shield RGPD & Confidentialité

Politique de confidentialité

Dernière mise à jour : 26 mars 2026 — Applicable aux services Trainabble (app mobile) et Trainabble Pro (logiciel web)

1. Responsable du traitement

La présente politique décrit comment Théo AMILCAR, micro-entrepreneur, collecte, utilise et protège vos données personnelles conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) et à la loi Informatique et Libertés.

Responsable	Théo AMILCAR
SIRET	98100650500011
Adresse	Poligné 35320, France
Contact	theoamlc14@gmail.com

2. Données collectées

Selon les services utilisés, nous collectons les catégories de données suivantes :

Données d'identification & de compte

• Prénom et nom de famille
• Adresse e-mail (fournie via Google Sign-In ou Apple Sign-In)
• Photo de profil (optionnelle, issue du fournisseur d'identité)
• Identifiant unique Firebase (UID)

Données de santé & condition physique

Article 9 RGPD

• Poids, taille, mensurations corporelles (saisis manuellement)
• Données d'activité physique depuis Apple HealthKit (iOS) : fréquence cardiaque, calories, pas, activités (avec consentement)
• Données d'activité depuis Google Fit (Android) : activités, calories, pas (avec consentement)
• Activités sportives depuis Strava : durée, distance, type d'activité, carte de parcours (avec autorisation OAuth)

Données sportives & nutritionnelles

• Séances d'entraînement : exercices effectués, séries, répétitions, charges
• Journal alimentaire : aliments consommés, quantités, macronutriments
• Programmes d'entraînement et plans nutritionnels créés ou assignés
• Réponses aux formulaires de bilan

Données de communication

• Messages échangés via la messagerie intégrée entre coach et client
• Notifications push (avec consentement)

Données de paiement & facturation

• Historique des transactions (montant, date, produit) — les données bancaires sont traitées directement par Stripe ou les stores (Apple/Google)
• Données de facturation (nom, e-mail) pour les reçus

Données de navigation & techniques

• Logs Firebase : date/heure des connexions, adresse IP, type d'appareil, version de l'app
• Journaux d'erreurs et de performance (crash reports)

3. Finalités & bases légales

Finalité	Base légale
Création et gestion des comptes utilisateurs	Exécution du contrat
Fourniture des fonctionnalités de suivi sportif et nutritionnel	Exécution du contrat
Traitement des données de santé (HealthKit, Google Fit, Strava, mensurations)	Consentement explicite
Gestion de la relation coach-client (messagerie, programmes)	Exécution du contrat
Traitement des paiements et gestion de la facturation	Exécution du contrat
Envoi d'e-mails transactionnels (confirmations, notifications)	Exécution du contrat
Amélioration du service, détection des bugs et performances	Intérêt légitime
Respect des obligations légales et comptables	Obligation légale
Envoi de communications marketing (newsletters)	Consentement

4. Données de santé — Traitement spécial (Art. 9 RGPD)

health_and_safety

Les données relatives à la santé constituent une catégorie particulière nécessitant une protection renforcée. Leur traitement repose exclusivement sur votre consentement explicite et révocable.

Apple HealthKit (iOS)

L'accès à HealthKit est demandé explicitement à l'installation. Les données lues (activité, fréquence cardiaque, sommeil) sont utilisées uniquement pour enrichir votre tableau de bord. Elles ne sont pas partagées avec des tiers à des fins publicitaires. Apple impose des règles strictes à cet égard. Vous pouvez révoquer l'accès dans Réglages → Santé → Accès aux données → Trainabble.

Google Fit (Android)

L'accès à Google Fit est demandé explicitement. Mêmes engagements que HealthKit. Révocable dans Paramètres → Applications → Trainabble → Autorisations.

Strava

La connexion Strava se fait via OAuth. Nous accédons aux activités sportives (type, durée, distance, carte de parcours si rendue publique sur Strava) pour les afficher dans votre profil et à votre coach. Vous pouvez déconnecter Strava à tout moment depuis les paramètres de l'application ou depuis strava.com/settings/apps.

5. Destinataires & sous-traitants

Vos données sont exclusivement partagées avec les sous-traitants nécessaires au fonctionnement du service. Nous n'utilisons pas vos données à des fins publicitaires et ne les vendons pas.

Google Firebase

USA · CCT

Base de données (Firestore), authentification, stockage de fichiers, fonctions back-end. Région de traitement : europe-west1 (Belgique) pour les données. Couvert par les Clauses Contractuelles Types (CCT).

Vercel Inc.

USA · CCT

Hébergement du site web trainabble.com. Données de navigation (IP, logs) transitent par les serveurs de Vercel. Couvert par les CCT.

Stripe, Inc.

USA/EU · CCT

Traitement des paiements (logiciel web). Les données bancaires sont gérées par Stripe et ne transitent pas par nos serveurs. Entité européenne : Stripe Payments Europe Ltd (Irlande).

