Collecte et traitement
des données

Nexus recueille différentes catégories de renseignements personnels selon votre rôle sur la plateforme (athlète, entraîneur, recruteur, directeur). Voici le détail complet des données collectées :

• Identité : prénom, nom de famille, adresse courriel, mot de passe (haché), numéro de téléphone
• Profil athlète : date de naissance, genre, photo, année de diplomation, école secondaire, sport principal et secondaire, position, numéro de jersey
• Données académiques : moyenne générale, matières fortes, mentions académiques, programme CÉGEP visé, ouverture CÉGEP privé/anglophone, régions préférées
• Données physiques : taille, poids, envergure, taille des mains, main dominante, pied dominant
• Tests athlétiques : 40 verges, saut vertical, saut en longueur, développé couché, navette d'agilité, sprint 100m
• Médias : vidéos de faits saillants, liens Hudl/YouTube/Instagram, vidéo d'entraînement, vidéo de match complet
• Évaluations d'entraîneur : leadership, discipline, coachabilité, intelligence de jeu, compétitivité, esprit d'équipe, résilience, attitude/mentalité, cote globale, distinctions, rapport d'entraîneur
• Données de recrutement : statut de recrutement, favoris, notes de pipeline, étapes de recrutement, lettres d'intention
• Données parentales (mineurs) : nom du parent/tuteur, téléphone du parent, consentement parental et date
• Données d'utilisation : pages consultées, profils vus, messages envoyés, connexions, horodatages
• Données techniques : adresse IP, type de navigateur, système d'exploitation, résolution d'écran

Chaque donnée collectée répond à une finalité précise et légitime :

• Mise en relation : connecter les athlètes du secondaire avec les recruteurs CÉGEP via le réseau RSEQ
• Profils athlètes : permettre aux entraîneurs de créer des profils complets pour maximiser la visibilité des athlètes
• Recherche et filtrage : permettre aux recruteurs de trouver des athlètes selon leurs critères sportifs, académiques et physiques
• Évaluations : fournir aux recruteurs des évaluations d'entraîneurs fiables et vérifiées
• Communication : faciliter les échanges entre recruteurs et entraîneurs concernant les athlètes
• Pipeline de recrutement : permettre aux recruteurs de suivre l'avancement du recrutement de chaque athlète
• Vérification : assurer la fiabilité des profils via la vérification par les entraîneurs
• Statistiques : fournir aux entraîneurs et recruteurs des données analytiques sur l'engagement
• Sécurité : protéger la plateforme contre les utilisations frauduleuses et non autorisées
• Amélioration : analyser l'utilisation pour améliorer l'expérience utilisateur

Conformément à la Loi 25 sur la protection des renseignements personnels du Québec, le traitement de vos données repose sur les bases juridiques suivantes :

• Consentement explicite : vous acceptez la collecte et le traitement de vos données lors de l'inscription. Ce consentement est libre, éclairé et spécifique
• Exécution du contrat : certaines données sont nécessaires pour fournir le service de recrutement sportif
• Intérêt légitime : les données d'utilisation et techniques sont collectées pour assurer la sécurité et améliorer le service
• Obligation légale : certaines données peuvent être conservées pour répondre à des exigences réglementaires

Le consentement parental est requis pour tout athlète mineur (14-17 ans). Un processus de notification parentale avec délai de réponse de 7 à 14 jours est en place.

Le niveau de données collectées varie selon votre rôle sur la plateforme :

• Athlète : profil complet (identité, académique, physique, sportif, médias). L'athlète peut s'inscrire directement avec données auto-déclarées, marquées « Non vérifié » jusqu'à validation par un entraîneur
• Entraîneur : identité, école/ligue, sport, évaluations d'athlètes. Les entraîneurs sont le canal de distribution principal et créent/gèrent les profils d'athlètes
• Recruteur : identité, CÉGEP, sport recruté, favoris, pipeline, notes, messages. Les recruteurs accèdent aux profils d'athlètes actifs uniquement
• Directeur : identité, institution (école ou CÉGEP), rôle administratif. Les directeurs sont des entraîneurs ou recruteurs avec des permissions d'administration supplémentaires

