Dernière mise à jour : 21 avril 2026
BorneToRun, société par actions simplifiée au capital variable de 400 euros, immatriculée au RCS de Lyon sous le numéro 104 037 031, dont le siège social est situé 88 Bis rue du Commandant Charcot, 69005 Lyon, représentée par son Président Clément Multon, est responsable du traitement des données personnelles collectées via la plateforme RunPilot.
| Catégorie | Données | Finalité |
|---|---|---|
| Compte utilisateur | Nom, prénom, email, mot de passe (hashé) | Création et gestion du compte |
| Organisation | Nom de l'organisation, plan souscrit | Gestion de l'abonnement |
| Événements | Nom, date, lieu, règlement PDF, documents | Gestion d'événement |
| Budget | Recettes, dépenses, catégories | Module Finance |
| Bénévoles | Noms, contacts, disponibilités | Module Bénévoles |
| Communication | Séquences email, campagnes | Module Communication |
| Catégorie | Données | Finalité |
|---|---|---|
| Inscription | Nom, prénom, email, course inscrite | Gestion des inscriptions |
| Statut | Paiement, certificat médical | Suivi administratif |
| Interactions chatbot | Questions posées, réponses fournies | Assistance IA 24/7 |
Important : Les organisateurs sont responsables conjoints du traitement des données de leurs participants. Ils doivent s'assurer d'avoir obtenu le consentement approprié avant d'importer des données sur la Plateforme.
| Traitement | Base légale (Art. 6 RGPD) |
|---|---|
| Gestion du compte utilisateur | Exécution du contrat (Art. 6.1.b) |
| Fourniture des services | Exécution du contrat (Art. 6.1.b) |
| Traitement des paiements via Stripe | Exécution du contrat (Art. 6.1.b) |
| Envoi d'emails transactionnels | Exécution du contrat (Art. 6.1.b) |
| Chatbot IA (RAG) | Intérêt légitime (Art. 6.1.f) |
| Amélioration de la Plateforme | Intérêt légitime (Art. 6.1.f) |
| Communications marketing | Consentement (Art. 6.1.a) |
| Sous-traitant | Service | Localisation | Garanties |
|---|---|---|---|
| Supabase (AWS) | BDD, auth, stockage | UE (Francfort) | DPA, SOC 2 Type II |
| Vercel | Hébergement frontend | Global (CDN) | DPA, conformité RGPD |
| Hetzner | VPS — N8N, Qdrant | UE (Nuremberg) | ISO 27001, serveurs UE |
| OpenAI | Embeddings | USA | DPA, SCCs |
| Anthropic | LLM chatbot | USA | DPA, SCCs |
| Brevo | Emails transactionnels | UE (France) | Conforme RGPD |
| Stripe | Paiements | USA | PCI DSS, DPA, SCCs |
| Cloudflare | DNS, DDoS | Global | DPA, RGPD |
Transferts hors UE : Les données envoyées à OpenAI, Anthropic et Stripe font l'objet de Clauses Contractuelles Types (SCCs) conformément à l'article 46.2 du RGPD.
| Données | Durée |
|---|---|
| Compte utilisateur | Durée abonnement + 3 ans |
| Données d'événements | Durée abonnement + 1 an |
| Données participants | Jusqu'à suppression par l'organisateur |
| Logs chatbot | 12 mois glissants |
| Données facturation | 10 ans (obligation comptable FR) |
| Cookies de session | Durée de la session |
Conformément au RGPD (articles 15 à 22) et à la loi Informatique et Libertés, vous disposez des droits suivants :
| Droit | Description |
|---|---|
| Accès (Art. 15) | Obtenir une copie de vos données personnelles |
| Rectification (Art. 16) | Corriger des données inexactes |
| Effacement (Art. 17) | Demander la suppression de vos données |
| Limitation (Art. 18) | Limiter le traitement dans certains cas |
| Portabilité (Art. 20) | Recevoir vos données en format structuré (JSON/CSV) |
| Opposition (Art. 21) | Vous opposer au traitement (intérêt légitime) |
| Retrait du consentement | Retirer votre consentement à tout moment |
Pour exercer vos droits : contact@runpilot.fr (objet « RGPD — [Votre droit] »). Délai de réponse : 30 jours.
Réclamation : CNIL — www.cnil.fr
| Mesure | Détail |
|---|---|
| Chiffrement en transit | HTTPS/TLS (Caddy reverse proxy) |
| Chiffrement au repos | Supabase AES-256, Hetzner chiffrement disque |
| Authentification | Supabase Auth, bcrypt |
| Contrôle d'accès | Row Level Security (RLS) sur toutes les tables |
| Firewall | UFW — ports 22, 80, 443 uniquement |
| Protection webhook | HMAC-SHA256 (Stripe) |
| Headers sécurité | X-Content-Type-Options, Referrer-Policy, Permissions-Policy |
| Isolation données | Chaque organisation accède uniquement à ses données (RLS) |
RunPilot utilise uniquement des cookies et un stockage local strictement nécessaires au fonctionnement du service. Aucun cookie publicitaire, aucun tracking tiers, aucun outil d'analyse d'audience.
Conformément à l'article 82 de la loi Informatique et Libertés et à la délibération CNIL n°2020-091, ces cookies essentiels sont exemptés du consentement préalable.
| Stockage | Finalité | Durée |
|---|---|---|
cookie_consent (localStorage, runpilot.fr) | Mémoriser la fermeture du bandeau d'information | 6 mois |
| Session Supabase Auth (app.runpilot.fr) | Maintenir la connexion authentifiée à l'application | Durée de la session, max 30 jours |
runpilot_selected_org (localStorage, app.runpilot.fr) | Mémoriser l'organisation sélectionnée (multi-org) | Persistant tant que l'utilisateur est connecté |
theme (localStorage, app.runpilot.fr) | Préférence d'affichage clair/sombre | Persistant |
Pour effacer ou réinitialiser ces données : utilisez le lien « Gérer les cookies » dans le pied de page, ou videz le stockage de votre navigateur. La déconnexion via l'application supprime également la session Supabase Auth.
RunPilot peut modifier cette politique. Notification par email 15 jours avant l'entrée en vigueur des changements.