flanker (./3) :
Pour le QR code, je ne comprends pas : s'il est généré par le site web, où est la preuve d'identité de l'utilisateur ?

Le QR code est généré côté serveur, avec comme condition préalable de s'être logué sur le site avec ses identifiants personnels (et d'avoir la permission d'accès dans la BDD du serveur). Et il a une limite de validité dans le temps pour éviter que ce soit contournable avec une simple capture d'écran.

Bien sûr, sur le papier ça n'empêche pas la personne de partager ses identifiants (ou carrément de prêter son téléphone, même si c'est moins probable), mais en pratique je pense que les gens réfléchiront à deux fois avant de communiquer ces infos, là où c'est "facile" de prêter une carte physique.

flanker (./3) :
Je pense que la recopie de tag NFC est hors de portée des membres de l'association et le risque peut donc être acceptable.

Je sais bien que ce sont des sportifs, mais je ne serais pas surpris que tu trouves des applis toutes faites pour ça, au moins pour les tags avec les niveaux de sécurité les plus faibles. (Je vais me renseigner, ça m'intéresse de savoir à quel point ce genre de sécurité est facile à déjouer pour quelqu'un qui n'est pas spécialiste).