Nexus applique un contrôle strict sur qui peut voir quoi :

• Entraîneurs : voient et gèrent uniquement les athlètes de leur propre école ou équipe
• Recruteurs (gratuit) : voient les profils anonymisés — statistiques, école, sport et cote visibles, mais le nom, la photo, la position et le numéro de jersey sont masqués
• Recruteurs (payant) : accès complet aux profils d'athlètes actifs, incluant nom, photo, coordonnées de l'entraîneur pour contact
• Favoris, notes et pipeline : strictement privés à chaque recruteur. Aucun recruteur ne peut voir les listes d'un autre
• Directeurs : accès administratif aux données de leur propre institution uniquement
• Athlètes : ne voient pas qui les a consultés ni ajoutés en favoris (données privées recruteur)

Les politiques de sécurité au niveau des lignes (RLS) de la base de données garantissent techniquement ces restrictions d'accès.

Vos données personnelles sont conservées selon les règles suivantes :

• Compte actif : tant que votre compte est actif et que vous utilisez la plateforme
• Compte inactif : 24 mois après la dernière connexion, un avis de suppression est envoyé
• Profils archivés : conservés 3 ans maximum après archivage, puis supprimés définitivement
• Athlètes diplômés : profils conservés 2 ans après l'année de graduation prévue
• Données de recrutement : favoris, notes et pipeline supprimés avec le compte recruteur
• Logs techniques : conservés 12 mois pour la sécurité et le diagnostic
• Suppression volontaire : délai de grâce de 30 jours, puis suppression irréversible de toutes les données

Conformément aux exigences de la Loi 25, toutes les données personnelles sont hébergées au Québec :

• Serveur principal : OVHcloud, centre de données de Beauharnois, Québec, Canada
• Base de données : Supabase (PostgreSQL) hébergé sur infrastructure OVHcloud Québec
• Fichiers et médias : stockage Supabase Storage sur la même infrastructure
• Aucun transfert transfrontalier : vos données ne quittent pas le territoire canadien
• Sauvegardes : chiffrées et stockées dans le même centre de données québécois

L'infrastructure est gérée via Coolify (auto-hébergé) pour un contrôle complet sur l'environnement de déploiement.

Nexus applique des mesures techniques et organisationnelles robustes pour protéger vos données :

• Chiffrement en transit : toutes les communications utilisent HTTPS/TLS
• Chiffrement au repos : les données sont chiffrées dans la base de données
• Hachage des mots de passe : algorithme bcrypt avec salt unique par utilisateur
• Contrôle d'accès par rôle (RBAC) : chaque utilisateur n'accède qu'aux données autorisées pour son rôle
• Politiques RLS (Row-Level Security) : filtrage au niveau de la base de données, pas seulement de l'application
• Journaux d'audit : toutes les actions sensibles sont journalisées (consultations de profils, modifications, connexions)
• Authentification sécurisée : tokens JWT avec expiration, refresh tokens
• Validation côté serveur : toutes les entrées utilisateur sont validées et assainies

Conformément à la Loi 25, vous disposez de droits sur vos données personnelles. Pour les exercer, contactez notre RPRP :

• Accès : demandez une copie complète de vos données à confidentialite@nexussports.ca
• Rectification : corrigez vos informations directement dans votre profil ou contactez-nous
• Suppression : demandez la suppression de votre compte via les paramètres ou par courriel
• Portabilité : demandez l'export de vos données en format JSON ou CSV
• Retrait du consentement : retirez votre consentement à tout moment (sauf consentements requis pour le service)

Responsable de la protection des renseignements personnels (RPRP) : Bruno-Philippe Desfossés Simard — confidentialite@nexussports.ca — 856 Basile-Routhier, Repentigny, Québec.

Délai de réponse : 30 jours ouvrables maximum.