Pages légales

Politique de confidentialité.

Version 1.0 Document publié en mai 2026

Traitement des données personnelles dans le cadre de l'inscription et de l'organisation du CTF PwnMe Jr 2026, conformément au Règlement général sur la protection des données (UE) 2016/679 (RGPD) et à la loi Informatique et Libertés du 6 janvier 1978 modifiée.

1. Responsable de traitement

  • École 2600, SAS au capital de 30 000 EUR
  • 12 B Quai François Truffaut, 78180 Montigny-le-Bretonneux, France
  • RCS Versailles 893 440 305
  • Contact RGPD : dpo@2600.eu

L'École 2600 n'a pas désigné de Délégué à la Protection des Données (DPO) auprès de la CNIL. L'adresse dpo@2600.eu est un point de contact RGPD dédié, opéré par l'équipe organisatrice.

2. Données collectées

Lors de l'inscription au CTF, les données suivantes sont collectées :

DonnéeFinalitéBase légale
Adresse email Communication d'informations liées à l'événement (rappels, logistique, accès au scoreboard, suivi post-événement) Intérêt légitime (art. 6.1.f)
Catégorie de participation (Première, Terminale, Bac+1, Bac+2) Affectation aux dotations par catégorie et logistique pédagogique Intérêt légitime (art. 6.1.f)
Mode de participation (sur place / à distance) Logistique de l'événement (places, accueil, ressources techniques) Intérêt légitime (art. 6.1.f)
Adresse IP + horodatage de l'inscription Sécurité : détection de soumissions automatisées, prévention des abus, rate-limiting Intérêt légitime (art. 6.1.f)

Aucune autre donnée n'est collectée. L'adresse IP n'est jamais utilisée à des fins de profilage, de tracking commercial ou de croisement avec d'autres sources.

3. Destinataires des données

Les données collectées sont accessibles aux destinataires suivants :

  • Équipe organisatrice de l'École 2600 - accès complet aux fins d'organisation et de communication.
  • RootMe Pro (SAS) - partenaire co-organisateur, accès aux emails et catégories d'inscription uniquement pour les besoins de la communication liée à l'événement (envois groupés segmentés par catégorie). RootMe Pro n'a pas accès aux adresses IP ni aux horodatages.

Aucune donnée n'est cédée, louée ou vendue à des tiers. Aucun partage à des fins commerciales ou publicitaires.

4. Sous-traitants & tiers techniques

Les prestataires techniques suivants peuvent traiter des données strictement nécessaires à la fourniture du service :

Sous-traitantRôleLocalisation
Cloudflare Inc. Protection anti-bot du formulaire d'inscription (Turnstile). Voit l'adresse IP du visiteur et un jeton de challenge le temps de la vérification. États-Unis
École 2600 (auto-hébergement) Hébergement du site et de la base de données. Aucun transfert vers un cloud tiers. France
Service SMTP (à confirmer) Envoi des emails de confirmation d'inscription. Voit l'email du destinataire et le contenu transactionnel. Sera précisé avant ouverture des inscriptions

Chaque sous-traitant est sélectionné pour ses garanties de sécurité et de conformité RGPD. Des engagements de confidentialité et des clauses contractuelles sont systématiquement signés conformément à l'article 28 du RGPD.

5. Transferts hors Union européenne

Un seul sous-traitant est susceptible d'opérer un transfert de données hors UE : Cloudflare Inc. (États-Unis), pour le service Turnstile. Ce transfert est encadré par les Clauses Contractuelles Types adoptées par la Commission européenne (décision d'exécution 2021/914) et par les Supplementary Measures mises en œuvre par Cloudflare. Cloudflare a par ailleurs adhéré au Data Privacy Framework EU-US.

Aucun autre transfert hors UE n'a lieu dans le cadre du présent traitement.

6. Durée de conservation

  • Emails, catégories, mode de participation : conservés 12 mois après la fin de l'événement (4 juillet 2026), soit jusqu'au 4 juillet 2027. Cette durée couvre la communication post-événement, la restitution des prix et l'analyse de l'édition.
  • Adresses IP & horodatages : conservés 6 mois maximum, durée nécessaire à la détection d'abus et à la sécurité.
  • Demandes RGPD (accès, rectification, effacement) : les échanges sont conservés 3 ans à des fins de preuve de réponse aux obligations légales.

À l'issue de ces durées, les données sont supprimées de manière définitive ou anonymisées de façon irréversible.

7. Décisions automatisées & profilage

Aucune décision produisant des effets juridiques ou affectant de manière significative les participants n'est prise sur la base d'un traitement automatisé. Aucun profilage n'est réalisé. Le seul mécanisme automatisé est la protection anti-bot Turnstile, qui ne produit pas de décision sur la personne mais valide uniquement la nature humaine de la soumission.

8. Tes droits

Conformément aux articles 15 à 22 du RGPD, tu disposes des droits suivants :

  • Accès - obtenir copie des données te concernant
  • Rectification - corriger une donnée inexacte
  • Effacement - demander la suppression de tes données
  • Opposition - t'opposer à un traitement fondé sur l'intérêt légitime
  • Limitation - geler temporairement un traitement
  • Portabilité - récupérer tes données dans un format structuré

Pour exercer ces droits : dpo@2600.eu. Réponse sous 30 jours maximum.

En cas de désaccord, tu peux introduire une réclamation auprès de la CNIL.

9. Sécurité

  • Chiffrement TLS 1.2+ en transit (HTTPS obligatoire)
  • Hébergement sur infrastructure dédiée École 2600, en France
  • Base de données SQLite stockée localement, aucun export vers un cloud tiers
  • Accès administrateur protégé par authentification forte (hash bcrypt, rate-limiting strict)
  • Logs structurés JSON, sans données personnelles superflues
  • Sauvegardes chiffrées et conservées sur l'infrastructure École 2600

10. Cookies

Un seul cookie strictement nécessaire est utilisé, lié à la protection anti-bot du formulaire. Aucun cookie de mesure d'audience, de publicité ou de tracking n'est posé. Voir la politique cookies dédiée.

↑ Retour en haut

Dernière mise à jour : mai 2026. Version 1.0.
Contact général : ctf@2600.eu - Contact RGPD : dpo@2600.eu