Politique de confidentialité
Quelles données nous traitons, pourquoi, et comment exercer vos droits.
Version 1.0 — 2026-05-28En résumé (TL;DR)
- Nous récupérons vos données depuis Strava pour vous fournir un coaching personnalisé.
- Vous renseignez volontairement des données de santé (douleurs, fatigue, blessures) qui permettent au coach IA d'adapter ses conseils.
- Vos messages au coach sont traités par des modèles d'IA externes (Google Gemini, Mistral, Groq) — détaillés ci-dessous.
- Vous pouvez demander la suppression complète de votre compte à tout moment, en autonomie depuis votre profil.
- Nous ne revendons jamais vos données et ne les utilisons pas à des fins publicitaires.
Responsable du traitement
Sébastien Risso, éditeur du site MyFitCoach, est responsable du traitement de vos données personnelles.
Pour toute question relative à vos données ou pour exercer vos droits, contactez : sebastien.risso@gmail.com
Données collectées
Données de compte
Exemples : Identifiant Strava, prénom, nom, email, sexe, date de naissance, poids, ville.
Origine : Récupérées automatiquement depuis Strava lors de la connexion OAuth.
Finalité : Identification de l'utilisateur et personnalisation du coaching.
Base légale : Exécution du contrat (CGU acceptées au login).
Durée de conservation : Tant que le compte est actif. Suppression sous 30 jours après demande.
Données sportives
Exemples : Historique des activités (course, vélo, natation), distances, allures, fréquence cardiaque, dénivelé, dates.
Origine : Récupérées depuis l'API Strava.
Finalité : Analyse, génération de plans d'entraînement, conseils du coach IA.
Base légale : Exécution du contrat.
Durée de conservation : Tant que le compte est actif.
Données de santé (déclaratives)
Exemples : Blessures déclarées, douleurs ressenties (1-10), humeur (1-5), VMA, FCmax, zones de fréquence cardiaque.
Origine : Renseignées volontairement par l'utilisateur dans son profil ou via les retours quotidiens.
Finalité : Adapter les recommandations à l'état de santé de l'utilisateur.
Base légale : Consentement explicite (case à cocher) + intérêt vital.
Durée de conservation : Tant que le compte est actif. L'utilisateur peut retirer son consentement à tout moment.
Conversations avec le coach IA
Exemples : Messages échangés avec le coach IA, plans générés, ratings 👍/👎.
Origine : Saisis par l'utilisateur ou générés par les modèles d'IA.
Finalité : Mémoire long-terme du coach, mesure de la qualité des réponses.
Base légale : Exécution du contrat + intérêt légitime (amélioration du service).
Durée de conservation : Tant que le compte est actif.
Données de connexion
Exemples : Adresse IP, dates et heures de connexion.
Origine : Capturées automatiquement.
Finalité : Sécurité, prévention des abus.
Base légale : Intérêt légitime.
Durée de conservation : 12 mois maximum.
Traitement par des modèles d'IA externes
Le coach IA repose sur plusieurs modèles de langage hébergés par des sous-traitants spécialisés. Lorsque vous discutez avec le coach, ou lorsque vous demandez la génération d'un plan, certaines de vos données sont transmises à ces sous-traitants pour traitement.
| Sous-traitant | Rôle | Données envoyées | Localisation |
|---|---|---|---|
| Google Gemini API Politique |
Génération des réponses du coach IA (analyse, plans, conseils). | Profil sportif, historique d'activités Strava, messages utilisateur. | Union européenne / États-Unis (transferts encadrés par les Clauses Contractuelles Types européennes) |
| Groq Politique |
Classification rapide des intentions utilisateur (routing). | Message utilisateur uniquement (texte court, sans profil). | États-Unis |
| OpenRouter (Mistral Medium) Politique |
Génération du contenu des plans d'entraînement. | Profil sportif et messages utilisateur lors de la génération de plans. | Union européenne / États-Unis |
Autres sous-traitants techniques
| Service | Rôle | Données | Localisation |
|---|---|---|---|
| Google Firebase / Firestore Politique |
Stockage de l'ensemble des données utilisateur. | Toutes les données du compte utilisateur. | Union européenne (europe-west1 — Belgique) |
| Strava Politique |
Source d'authentification (OAuth2) et fournisseur des données d'activités sportives. | Identifiants OAuth uniquement. Strava nous fournit en retour vos activités et profil. | États-Unis |
| Intervals.icu (optionnel) Politique |
Synchronisation des plans d'entraînement vers la montre connectée. | Plans d'entraînement uniquement, si l'utilisateur connecte son compte. | Royaume-Uni |
| Sentry Politique |
Surveillance des erreurs techniques en production. | Logs techniques et métadonnées (URL, type d'erreur). Aucune donnée santé directement transmise. | Union européenne (région DE) |
| Telegram Bot API (optionnel) Politique |
Envoi de rappels push si l'utilisateur a connecté son compte Telegram. | Messages courts uniquement. | International |
Tous les sous-traitants ont été sélectionnés pour leur conformité aux exigences du RGPD. Les transferts hors Union européenne sont encadrés par les Clauses Contractuelles Types européennes.
Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès : obtenir une copie de vos données.
- Droit de rectification : corriger les données inexactes.
- Droit à l'effacement : supprimer votre compte et toutes vos données (voir ci-dessous).
- Droit à la portabilité : récupérer vos données dans un format structuré (JSON).
- Droit d'opposition : vous opposer à certains traitements (par exemple, l'analyse de vos conversations pour l'amélioration du service).
- Droit de retirer votre consentement : à tout moment, sans que cela n'affecte la licéité des traitements antérieurs.
Pour exercer ces droits, deux options :
- Auto-service : connectez-vous à votre compte → menu → Supprimer mon compte.
- Sur demande : envoyez un email à sebastien.risso@gmail.com. Nous répondons dans un délai maximal de 30 jours.
Vous disposez également du droit d'introduire une réclamation auprès de la CNIL si vous estimez que vos droits ne sont pas respectés.
Durée de conservation
Vos données sont conservées tant que votre compte est actif. Après suppression de votre compte, elles sont effacées dans un délai maximal de 30 jours, à l'exception des données strictement nécessaires à nos obligations légales (par exemple, journaux de connexion pendant 12 mois).
Les logs techniques anonymisés (Sentry) sont conservés 30 jours maximum.
Cookies et traceurs
MyFitCoach utilise uniquement des cookies strictement nécessaires au fonctionnement du service :
session: permet de vous maintenir connecté. Durée : durée de la session.access_token,refresh_token: jetons d'authentification Strava. Durée : 6 heures (renouvelés automatiquement).
Aucun cookie de traçage ou de publicité n'est déposé. Aucune solution d'analytics tierce (Google Analytics, Facebook Pixel…) n'est utilisée.
Sécurité
Les mesures suivantes sont mises en place pour protéger vos données :
- Chiffrement des connexions en HTTPS (TLS 1.2+).
- Hachage bcrypt des mots de passe administrateur.
- Tokens Strava chiffrés au repos.
- Quotas et rate limiting pour prévenir les abus.
- Sauvegardes régulières des données utilisateur.
- Surveillance des erreurs en production via Sentry.
En cas d'incident de sécurité affectant vos données, vous serez notifié(e) dans les meilleurs délais.
Modifications de la politique
Cette politique peut être modifiée pour refléter des évolutions techniques, réglementaires ou de l'organisation. La date de mise à jour est indiquée en haut du document. Toute modification substantielle sera notifiée aux utilisateurs.