Politique de confidentialité
Dernière mise à jour : 25 mai 2026
Responsable de traitement
PerfDesk SAS (en cours de constitution), représenté par Noann (co-fondateur tech), agit en qualité de responsable de traitement au sens de l'article 4 du Règlement Général sur la Protection des Données (UE) 2016/679 (ci-après RGPD).
Contact pour toute question relative à vos données : [email protected]. PerfDesk n'a pas désigné de Délégué à la Protection des Données, cette désignation n'étant pas obligatoire à ce stade au regard de la nature et du volume des traitements.
Données collectées
Données de compte : adresse email, mot de passe hashé (bcrypt rounds=12), nom du club, rôle (coach ou athlète), niveau pressenti (Amateur, Elite).
Données d'entraînement : séances importées depuis Strava ou Garmin Connect via OAuth 2.0 (sport, durée, distance, allures, fréquence cardiaque si autorisée, tags de longueur pour la natation).
Données de santé (optionnelles et opt-in) : si vous activez explicitement le suivi de cycle (consentement consent_cycle_tracking, désactivé par défaut), nous traitons des données relatives à votre cycle menstruel — longueur de cycle, type de contraception, confirmation d'ovulation et phase de cycle courante. Ces données sont stockées chiffrées au repos (chiffrement applicatif Fernet, voir Article 07). Nous traitons par ailleurs, à finalité physiologique, le score LEAF-Q (questionnaire de dépistage du risque de déficit énergétique relatif dans le sport, RED-S), ainsi que le sexe et l'âge renseignés dans votre profil. Le suivi de cycle est strictement facultatif : vous pouvez retirer votre consentement à tout moment et obtenir la suppression immédiate de ces données.
Données techniques : adresse IP, type de navigateur, logs d'accès conservés trente jours pour la sécurité (anti-fraude, audit). Aucun cookie tiers de tracking publicitaire.
Finalités et bases légales
Fourniture du service de coaching (lecture IA des séances, génération de fiches narratives, et en club validation/signature par le coach) : exécution du contrat (article 6.1.b RGPD).
Adaptation physiologique des fiches IA à partir des données de santé (suivi de cycle menstruel et score LEAF-Q) : cette finalité, optionnelle et opt-in, repose exclusivement sur votre consentement explicite au traitement de données de santé (article 9.2.a RGPD), et non sur l'article 6 seul. Le traitement n'a lieu que si vous avez activé le suivi de cycle ; vous pouvez retirer ce consentement à tout moment.
Sécurité des comptes, prévention de la fraude : intérêt légitime (article 6.1.f RGPD).
Respect des obligations comptables et fiscales (à partir de l'activation ultérieure de la facturation) : obligation légale (article 6.1.c RGPD).
Durée de conservation
Données de compte : pendant la durée du contrat, puis archivées trois ans après la clôture pour gestion des réclamations.
Données d'entraînement : pendant la durée du contrat. Suppression dans un délai maximum de trente jours après déconnexion de la source (Strava ou Garmin).
Logs techniques : trente jours glissants.
Destinataires et sous-traitants
Hébergement infrastructure : VPS Ubuntu en Europe (Ionos, Allemagne), couche orchestration Dokploy. Backups chiffrés sur Cloudflare R2 (UE).
Routage email transactionnel : Resend, basé en Irlande, conforme RGPD UE.
Génération IA de fiches : Anthropic PBC (États-Unis, modèles claude-sonnet-4-6 et claude-opus-4-7). Les séances sont transmises à Anthropic via API selon leur Data Processing Addendum et des clauses contractuelles types encadrant le transfert hors Union Européenne. Lorsque le suivi de cycle est activé, la phase de cycle de l'athlète est en outre injectée dans le prompt envoyé à Anthropic : ce transfert porte alors sur une donnée de santé hors Union Européenne (Chapitre V du RGPD), encadré par les mêmes clauses contractuelles types et le Data Processing Addendum. Conformément aux conditions commerciales de l'API, ces données ne sont pas utilisées pour entraîner les modèles d'Anthropic.
Strava Inc. et Garmin Ltd. : connecteurs OAuth, lecture seule des données d'entraînement autorisées par l'athlète.
Droits des personnes
Conformément aux articles 15 à 22 du RGPD, vous disposez d'un droit d'accès, de rectification, d'effacement, de limitation du traitement, d'opposition et à la portabilité de vos données.
Pour exercer ces droits, envoyez un email à [email protected] accompagné d'une preuve d'identité. Réponse sous un mois maximum (délai légal RGPD).
Réclamation : vous pouvez introduire une réclamation auprès de la CNIL (3 place de Fontenoy, 75007 Paris, www.cnil.fr).
Sécurité
Chiffrement TLS 1.3 en transit. Chiffrement applicatif au niveau colonne (Fernet, clés distinctes par environnement) sur les données d'entraînement brutes et les payloads connecteurs.
Defense in Depth : Cloudflare, UFW, pare-feu Ionos, fail2ban, CrowdSec, isolation Docker, profils AppArmor. Backups R2 quotidiens.
En cas de violation de données, la CNIL et les personnes concernées seront notifiées dans les conditions prévues par les articles 33 et 34 du RGPD.
Mise à jour de la politique
La présente politique peut être mise à jour pour refléter les évolutions du service ou de la réglementation. Toute modification substantielle sera notifiée par email aux utilisateurs au moins quinze jours avant son entrée en vigueur.