Politique de confidentialité
Dernière mise à jour : 09/04/2026
The Playground est édité par The Spark SASU (SIRET 93482575300015), dont le siège social est situé au 10 rue de la Paix, 75002 Paris. Nous nous engageons à protéger la vie privée de nos utilisateurs conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés. Cette politique décrit les données que nous collectons, les finalités de leur traitement, vos droits et les moyens de les exercer.
Responsable du traitement
Le responsable du traitement est The Spark SASU, représentée par Dragos Dreptate.
Pour toute question relative à la protection de vos données personnelles, vous pouvez nous contacter :
- Par email : privacy@the-playground.fr
- Par courrier : The Spark SASU, 10 rue de la Paix, 75002 Paris
The Spark SASU n'a pas désigné de Délégué à la Protection des Données (DPO) conformément à l'article 37 du RGPD (moins de 250 salariés, traitement non à grande échelle). Le contact ci-dessus assure cette fonction.
Données collectées
Données d'identité et de compte
- Adresse email (connexion via magic link ou OAuth)
- Prénom et nom (renseignés lors de la création du profil)
- Photo de profil (importée depuis Google/GitHub ou uploadée manuellement)
- Identifiant public de profil
Données d'authentification
- Identifiant du compte OAuth (Google, GitHub) — uniquement pour l'authentification
- Tokens de session (cookies de session)
Données d'utilisation du service
- Communautés créées ou rejointes
- Événements créés, inscriptions, présences
- Commentaires publiés
- Préférences de notification
Données de paiement (événements payants uniquement)
- Les données bancaires (numéro de carte, date d'expiration, CVV) sont traitées exclusivement par Stripe et ne sont jamais stockées par The Playground
- Nous conservons uniquement la référence de la transaction Stripe et l'URL du reçu
Données de navigation et d'analyse
- Pages visitées, durée de visite, événements de navigation
- Identifiant technique (pseudonymisé pour les visiteurs non connectés, associé au compte pour les utilisateurs connectés)
- Données techniques : type de navigateur, système d'exploitation
Données collectées automatiquement en cas d'erreur
- Traces techniques d'erreur (stack traces) pour le diagnostic et la correction de bugs
Finalités et bases légales du traitement
| Finalité | Données concernées | Base légale |
|---|---|---|
| Authentification et gestion de votre compte | Email, nom, prénom, identifiant OAuth, photo de profil | Exécution du contrat (Art. 6.1.b) |
| Fourniture du service (communautés, événements, inscriptions) | Données de compte, données d'utilisation | Exécution du contrat (Art. 6.1.b) |
| Envoi d'emails transactionnels (confirmations, rappels, annulations) | Email, prénom | Exécution du contrat (Art. 6.1.b) |
| Envoi de notifications de la communauté (nouveaux événements, messages de l'organisateur) | Email, prénom, préférences de notification | Intérêt légitime (Art. 6.1.f) — vous pouvez vous désinscrire à tout moment depuis votre profil |
| Traitement des paiements pour les événements payants | Référence de transaction Stripe | Exécution du contrat (Art. 6.1.b) |
| Analyse d'utilisation et amélioration du service | Données de navigation pseudonymisées | Intérêt légitime (Art. 6.1.f) — amélioration continue du service, données hébergées en UE |
| Diagnostic et correction de bugs | Traces d'erreur techniques | Intérêt légitime (Art. 6.1.f) — assurer la stabilité du service |
Cookies
Cookies strictement nécessaires (déposés sans consentement)
| Cookie | Finalité | Conservation des données |
|---|---|---|
authjs.session-token | Maintien de votre session d'authentification | 30 jours |
auth-callback-url | Redirection après connexion | 30 minutes |
Ces cookies sont indispensables au fonctionnement du site. Ils ne peuvent pas être désactivés.
Cookies d'analyse
| Cookie | Finalité | Sous-traitant | Conservation des données |
|---|---|---|---|
ph_* | Analyse d'utilisation du service (pages visitées, parcours utilisateur) | PostHog (serveurs UE) | 1 an |
Ces cookies nous permettent de comprendre comment le service est utilisé afin de l'améliorer. Les données collectées sont hébergées en Union européenne. Vous pouvez désactiver ces cookies via les paramètres de votre navigateur.
Aucun cookie publicitaire n'est utilisé par The Playground.
