Politique de confidentialité
1. Responsable du traitement
Le responsable du traitement des données personnelles est :
- Société
- VELKORA CONSULTING S.à r.l.-S
- RCS
- Luxembourg B306876
- Siège
- 7 Avenue des Bains, L-5610 Mondorf-les-Bains, Luxembourg
- Contact
- contact@athletly.lu
2. Données collectées
Nous collectons les catégories de données suivantes :
2.1 — Données d'identification
- Adresse e-mail
- Nom et prénom
- Mot de passe (stocké de manière chiffrée et non lisible)
- Rôle (coach ou athlète)
2.2 — Données de profil sportif (optionnelles)
- Date de naissance, sexe, taille, niveau d'activité
- Objectif personnel
- Photo de profil
- Coordonnées de contact (téléphone)
2.3 — Données d'activité physique
- Programmes d'entraînement créés ou assignés
- Séances enregistrées : exercices, séries, poids, durée, fréquence cardiaque éventuelle
- Photos de progression (uploadées volontairement)
2.4 — Données de santé et nutrition
- Poids, masse grasse, masse musculaire (saisis manuellement)
- Journal alimentaire : repas, aliments, macronutriments, hydratation
- Photos de plats (envoyées à l'IA pour analyse, puis supprimées après traitement)
- Aliments favoris et préférences nutritionnelles
Important : les données de santé sont traitées avec une attention particulière. Elles ne sont accessibles qu'à toi-même et, si applicable, à ton coach (avec ton consentement implicite lors de l'établissement de la relation coach/athlète).
2.5 — Données de communication
- Messages échangés entre coach et athlète via la messagerie intégrée
2.6 — Données techniques
- Adresse IP (anonymisée pour les statistiques)
- Type de navigateur et appareil
- Horodatage des connexions
3. Finalités du traitement
Tes données personnelles sont collectées et traitées pour les finalités suivantes :
- Fournir le Service : créer ton compte, gérer ton authentification, te permettre d'utiliser les fonctionnalités d'Athletly
- Personnaliser ton expérience : adapter les suggestions IA à tes objectifs et favoris
- Communiquer : t'envoyer les notifications relatives à ton compte, répondre à tes demandes
- Améliorer le Service : analyser l'usage de l'app (de manière agrégée et anonymisée)
- Facturer : gérer la relation contractuelle et la facturation
- Respecter nos obligations légales : comptabilité, lutte contre la fraude
4. Bases légales du traitement
Les traitements reposent sur les bases légales suivantes (art. 6 RGPD) :
- Exécution du contrat : pour fournir le Service auquel tu as souscrit
- Consentement explicite : pour les données de santé sensibles (art. 9 RGPD), recueilli au moment de la saisie
- Intérêt légitime : sécurité du Service, prévention de la fraude
- Obligation légale : conservation des factures et données comptables
5. Destinataires des données
Tes données ne sont jamais vendues. Elles sont accessibles uniquement :
- À toi-même en permanence depuis ton compte
- À ton coach (si tu as un coach), uniquement les données nécessaires au coaching
- À nos sous-traitants techniques, soumis à des obligations contractuelles de confidentialité et de sécurité conformes au RGPD :
- Supabase
- Stockage des données utilisateurs (Frankfurt, UE)
- Netlify
- Hébergement du site et de l'application (États-Unis, avec garanties contractuelles type SCC)
- Anthropic (Claude)
- Traitement IA des suggestions de repas, analyses photo et OCR (États-Unis, avec garanties contractuelles type SCC). Les photos de plats et tableaux nutritionnels sont envoyées pour analyse puis non conservées par Anthropic au-delà du temps de traitement. L'IA peut commettre des erreurs et le Client est responsable de vérifier les résultats avant validation.
- Open Food Facts
- Base de données nutritionnelles publique (France, UE) — uniquement pour les requêtes de code-barres
6. Transferts hors UE
Certains de nos sous-traitants (Netlify, Anthropic) sont basés aux États-Unis. Ces transferts sont encadrés par des Clauses Contractuelles Types (Standard Contractual Clauses) validées par la Commission européenne, assurant un niveau de protection adéquat conformément aux articles 44 à 50 du RGPD.
Le stockage principal des données utilisateurs (Supabase) est situé en Allemagne, au sein de l'UE.
7. Durée de conservation
- Compte actif : tes données sont conservées tant que ton compte est actif.
- Compte inactif : après 24 mois sans connexion, nous t'envoyons une notification ; sans réponse de ta part sous 30 jours, ton compte est désactivé.
- Demande de suppression : tes données sont supprimées sous 30 jours à compter de ta demande (hors obligations légales de conservation).
- Données comptables et factures : conservées 10 ans conformément à la législation luxembourgeoise.
- Photos de plats analysées par l'IA : transmises à Anthropic pour traitement, non stockées chez nous au-delà de l'analyse (max 24 h pour debug).
8. Tes droits
Conformément au RGPD, tu disposes des droits suivants sur tes données personnelles :
- Droit d'accès : obtenir une copie de tes données
- Droit de rectification : corriger des données inexactes
- Droit à l'effacement (« droit à l'oubli ») : demander la suppression de ton compte et de tes données
- Droit à la portabilité : recevoir tes données dans un format structuré et lisible par machine (JSON)
- Droit d'opposition : t'opposer à un traitement basé sur l'intérêt légitime
- Droit à la limitation : demander la suspension d'un traitement
- Droit de retirer ton consentement à tout moment pour les traitements basés sur le consentement
Pour exercer ces droits, contacte-nous à contact@athletly.lu en précisant ta demande. Une réponse te sera fournie dans un délai maximum d'un mois.
9. Cookies et stockage local
Athletly utilise uniquement des technologies de stockage local strictement nécessaires au fonctionnement du Service :
- Cookie de session (Supabase) : maintenir ta connexion. Durée : 7 jours, renouvelable à chaque utilisation.
- localStorage du navigateur : mémoriser tes préférences locales (onboarding vu, notifications lues, état de l'interface). Ces données restent sur ton appareil et ne sont jamais envoyées à nos serveurs.
Nous n'utilisons aucun cookie de traçage publicitaire, d'analyse comportementale ou de tiers. Aucun consentement préalable n'est donc requis (les cookies strictement nécessaires sont exemptés par la directive ePrivacy).
10. Sécurité
Nous mettons en œuvre les mesures de sécurité techniques et organisationnelles suivantes :
- Chiffrement des communications via HTTPS / TLS 1.3
- Stockage des mots de passe via hachage cryptographique (bcrypt via Supabase Auth)
- Row Level Security (RLS) : chaque utilisateur n'a accès qu'à ses propres données ou à celles autorisées explicitement (coach/athlète lié)
- Sauvegardes quotidiennes chiffrées de la base de données
- Accès aux serveurs limité aux personnes autorisées
- Notification en cas de violation de données (sous 72 h à la CNPD si applicable)
11. Contact et réclamation
Pour toute question relative au traitement de tes données personnelles :
- E-mail : contact@athletly.lu
- Courrier : Velkora Consulting S.à r.l.-S, 7 Avenue des Bains, L-5610 Mondorf-les-Bains, Luxembourg
Si tu estimes que tes droits ne sont pas respectés, tu peux introduire une réclamation auprès de l'autorité de contrôle compétente :
- Autorité luxembourgeoise
- Commission Nationale pour la Protection des Données (CNPD)
- Site
- cnpd.public.lu
- Adresse
- 15, Boulevard du Jazz, L-4370 Belvaux, Luxembourg
