Politique de confidentialité

1. Introduction et champ d’application

La présente Politique de confidentialité décrit les traitements de données personnelles réalisés dans le cadre du site, des pages publiques de Coachs, des Comptes Coach et Client, de la messagerie, des outils de suivi, de la facturation et du support Progrify.

Elle s’applique aux Coachs, Clients, prospects, visiteurs et personnes qui contactent Progrify. Elle complète les Conditions Générales d’Utilisation et les Conditions Générales de Vente.

Progrify applique les principes de licéité, loyauté, transparence, limitation des finalités, minimisation, exactitude, limitation de la conservation, intégrité et confidentialité. Aucune donnée personnelle n’est vendue.

2. Responsable du traitement et contact

2.1 Identité

Pour les traitements dont elle détermine les finalités et les moyens, le responsable du traitement est [RAISON SOCIALE / NOM DE L’ENTREPRISE], [FORME JURIDIQUE], siège social [ADRESSE COMPLÈTE DU SIÈGE SOCIAL], SIRET [NUMÉRO SIRET], RCS [VILLE DU RCS] [NUMÉRO RCS / SIREN].

2.2 Contact vie privée et DPO

Questions et exercice des droits : [E-MAIL VIE PRIVÉE / RGPD].

Délégué à la protection des données, s’il a été désigné : [NOM DU DPO OU « NON DÉSIGNÉ »] — [E-MAIL DU DPO] — [ADRESSE POSTALE DU DPO].

3. Répartition des rôles entre Progrify et le Coach

3.1 Progrify responsable de traitement

Progrify agit comme responsable de traitement pour la gestion des Comptes, l’authentification, la sécurité, l’administration de la Plateforme, les abonnements Progrify, le support, les communications relatives au Service, la prévention de la fraude et ses propres obligations légales.

3.2 Progrify sous-traitant du Coach

Le Coach détermine en principe pourquoi et comment il collecte les données de ses Clients et prospects pour fournir son accompagnement. Pour ces données — profils Clients, objectifs, programmes, performances, mensurations, photographies, check-ins, messages et facturation du coaching — le Coach est responsable de traitement et Progrify intervient comme sous-traitant technique, selon ses instructions et l’accord de traitement applicable.

Une personne souhaitant exercer un droit concernant son accompagnement doit donc contacter en priorité son Coach. Progrify transmettra ou assistera la demande lorsqu’elle agit comme sous-traitant. Cette répartition peut varier pour un traitement particulier si les faits ou la loi imposent une autre qualification.

4. Définitions

• Donnée personnelle : toute information se rapportant à une personne identifiée ou identifiable.
• Traitement : toute opération appliquée à des données, notamment leur collecte, consultation, organisation, conservation, transmission ou suppression.
• Donnée de santé : toute donnée révélant des informations sur l’état de santé physique ou mentale, passé, présent ou futur ; certaines données sportives ou nutritionnelles peuvent devenir des données de santé par leur nature ou leur croisement.
• Responsable de traitement : la personne qui détermine les finalités et moyens essentiels d’un traitement.
• Sous-traitant : la personne qui traite des données pour le compte et sur instruction du responsable.
• Coach, Client et Plateforme : ont le sens défini dans les CGU.

5. Données personnelles collectées

5.1 Compte, authentification et profil

• nom, prénom, adresse e-mail, téléphone lorsqu’il est renseigné, rôle et identifiant interne ;
• mot de passe sous une forme gérée et protégée par Supabase Auth — Progrify n’accède pas au mot de passe en clair ;
• spécialité, biographie, préférences de notification, statut du Compte et date de dernière connexion ;
• photo de profil, coordonnées professionnelles et informations publiées sur la page publique du Coach.

5.2 Prospects et relation Coach-Client

Les formulaires publics peuvent recueillir prénom, nom, e-mail, téléphone, âge, taille, poids, objectif, niveau, fréquence souhaitée, budget, message et photographie facultative. Le Coach peut ajouter des notes privées, un statut et un historique de suivi du prospect.

