DOCUMENT LÉGAL · RGPD FRANCE

Politique de confidentialité

Dernière mise à jour : 25 mai 2026

Article 01

Responsable de traitement

PerfDesk SAS (en cours de constitution), représenté par Noann (co-fondateur tech), agit en qualité de responsable de traitement au sens de l'article 4 du Règlement Général sur la Protection des Données (UE) 2016/679 (ci-après RGPD).

Contact pour toute question relative à vos données : [email protected]. PerfDesk n'a pas désigné de Délégué à la Protection des Données, cette désignation n'étant pas obligatoire à ce stade au regard de la nature et du volume des traitements.

Article 02

Données collectées

Données de compte : adresse email, mot de passe hashé (bcrypt rounds=12), nom du club, rôle (coach ou athlète), niveau pressenti (Amateur, Elite).

Données d'entraînement : séances importées depuis Strava ou Garmin Connect via OAuth 2.0 (sport, durée, distance, allures, fréquence cardiaque si autorisée, tags de longueur pour la natation).

Données de santé (optionnelles et opt-in) : si vous activez explicitement le suivi de cycle (consentement consent_cycle_tracking, désactivé par défaut), nous traitons des données relatives à votre cycle menstruel — longueur de cycle, type de contraception, confirmation d'ovulation et phase de cycle courante. Ces données sont stockées chiffrées au repos (chiffrement applicatif Fernet, voir Article 07). Nous traitons par ailleurs, à finalité physiologique, le score LEAF-Q (questionnaire de dépistage du risque de déficit énergétique relatif dans le sport, RED-S), ainsi que le sexe et l'âge renseignés dans votre profil. Le suivi de cycle est strictement facultatif : vous pouvez retirer votre consentement à tout moment et obtenir la suppression immédiate de ces données.

Données techniques : adresse IP, type de navigateur, logs d'accès conservés trente jours pour la sécurité (anti-fraude, audit). Aucun cookie tiers de tracking publicitaire.

Article 03

Finalités et bases légales

Fourniture du service de coaching (lecture IA des séances, génération de fiches narratives, et en club validation/signature par le coach) : exécution du contrat (article 6.1.b RGPD).

Adaptation physiologique des fiches IA à partir des données de santé (suivi de cycle menstruel et score LEAF-Q) : cette finalité, optionnelle et opt-in, repose exclusivement sur votre consentement explicite au traitement de données de santé (article 9.2.a RGPD), et non sur l'article 6 seul. Le traitement n'a lieu que si vous avez activé le suivi de cycle ; vous pouvez retirer ce consentement à tout moment.

Sécurité des comptes, prévention de la fraude : intérêt légitime (article 6.1.f RGPD).

Respect des obligations comptables et fiscales (à partir de l'activation ultérieure de la facturation) : obligation légale (article 6.1.c RGPD).

Article 04

Durée de conservation

Données de compte : pendant la durée du contrat, puis archivées trois ans après la clôture pour gestion des réclamations.

Données d'entraînement : pendant la durée du contrat. Suppression dans un délai maximum de trente jours après déconnexion de la source (Strava ou Garmin).

Logs techniques : trente jours glissants.

Article 05

Destinataires et sous-traitants

Hébergement infrastructure : VPS Ubuntu en Europe (Ionos, Allemagne), couche orchestration Dokploy. Backups chiffrés sur Cloudflare R2 (UE).

Routage email transactionnel : Resend, basé en Irlande, conforme RGPD UE.

Génération IA de fiches : Anthropic PBC (États-Unis, modèles claude-sonnet-4-6 et claude-opus-4-7). Les séances sont transmises à Anthropic via API selon leur Data Processing Addendum et des clauses contractuelles types encadrant le transfert hors Union Européenne. Lorsque le suivi de cycle est activé, la phase de cycle de l'athlète est en outre injectée dans le prompt envoyé à Anthropic : ce transfert porte alors sur une donnée de santé hors Union Européenne (Chapitre V du RGPD), encadré par les mêmes clauses contractuelles types et le Data Processing Addendum. Conformément aux conditions commerciales de l'API, ces données ne sont pas utilisées pour entraîner les modèles d'Anthropic.

Strava Inc. et Garmin Ltd. : connecteurs OAuth, lecture seule des données d'entraînement autorisées par l'athlète.

Article 06

Droits des personnes

Conformément aux articles 15 à 22 du RGPD, vous disposez d'un droit d'accès, de rectification, d'effacement, de limitation du traitement, d'opposition et à la portabilité de vos données.

Pour exercer ces droits, envoyez un email à [email protected] accompagné d'une preuve d'identité. Réponse sous un mois maximum (délai légal RGPD).

Réclamation : vous pouvez introduire une réclamation auprès de la CNIL (3 place de Fontenoy, 75007 Paris, www.cnil.fr).

Article 07

Sécurité

Chiffrement TLS 1.3 en transit. Chiffrement applicatif au niveau colonne (Fernet, clés distinctes par environnement) sur les données d'entraînement brutes et les payloads connecteurs.

Defense in Depth : Cloudflare, UFW, pare-feu Ionos, fail2ban, CrowdSec, isolation Docker, profils AppArmor. Backups R2 quotidiens.

En cas de violation de données, la CNIL et les personnes concernées seront notifiées dans les conditions prévues par les articles 33 et 34 du RGPD.

Article 08

Mise à jour de la politique

La présente politique peut être mise à jour pour refléter les évolutions du service ou de la réglementation. Toute modification substantielle sera notifiée par email aux utilisateurs au moins quinze jours avant son entrée en vigueur.