RGPD France — données, droits, hébergement

La conformité RGPD est un prérequis pour servir des clubs. Voici ce que PerfDesk fait, ne fait pas, et comment exercer vos droits.

Où sont stockées vos données

PerfDesk est hébergé en Europe chez Ionos (Allemagne). Les données ne sortent jamais de l'Union Européenne. Le mail transactionnel passe par Resend (Irlande, eu-west-1, conforme RGPD UE).

Ce qu'on collecte

  • Identifiants compte (email, mot de passe hashé bcrypt rounds=12).
  • Données déclaratives (prénom, niveau, club rattaché).
  • Séances Strava/Garmin (uniquement avec autorisation OAuth explicite).
  • Fiches générées par l'IA : séances transmises à Anthropic (Claude, USA) via API, encadrées par leur Data Processing Addendum et des clauses contractuelles types (transfert hors-UE encadré). Conformément aux conditions commerciales de l'API, ces données ne sont pas utilisées pour entraîner les modèles d'Anthropic.

Vos droits

  • Accès : télécharger toutes vos données au format JSON depuis Paramètres > Mes données.
  • Rectification : modifier profil et séances tagguées à tort.
  • Effacement : suppression complète du compte sous 30 jours.
  • Portabilité : export JSON + GPX/FIT brut des séances.
  • Opposition : révoquer Strava/Garmin à tout moment.
  • Plainte CNIL : cnil.fr/plaintes (délai légal 2 mois).

Sous-traitants

Trois sous-traitants : Ionos (hébergement Europe, Allemagne), Anthropic (IA Claude, USA — données traitées via API selon leur Data Processing Addendum et clauses contractuelles types pour un transfert hors-UE sécurisé), Resend (mail, Irlande). Pas d'autres prestataires tiers. Pas de tracking publicitaire, pas de Google Analytics.