Retour a l'accueil

Politique de traitement des donnees

Derniere mise a jour : Mars 2026

1. Definitions

  • Responsable de traitement : TrackMyPhysique SAS, qui determine les finalites et les moyens du traitement des donnees personnelles.
  • Sous-traitant : toute entite traitant des donnees personnelles pour le compte du Responsable de traitement (ex. : Stripe, hebergeur).
  • Personne concernee : toute personne physique identifiee ou identifiable dont les donnees personnelles sont traitees par la Plateforme.
  • Donnees personnelles : toute information se rapportant a une personne physique identifiee ou identifiable, au sens de l'article 4 du RGPD.
  • Donnees de sante : donnees a caractere personnel relatives a la sante physique ou mentale d'une personne, au sens de l'article 4(15) du RGPD, constituant une categorie particuliere de donnees (article 9).
  • Traitement : toute operation ou ensemble d'operations effectuees sur des donnees personnelles (collecte, enregistrement, stockage, modification, consultation, transmission, effacement).

2. Finalites du traitement

Les donnees personnelles collectees sur la Plateforme sont traitees pour les finalites suivantes :

  • Fourniture du Service : gestion des comptes utilisateurs, suivi physique et sportif, communication coach-sportif, generation de rapports et prescriptions.
  • Gestion commerciale : traitement des abonnements, facturation, recouvrement et support client.
  • Amelioration du Service : analyse de l'utilisation de la Plateforme, statistiques anonymisees, optimisation des fonctionnalites.
  • Securite : prevention de la fraude, detection des intrusions, gestion des incidents de securite, journalisation des acces.
  • Obligations legales : respect des obligations comptables, fiscales et reglementaires, reponse aux requisitions judiciaires.

3. Types de donnees traitees

Donnees d'identification

Nom, prenom, adresse email, mot de passe chiffre (PBKDF2), photo de profil, role (coach/sportif/admin), date de creation du compte.

Donnees physiques

Poids, taille, mensurations corporelles (tour de taille, tour de bras, etc.), photos de progression, objectifs physiques et sportifs.

Donnees de sante (categorie particuliere - article 9 RGPD)

Bilans sanguins et resultats d'analyses, antecedents medicaux declares, prescriptions nutritionnelles et supplementaires, informations relatives au bien-etre et a la forme physique.

Donnees de facturation

Informations de paiement (traitees par Stripe, non stockees sur nos serveurs), historique de facturation, plan d'abonnement souscrit.

Donnees techniques

Adresses IP, journaux de connexion, appareil et navigateur utilises, systeme d'exploitation, pages visitees, actions effectuees, cookies et traceurs.

Donnees de coaching

Protocoles et prescriptions, messages echanges entre coach et sportif, notes du coach sur le sportif, programmes d'entrainement, resultats de check-ins, ressources partagees.

4. Bases legales du traitement

Conformement a l'article 6 du RGPD, chaque traitement repose sur une base legale specifique :

Execution du contrat (art. 6.1.b) Fourniture du Service, gestion des comptes, traitement des paiements, communication coach-sportif.
Consentement explicite (art. 9.2.a) Traitement des donnees de sante, photos de progression, bilans sanguins. Ce consentement peut etre retire a tout moment.
Interet legitime (art. 6.1.f) Amelioration du Service, statistiques anonymisees, securite de la Plateforme, prevention de la fraude.
Obligation legale (art. 6.1.c) Obligations comptables et fiscales, reponse aux requisitions judiciaires, conservation des donnees de connexion.

5. Durees de conservation

Les donnees sont conservees pour les durees suivantes, conformement au principe de minimisation du RGPD :

Donnees de compte Duree de l'abonnement + 3 ans apres la derniere activite (prescription legale).
Donnees physiques et photos Duree de l'abonnement + 1 an. Suppression anticipee sur demande de l'utilisateur.
Donnees de sante Duree de l'abonnement + 1 an. Suppression immediate sur retrait du consentement.
Donnees de facturation 10 ans a compter de la derniere transaction (obligation legale comptable).
Journaux de connexion 12 mois (conformement au decret n° 2011-219 du 25 fevrier 2011).
Cookies et traceurs 13 mois maximum (recommandation CNIL).

6. Droits des personnes concernees

Conformement aux articles 15 a 22 du RGPD, toute personne concernee dispose des droits suivants :

  • Droit d'acces (art. 15) : obtenir la confirmation que des donnees vous concernant sont traitees et en recevoir une copie.
  • Droit de rectification (art. 16) : corriger ou completer des donnees inexactes ou incompletes.
  • Droit a l'effacement (art. 17) : obtenir la suppression de vos donnees dans les conditions prevues par le RGPD.
  • Droit a la limitation (art. 18) : demander la limitation du traitement de vos donnees dans certains cas.
  • Droit a la portabilite (art. 20) : recevoir vos donnees dans un format structure, couramment utilise et lisible par machine.
  • Droit d'opposition (art. 21) : vous opposer au traitement de vos donnees fonde sur l'interet legitime.
  • Droit au retrait du consentement (art. 7) : retirer votre consentement a tout moment pour les traitements fondes sur celui-ci.