RevenueCat, Inc.

USA · CCT

Gestion des achats intégrés (In-App Purchases) sur l'application mobile. Partage : identifiant utilisateur anonymisé, statut d'abonnement.

Resend, Inc.

USA · CCT

Envoi d'e-mails transactionnels (confirmation de commande, invitations, notifications). Partage : adresse e-mail du destinataire et contenu du message.

Google Meet (Google LLC)

USA · CCT

Création automatique de liens de visioconférence pour les séances en ligne réservées. Seul le lien de réunion est créé via l'API Google Calendar du compte coach.

Apple / Google (Stores)

Voir leurs CGU

Distribution de l'application via l'App Store et le Google Play Store. Ces plateformes collectent leurs propres données conformément à leurs politiques respectives.

6. Transferts hors Union européenne

Certains de nos sous-traitants (Firebase, Vercel, Stripe, RevenueCat, Resend) sont établis aux États-Unis. Ces transferts sont encadrés par les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne, conformément à l'article 46 du RGPD, garantissant un niveau de protection adéquat.

Pour Firebase, les données sont principalement stockées et traitées en europe-west1 (Belgique, UE), ce qui minimise les transferts hors UE.

7. Durées de conservation

Catégorie de données	Durée
Données de compte et d'utilisation	Durée de la relation contractuelle + 90 jours après suppression
Données de santé (mensurations, activités)	Durée du compte actif + 90 jours
Messages et contenus	Durée du compte actif + 90 jours
Données de facturation et paiements	10 ans (obligation comptable légale)
Logs de connexion et sécurité	12 mois

À l'expiration de ces délais, vos données sont supprimées définitivement ou anonymisées de manière irréversible.

8. Sécurité des données

Nous mettons en œuvre des mesures techniques et organisationnelles adaptées pour protéger vos données contre tout accès non autorisé, perte, divulgation ou altération :

•Authentification sécurisée via Firebase Auth (Google/Apple OAuth — aucun mot de passe stocké)
•Chiffrement des données en transit (HTTPS/TLS) et au repos (Firebase Storage & Firestore)
•Règles de sécurité Firestore : chaque utilisateur n'accède qu'à ses propres données
•Paiements traités exclusivement par Stripe (certifié PCI DSS Niveau 1) — aucune donnée bancaire stockée sur nos serveurs
•Accès au back-end restreint à l'Éditeur

En cas de violation de données susceptible d'engendrer un risque élevé pour vos droits et libertés, vous serez informé dans les meilleurs délais conformément à l'article 34 du RGPD.

9. Vos droits RGPD

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants sur vos données :

Droit d'accès

Obtenir une copie de vos données et savoir comment elles sont traitées.

Droit de rectification

Corriger des données inexactes ou incomplètes vous concernant.

Droit à l'effacement

Demander la suppression de vos données (sous réserve des obligations légales de conservation).

Droit à la portabilité

Recevoir vos données dans un format structuré et lisible par machine.

Droit d'opposition

Vous opposer au traitement fondé sur l'intérêt légitime ou à des fins de prospection.

Droit à la limitation

Demander le gel du traitement dans certaines circonstances.

Retrait du consentement

Révoquer à tout moment un consentement donné (ex. HealthKit, Strava, notifications).

Directives post-mortem

Définir le sort de vos données après votre décès.

Pour exercer ces droits, adressez votre demande par e-mail à theoamlc14@gmail.com. Nous répondrons dans un délai maximum d'un mois. Une pièce d'identité peut être demandée pour vérifier votre identité.

10. Cookies & traceurs

Le site web trainabble.com utilise uniquement des cookies strictement nécessaires au fonctionnement :

•Cookie de session Firebase Auth : maintient votre session de connexion (durée : session ou 30 jours selon choix).
•Préférence de thème (localStorage) : mémorise votre choix clair/sombre.
•Consentement cookies (localStorage) : mémorise votre choix de consentement.

Nous n'utilisons pas de cookies de traçage, de ciblage publicitaire ou d'analyse de comportement tiers (pas de Google Analytics, pas de pixels publicitaires).

11. Modifications de la politique

Nous pouvons mettre à jour la présente politique pour refléter des évolutions réglementaires, techniques ou liées à nos services. La date de « dernière mise à jour » en haut de page sera modifiée. En cas de changement substantiel (nouvelles catégories de données, nouveaux sous-traitants), vous serez informé par e-mail ou notification dans l'application.

12. Contact & réclamation CNIL

Contacter le responsable

Pour toute question ou demande d'exercice de vos droits :

mail theoamlc14@gmail.com

Réclamation auprès de la CNIL

Si vous estimez que le traitement de vos données ne respecte pas la réglementation, vous pouvez introduire une réclamation auprès de la CNIL :

open_in_new cnil.fr/fr/plaintes