5.3 Progression sportive et corporelle

• objectifs, programmes, séances planifiées, exercices, séries, répétitions, charges, durées, résultats et historique d’exécution ;
• poids, taille, tour de taille, hanches, poitrine, bras, cuisses, mollets, épaules, nombre de pas et notes de progression ;
• humeur, énergie, adhérence au programme, blessures, commentaires et réponses aux check-ins ;
• photographies de progression, dates, légendes et notes associées.

5.4 Données nutritionnelles

Lorsque les fonctionnalités correspondantes sont utilisées, ou lorsqu’elles sont saisies dans les objectifs, notes, messages, questionnaires ou contenus du Coach : habitudes alimentaires, préférences, allergies ou intolérances, objectifs nutritionnels, plans et historique de suivi. Progrify invite les Utilisateurs à ne saisir que les informations strictement utiles.

5.5 Messagerie et contenus

Contenu des messages Coach-Client, identité de l’expéditeur, date, état de lecture, ainsi que les fichiers, photos ou notes volontairement transmis. Les échanges ne font pas l’objet d’une lecture générale à des fins publicitaires.

5.6 Abonnements et paiements

Offre, montant, devise, fréquence, statut, dates d’échéance et de paiement, identifiants Stripe de client, compte connecté, abonnement, facture et transaction, liens de facture et données de webhook nécessaires au rapprochement. Les numéros complets de carte et cryptogrammes sont collectés directement par Stripe et ne sont pas stockés par Progrify.

5.7 Données techniques et de connexion

• adresse IP, date et heure, journaux d’authentification, identifiants de session et événements de sécurité ;
• type d’appareil, système, navigateur et user-agent lorsqu’ils sont transmis ;
• journaux d’administration, notamment les accès d’assistance ou d’impersonation autorisés, avec IP, user-agent, auteur, cible et action ;
• événements limités de page publique : affichage, ouverture ou envoi du formulaire et clic d’appel à l’action, avec source limitée lorsqu’elle est fournie.

L’adresse IP des visiteurs des pages publiques peut être utilisée temporairement en mémoire pour limiter les abus, généralement pendant une fenêtre d’une heure, sans être ajoutée par Progrify à l’événement d’audience enregistré. Les fournisseurs d’infrastructure peuvent néanmoins conserver leurs propres journaux techniques.

6. Sources des données

Les données proviennent :

• directement de la personne lors de son inscription, de l’utilisation du Service, d’un formulaire prospect, d’un paiement ou d’une demande de support ;
• du Coach, lorsqu’il crée une fiche Client, programme un accompagnement ou renseigne des notes ;
• du Client, lorsqu’il enregistre ses résultats, mesures, photographies, messages ou check-ins ;
• automatiquement des systèmes techniques nécessaires à la session, à la sécurité et au fonctionnement ;
• de Stripe, Supabase et Resend pour les statuts techniques nécessaires au paiement, à l’authentification et à la délivrance des e-mails.

Lorsque le Coach saisit des données relatives à un Client avant son activation, il doit avoir informé celui-ci conformément à l’article 14 du RGPD.

7. Finalités et bases légales

Lorsque Progrify agit pour le compte du Coach, les finalités et bases légales sont déterminées par ce dernier et doivent être décrites dans sa propre information de confidentialité.

8. Données de santé et autres données sensibles

Le poids, les mensurations, les blessures, photographies, habitudes alimentaires, performances ou notes peuvent révéler l’état physiologique ou la santé d’une personne. Leur traitement exige à la fois une base au titre de l’article 6 et une exception valable au titre de l’article 9 du RGPD.

Le Coach, responsable du traitement de ces données, doit identifier et documenter cette exception. Selon le contexte, il peut notamment recueillir un consentement explicite, libre, spécifique, éclairé et univoque. Le simple fait que la fonctionnalité soit disponible ou que le contrat de coaching soit conclu ne remplace pas cette analyse.

Le retrait d’un consentement n’affecte pas la licéité des opérations antérieures. Il peut rendre impossible une fonctionnalité qui dépend strictement de la donnée concernée, sans empêcher l’accès aux fonctions qui n’en ont pas besoin.

9. Cookies et technologies similaires

Progrify utilise des cookies ou stockages locaux strictement nécessaires à l’authentification, à la sécurité et au maintien de la session. Selon la configuration actuelle, la durée maximale technique d’un cookie d’authentification peut atteindre 400 jours, sous réserve de son renouvellement, de la déconnexion et des règles de Supabase Auth.