Pour exercer vos droits, contactez notre DPO a l'adresse dpo@trackmyphysique.com. Nous repondrons dans un delai maximum de 30 jours. En cas de demande complexe, ce delai peut etre prolonge de 60 jours supplementaires.

Vous disposez egalement du droit d'introduire une reclamation aupres de la CNIL (Commission Nationale de l'Informatique et des Libertes) : www.cnil.fr.

7. Mesures de securite

Conformement a l'article 32 du RGPD, nous mettons en oeuvre les mesures techniques et organisationnelles appropriees pour garantir la securite des donnees :

Chiffrement

  • AES-256 : toutes les donnees sensibles sont chiffrees au repos, y compris les photos de progression et les donnees de sante.
  • TLS 1.3 : toutes les communications entre le navigateur et nos serveurs sont chiffrees en transit.
  • PBKDF2 : les mots de passe sont haches avec un algorithme de derivation de cle securise avec sel unique par utilisateur.

Controle d'acces

  • Authentification a deux facteurs (2FA) : disponible pour tous les comptes, fortement recommandee.
  • HMAC : verification d'integrite des tokens d'authentification et des sessions.
  • Gestion des appareils de confiance : systeme de verification des appareils connectes au compte.

Protection applicative

  • CSP (Content Security Policy) : politique de securite du contenu stricte pour prevenir les attaques XSS.
  • Rate limiting : limitation du nombre de requetes pour prevenir les attaques par force brute.
  • Journaux d'audit : toutes les actions sensibles sont enregistrees, horodatees et tracables.
  • Tests de securite : audits reguliers et tests de penetration par des experts independants.

8. Sous-traitants

Les sous-traitants suivants traitent des donnees personnelles pour notre compte, dans le cadre d'accords de traitement de donnees conformes a l'article 28 du RGPD :

Stripe (paiements) Traitement des paiements par carte bancaire. Certifie PCI-DSS niveau 1. Donnees hebergees dans l'UE. Politique de confidentialite : stripe.com/privacy.
Service d'hebergement Infrastructure cloud securisee avec serveurs situes dans l'Union Europeenne. Certifie ISO 27001. Sauvegardes chiffrees quotidiennes.
Service d'email transactionnel Envoi d'emails de notification, de confirmation et de facturation. Donnees traitees dans l'UE.

Le Prestataire s'assure que chaque sous-traitant presente des garanties suffisantes en matiere de protection des donnees et s'engage contractuellement a respecter le RGPD.

9. Transferts internationaux

Les donnees personnelles sont hebergees sur des serveurs situes dans l'Union Europeenne. En principe, aucun transfert de donnees en dehors de l'Espace Economique Europeen (EEE) n'est effectue.

Dans l'hypothese ou un transfert vers un pays tiers serait necessaire (par exemple, pour un sous-traitant disposant de serveurs hors EEE), ce transfert serait encadre par les mecanismes prevus par le RGPD : decision d'adequation de la Commission europeenne, clauses contractuelles types ou regles d'entreprise contraignantes.

10. Notification de violation

Conformement aux articles 33 et 34 du RGPD, en cas de violation de donnees personnelles susceptible d'engendrer un risque pour les droits et libertes des personnes concernees, le Prestataire s'engage a :

  1. Notifier la CNIL dans un delai maximum de 72 heures apres avoir eu connaissance de la violation.
  2. Informer les personnes concernees dans les meilleurs delais si la violation est susceptible d'engendrer un risque sportif pour leurs droits et libertes.
  3. Documenter la violation dans un registre interne, incluant la nature de la violation, les categories de donnees concernees, les consequences probables et les mesures correctives prises.

Le Prestataire dispose d'un plan de reponse aux incidents de securite et effectue des exercices reguliers de simulation de violation de donnees.

11. Delegue a la protection des donnees (DPO)

TrackMyPhysique a designe un Delegue a la Protection des Donnees (DPO) joignable a l'adresse suivante :

Email dpo@trackmyphysique.com
Siege social Paris, France

Le DPO est charge de veiller au respect de la reglementation en matiere de protection des donnees, de conseiller le Prestataire et de servir de point de contact avec la CNIL et les personnes concernees.

12. Cookies et traceurs

La Plateforme utilise des cookies et traceurs pour assurer son fonctionnement et ameliorer l'experience utilisateur.

Cookies essentiels (sans consentement)

Session utilisateur, preferences de langue et de theme, token d'authentification. Ces cookies sont strictement necessaires au fonctionnement du Service.

Cookies analytiques (avec consentement)

Mesure d'audience et analyse de l'utilisation de la Plateforme (Google Analytics). Ces cookies ne sont deposes qu'apres recueil du consentement de l'utilisateur.

L'utilisateur peut gerer ses preferences en matiere de cookies a tout moment depuis le bandeau de consentement ou les parametres de son navigateur. La duree de vie des cookies est limitee a 13 mois conformement aux recommandations de la CNIL.