Politique de Confidentialité

Cette politique explique de manière transparente quelles données te concernant nous collectons, pourquoi, où elles sont stockées et quels sont tes droits.

1. Responsable du traitement

RUNCALIX (BETA), À compléter
Contact : [email protected]

2. Données collectées

Catégorie	Détails	Base légale
Identification	Email, prénom, nom, mot de passe (hashé PBKDF2-SHA256, 200 000 itérations)	Exécution du contrat
Profil sportif	Objectif de course, distance, dénivelé, jours d'entraînement préférés	Exécution du contrat
Biométrie sensible	Âge, taille, poids, masse grasse, FC repos/max, HRV, sommeil, énergie	Consentement explicite (renouvelable)
Activités sportives	Données Strava (distance, dénivelé, FC moyenne, allure) — uniquement si tu as connecté Strava	Consentement (OAuth Strava)
Feedback / sessions	RPE ressenti, durée, notes textuelles, score objectif	Exécution du contrat
Logs techniques	Adresse IP (logs serveur, 30 jours), user-agent	Intérêt légitime (sécurité)

3. Finalités

• Fournir le service de coaching personnalisé (séances, nutrition, prédictions)
• Calculer les indicateurs de performance (VDOT, ACWR, sRPE, TRIMP)
• Adapter les recommandations à ton profil biométrique
• Garantir la sécurité du compte et lutter contre la fraude
• T'envoyer des notifications strictement liées au service (jamais de marketing tiers)

4. Durée de conservation

• Compte actif : pendant toute la durée d'utilisation
• Compte inactif (>24 mois sans connexion) : suppression automatique après notification email
• Suppression sur demande : effective sous 7 jours
• Logs techniques : 30 jours
• Sauvegardes chiffrées : conservées 90 jours puis purgées

5. Sous-traitants et destinataires

Partenaire	Rôle	Localisation
Render Inc. — 525 Brannan St, San Francisco, CA	Hébergement applicatif et base de données	(voir conditions du fournisseur)
OpenAI	Génération de séances par IA (GPT-4o). Tes données biométriques anonymisées et tes feedbacks sont envoyés au prompt à chaque génération.	États-Unis — Clauses contractuelles types UE
Strava	Intégration OAuth 2.0. Nous récupérons tes activités via leur API si tu autorises la connexion.	États-Unis — Clauses contractuelles types UE

Nous ne vendons, ne louons et ne partageons jamais tes données avec des tiers à des fins publicitaires.

6. Tes droits (articles 15 à 22 RGPD)

• Accès : télécharge l'intégralité de tes données depuis ton profil (bouton « Exporter mes données »)
• Rectification : modifie ton profil à tout moment
• Suppression / Droit à l'oubli : bouton « Supprimer mon compte » dans ton profil → effacement immédiat
• Limitation : tu peux désactiver Strava sans supprimer ton compte
• Portabilité : export au format JSON standard
• Opposition : retrait du consentement à tout moment
• Réclamation : tu peux saisir la CNIL (autorité française) si tu estimes tes droits non respectés.

Pour exercer ces droits, écris à [email protected] ou utilise les boutons dédiés dans ton profil.

7. Cookies

Le Service utilise UNIQUEMENT un cookie strictement nécessaire (coach_session) pour maintenir ta session connectée. Aucun cookie publicitaire, aucun tracker analytics tiers (Google Analytics, Meta Pixel, etc.).

8. Sécurité

• Mots de passe hashés (PBKDF2-SHA256, 200 000 itérations + sel aléatoire)
• HTTPS obligatoire en production
• Cookies HttpOnly + SameSite=Lax
• Sauvegardes chiffrées quotidiennes
• Tokens Strava stockés en base, jamais exposés côté client

9. Mineurs

Le Service n'est pas destiné aux moins de 15 ans. Pour les mineurs entre 15 et 18 ans, l'autorisation des représentants légaux est requise.

10. Mise à jour de la politique

Toute modification substantielle te sera notifiée par email avant entrée en vigueur. La version courante est toujours accessible à /privacy.