Sous-traitants et destinataires des données
Les sous-traitants suivants interviennent dans le fonctionnement de la plateforme. Selon leur rôle, ils peuvent recevoir des données personnelles, des données techniques ou du contenu que vous avez saisi :
| Sous-traitant | Finalité | Données transmises | Siège | Hébergement des données | Garanties |
|---|---|---|---|---|---|
| Vercel Inc. | Hébergement de l'application | Adresse IP, cookies de session, requêtes HTTP (transit) | États-Unis | Union européenne (Frankfurt) | DPA Vercel, données hébergées en UE |
| Neon Inc. | Hébergement de la base de données | Toutes les données du compte : email, nom, photo de profil, inscriptions, commentaires | États-Unis | Union européenne (Frankfurt) | DPA Neon, données hébergées en UE |
| PostHog Inc. | Analyse d'utilisation du service | Identifiant utilisateur, email, nom, pages visitées | États-Unis | Union européenne (eu.posthog.com) | DPA PostHog, données hébergées en UE |
| Sentry | Surveillance des erreurs techniques | Traces d'erreur techniques (aucune donnée personnelle explicitement transmise) | États-Unis | Union européenne (Allemagne, de.sentry.io) | DPA Sentry, données hébergées en UE |
| Resend Inc. | Envoi d'emails transactionnels et de notifications | Adresse email du destinataire, nom (dans certains emails) | États-Unis | États-Unis | DPA Resend, clauses contractuelles types UE |
| Stripe Inc. | Traitement des paiements (événements payants) | Adresse email, identifiant utilisateur | États-Unis | États-Unis / Union européenne (infrastructure globale) | Certifié PCI-DSS, DPA Stripe, clauses contractuelles types UE |
| Anthropic PBC | Fonctionnalités d'intelligence artificielle (génération de descriptions) | Contenu saisi par l'utilisateur (titres et descriptions d'événements) — aucune donnée personnelle | États-Unis | États-Unis | DPA Anthropic, clauses contractuelles types UE |
| Slack (Salesforce) | Notifications internes d'administration (nouveaux utilisateurs, nouvelles communautés) | Nom et email de l'utilisateur (notifications administrateur uniquement) | États-Unis | États-Unis | DPA Slack/Salesforce, clauses contractuelles types UE |
Vos données ne sont jamais vendues ni partagées avec des tiers à des fins commerciales ou publicitaires.
Transferts hors Union européenne
La majorité de nos sous-traitants hébergent vos données en Union européenne, même lorsque leur siège social est aux États-Unis :
- Données hébergées en UE : Vercel (Frankfurt), Neon (Frankfurt), PostHog (UE), Sentry (Allemagne)
- Données hébergées aux États-Unis : Resend (envoi d'emails), Stripe (traitement des paiements), Anthropic (fonctionnalités IA), Slack (notifications internes)
Les transferts vers les États-Unis sont encadrés par :
- Les clauses contractuelles types adoptées par la Commission européenne (décision d'exécution 2021/914)
- Les engagements contractuels de chaque sous-traitant (Data Processing Agreements)
Les données principales (base de données utilisateurs, hébergement applicatif, analytics, monitoring) sont stockées en Union européenne.
Vos droits (RGPD)
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès (Art. 15) : obtenir la confirmation du traitement de vos données et en recevoir une copie
- Droit de rectification (Art. 16) : corriger des données inexactes ou incomplètes
- Droit à l'effacement (Art. 17) : demander la suppression de vos données. Vous pouvez supprimer votre compte directement depuis votre profil (suppression immédiate et irréversible)
- Droit à la portabilité (Art. 20) : recevoir vos données dans un format structuré et lisible par machine
- Droit d'opposition (Art. 21) : vous opposer au traitement fondé sur l'intérêt légitime
- Droit de retrait du consentement (Art. 7.3) : lorsque le traitement est fondé sur votre consentement, le retirer à tout moment sans affecter la licéité du traitement effectué avant le retrait
Pour exercer vos droits :
- Par email : privacy@the-playground.fr
- Par courrier : The Spark SASU, 10 rue de la Paix, 75002 Paris
Nous nous engageons à répondre à votre demande dans un délai d'un mois à compter de sa réception (Art. 12.3 RGPD).
Si vous estimez que le traitement de vos données constitue une violation du RGPD, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr.
Conservation des données
- Données de compte (email, nom, profil) — tant que le compte est actif
- Données d'utilisation (inscriptions, commentaires) — tant que le compte est actif
- Données de paiement (références Stripe) — 5 ans après la transaction (obligation légale comptable)
- Cookies d'analyse (PostHog) — 1 an maximum
- Traces d'erreur (Sentry) — 90 jours
En cas de suppression de votre compte, vos données personnelles sont effacées immédiatement (suppression irréversible). Les données liées à des obligations légales (références de paiement) sont conservées conformément aux durées légales applicables.
Modification de cette politique
Nous pouvons modifier cette politique pour refléter les évolutions de nos pratiques ou de la réglementation. En cas de modification substantielle, nous vous en informerons par email ou par notification sur la plateforme. La date de dernière mise à jour est indiquée en haut de cette page.