Politique de confidentialite
Version 1.0 — Derniere mise a jour : 24 fevrier 2026
1. Responsable du traitement
Le responsable du traitement des donnees personnelles collectees via FitLog est le coach sportif independant utilisant la plateforme.FitLog agit en tant que sous-traitant au sens de l'article 28 du RGPD.
- Plateforme : FitLog
- Hebergement : Scalingo SAS (osc-fr1, France), certifie HDS (Hebergeur de Donnees de Sante)
- Contact : contact@fitapp-preview.online
2. Donnees collectees et finalites
2.1 Donnees d'identification
| Donnee | Finalite | Base legale | Duree |
|---|---|---|---|
| Nom, prenom, email | Creation de compte, communication | Contrat | Duree du contrat + 1 an |
| Photo de profil | Personnalisation | Consentement | Duree du contrat |
2.2 Donnees de sante (Art. 9 RGPD — categorie speciale)
Ces donnees font l'objet d'un consentement explicite prealable et sont hebergees sur un serveur certifie HDS.
| Donnee | Finalite | Base legale | Duree |
|---|---|---|---|
| Poids, mensurations, taux de masse grasse | Suivi de progression physique | Consentement explicite | Duree relation + 1 an |
| Check-ins sante (humeur, sommeil, digestion, energie) | Suivi du bien-etre quotidien | Consentement explicite | Duree relation + 1 an |
| Donnees medicales (FC repos, tension arterielle, glycemie) | Suivi sante | Consentement explicite | Duree relation + 1 an |
| Cycle menstruel (phase, flux, symptomes) | Adaptation du programme d'entrainement | Consentement explicite | Duree relation + 1 an |
| Photos corporelles (postures) | Suivi visuel de progression | Consentement explicite | Duree relation + 6 mois |
| Alertes sante (TCA, SII) | Securite du suivi | Interet vital | Duree relation + 1 an |
| Plans nutritionnels (macros, repas) | Prescription nutritionnelle | Contrat | Duree relation + 1 an |
| Bilans (analyse, feedback, notes vocales) | Evaluation periodique | Contrat | Duree relation + 1 an |
2.3 Donnees d'activite (non-sante)
| Donnee | Finalite | Base legale | Duree |
|---|---|---|---|
| Seances (exercices, series, charges, performance) | Programme d'entrainement | Contrat | Duree relation + 1 an |
| Activites libres (sport hors programme) | Suivi d'activite | Consentement | Duree relation + 1 an |
| Messages chat | Communication coach-client | Contrat | 2 ans |
2.4 Donnees techniques
| Donnee | Finalite | Base legale | Duree |
|---|---|---|---|
| Logs d'audit sante (acteur, action, IP) | Tracabilite HDS | Obligation legale | 5 ans |
| Session JWT (Clerk) | Authentification | Contrat | Duree de session |
| Abonnement Stripe (customerID, statut) | Facturation | Contrat | Duree contrat + obligations fiscales |
3. Sous-traitants
Les donnees sont traitees par les sous-traitants suivants, tous situes dans l'UE ou avec des garanties adequates (clauses contractuelles types) :
| Sous-traitant | Finalite | Localisation |
|---|---|---|
| Scalingo SAS | Hebergement application et base de donnees (HDS) | France (osc-fr1) |
| Clerk Inc. | Authentification utilisateur | USA (CCT) |
| Stripe Inc. | Traitement des paiements | USA (CCT) |
| Cloudflare Inc. (R2) | Stockage de fichiers (photos, videos, audio) | UE |
| Pusher Ltd. | Messages en temps reel (transit uniquement) | UE (cluster eu) |
| Resend Inc. | Envoi d'emails transactionnels | USA (CCT) |
4. Vos droits
Conformement au RGPD (articles 15 a 22), vous disposez des droits suivants :
- Droit d'acces (Art. 15) : Obtenir confirmation que vos donnees sont traitees et en obtenir une copie.
- Droit de rectification (Art. 16) : Corriger des donnees inexactes ou incompletes.
- Droit a l'effacement (Art. 17) : Demander la suppression de vos donnees. Disponible depuis votre profil ("Supprimer mon compte"). Delai de grace de 30 jours.
- Droit a la portabilite (Art. 20) : Exporter vos donnees dans un format structure (JSON). Les donnees d'activite sont telechargeables immediatement. Les donnees de sante font l'objet d'une demande validee par le referent sante.
- Droit d'opposition (Art. 21) : Vous opposer au traitement de vos donnees pour motif legitime.
- Droit de limitation (Art. 18) : Limiter le traitement dans certains cas.
- Retrait du consentement (Art. 7) : Retirer votre consentement a tout moment, sans affecter la legalite du traitement anterieur.
Pour exercer vos droits, connectez-vous a votre espace client ("Mon profil" > "Mes donnees") ou contactez-nous a contact@fitapp-preview.online.
5. Securite des donnees
- Hebergement certifie HDS (Hebergeur de Donnees de Sante)
- Chiffrement TLS en transit (HTTPS force, HSTS)
- Chiffrement au repos par le fournisseur d'hebergement
- Audit trail complet : chaque acces aux donnees de sante est trace (acteur, action, date, IP)
- Protection IDOR multi-tenant sur toutes les ressources
- Rate limiting sur toutes les mutations
- Validation des entrees (Zod) contre les injections
- CSP (Content Security Policy) avec nonces
- Cookies securises (httpOnly, secure, SameSite)
6. Conservation des donnees
| Type de donnee | Duree de conservation |
|---|---|
| Audit logs sante | 5 ans (obligation HDS) |
| Check-ins, bilans, nutrition | Duree de la relation + 1 an |
| Messages | 2 ans |
| Photos/videos | Duree de la relation + 6 mois |
| Notes vocales | Duree de la relation + 3 mois |
| Invitations expirees | 30 jours apres expiration |
| Comptes supprimes | 30 jours (grace), puis purge definitive |
7. Cookies
Nous utilisons uniquement des cookies essentiels au fonctionnement de l'application (authentification, securite). Consultez notre politique cookies pour plus de details.
8. Reclamation
Si vous estimez que le traitement de vos donnees n'est pas conforme, vous pouvez introduire une reclamation aupres de la CNIL (Commission Nationale de l'Informatique et des Libertes) :
- Site web : www.cnil.fr
- Adresse : CNIL, 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07