

• Paiements traités via HelloAsso (partenaire historique français) et Stripe (certifié PCI-DSS)
• Aucune donnée de carte bancaire stockée sur nos serveurs
• Vérification de signature HMAC sur tous les webhooks (HelloAsso et Stripe)

• Traçabilité complete des actions sensibles (connexions, exports, suppressions, modifications)
• Logs conserves 1 an
• Protection anti-rejeu sur les webhooks (déduplication)
• Rate limiting sur les endpoints d'authentification

La continuité de service est un engagement contractuel envers nos clients institutionnels. Les paramètres ci-dessous sont documentés et auditables.

Pour les partenariats institutionnels, un SLA contractuel peut être négocié avec engagement chiffré sur la disponibilité et les délais d'intervention.

Au-delà des paramètres techniques de continuité de service ci-dessus, PickleDeck s'engage formellement sur la pérennité de la plateforme et la protection des données en cas d'événement majeur affectant la société.

• Préavis arrêt d'activité : 30 jours minimum avec notification individuelle à tous les utilisateurs
• Récupération des données : 90 jours après notification, export complet JSON et CSV téléchargeable à tout moment par tout client
• Tests de restauration : procédure de restauration testée annuellement (cf. RTO ≤ 4 h ci-dessus)
• Escrow code source : sur demande contractuelle, dépôt du code source chez un tiers de confiance (Lex Persona ou Logitas) — à activer Q2 2026
• Procédure d'incident sécurité : contact security@pickledeck.com avec accusé de réception sous 72 h ouvrées (cf. divulgation responsable)
• Plan de réversibilité : procédure de migration vers un autre prestataire documentée, exécutable en moins de 30 jours

Pour le détail complet des engagements de continuité, de la gouvernance et de la trajectoire de la société, consultez la page pérennité.

Voici la liste des sous-traitants impliqués dans le traitement de vos données, avec leur localisation et la présence d'un accord de traitement des données (DPA) :

Notre infrastructure passe les principaux audits sécurité publics. Vous pouvez vérifier les résultats vous-même en cliquant sur les liens ci-dessous :

Ces audits sont publics et indépendants. Tout client, partenaire ou auditeur peut les relancer à tout moment.

Conformément aux obligations de l'article 30 du RGPD et à la démarche d'accountability imposée par le règlement, nous tenons à jour les documents suivants. Ils sont disponibles sur demande des autorités de contrôle (CNIL) ou de nos partenaires fédéraux (FFT) :

Pour obtenir un de ces documents, écrivez à dpo@pickledeck.com.

Vous avez identifié une vulnérabilité ? Contactez-nous à security@pickledeck.com. Nous nous engageons à accuser réception sous 72h ouvrées et à ne pas poursuivre les chercheurs en sécurité agissant de bonne foi.

PickleDeck s'engage à répondre dans des délais raisonnables aux questionnaires de sécurité, aux audits internes et aux demandes documentaires émanant de fédérations sportives, ligues, comités et institutions partenaires.

• Réponse aux questionnaires sécurité standards (ANSSI, MIPS, ISO 27001 light) sous 10 jours ouvrés
• Fourniture du DPA, du registre des traitements, des AIPD et des plans de reprise sur demande officielle
• Disposition à signer un NDA bilatéral préalable à toute communication d'information sensible
• Possibilité d'audit sur site ou en visio avec un interlocuteur technique senior, dans le cadre de partenariats contractualisés

Pour engager une démarche d'audit fédéral, écrivez à partenariats@pickledeck.com ou consultez la page partenariats fédéraux.