Tout outil de mesure d’audience ou traceur non strictement nécessaire est soumis au consentement lorsqu’il l’exige. Les finalités, fournisseurs, durées et moyens de retrait sont détaillés dans la Politique relative aux cookies.

10. Destinataires et accès aux données

Dans la limite du besoin d’en connaître, les données peuvent être accessibles :

• à la personne concernée et, pour les données d’accompagnement, à son Coach ;
• aux collaborateurs autorisés du Coach, lorsqu’un accès leur a été valablement accordé ;
• au personnel habilité de Progrify pour le support, la sécurité, la facturation et l’administration, avec journalisation des actions sensibles lorsque cette fonction est prévue ;
• aux prestataires décrits ci-dessous, uniquement pour leurs missions ;
• aux autorités, juridictions, conseils ou assureurs lorsque la loi l’impose ou que cela est nécessaire à la défense de droits.

Les photographies de progression sont stockées dans un espace privé et sont rendues accessibles aux participants autorisés au moyen de contrôles d’accès et, selon le flux, d’URLs signées limitées dans le temps. Les éléments volontairement publiés sur une page Coach sont en revanche accessibles au public.

11. Sous-traitants et services tiers

Stripe peut agir comme sous-traitant pour certaines opérations et comme responsable distinct pour la sécurité, la fraude, la connaissance client, les obligations réglementaires et les services de paiement. Ses propres informations de confidentialité s’appliquent alors.

Google Analytics, Sentry et Vercel ne sont pas déclarés comme services actifs par la présente version. S’ils sont activés ultérieurement, Progrify mettra à jour cette politique et, lorsque nécessaire, le mécanisme de consentement avant leur utilisation.

12. Hébergement et localisation

L’application est hébergée par [NOM DE L’HÉBERGEUR DE L’APPLICATION], [ADRESSE DE L’HÉBERGEUR], avec une localisation principale déclarée : [PAYS D’HÉBERGEMENT DE L’APPLICATION].

Les services Supabase sont configurés dans la région [RÉGION DU PROJET SUPABASE — ex. Union européenne]. Cette région doit être vérifiée dans le tableau de bord du projet avant publication. Certains services de support, sécurité, CDN ou sous-traitants ultérieurs peuvent néanmoins impliquer un accès depuis d’autres pays dans le cadre contractuel du fournisseur.

13. Transferts hors Union européenne

Certains fournisseurs ou leurs sous-traitants sont établis ou accessibles depuis des pays situés hors de l’Espace économique européen, notamment les États-Unis.

Selon le fournisseur et le transfert, Progrify s’appuie sur une décision d’adéquation applicable, notamment le cadre UE–États-Unis pour les organismes effectivement certifiés, sur les clauses contractuelles types de la Commission européenne, et, lorsque nécessaire, sur des mesures complémentaires après analyse du transfert.

Les mécanismes applicables sont vérifiés dans les DPA et listes de sous-traitants de Supabase, Stripe, Resend, de l’hébergeur et de Google. Une copie des garanties pertinentes peut être demandée à [E-MAIL VIE PRIVÉE / RGPD], sous réserve des éléments confidentiels.

14. Durées de conservation

Les données ne sont conservées sous une forme identifiante que pendant la durée nécessaire à la finalité, puis supprimées, anonymisées ou archivées avec des accès restreints lorsqu’une obligation ou un contentieux le justifie.

Une suppression dans la base active peut subsister temporairement dans une sauvegarde isolée jusqu’à son expiration, sans être réutilisée hors restauration de sécurité. Les durées fixées par le Coach pour ses propres traitements doivent être communiquées par celui-ci et peuvent différer.

15. Sécurité, chiffrement et sauvegardes

Progrify met en œuvre des mesures adaptées à la sensibilité des données et aux risques, sans qu’aucun système ne puisse garantir une sécurité absolue :

• authentification gérée par Supabase Auth et mots de passe non accessibles en clair à Progrify ;
• communications HTTPS/TLS et chiffrement des données et sauvegardes Supabase au repos selon les garanties documentées par le fournisseur ;
• politiques PostgreSQL de sécurité au niveau des lignes (RLS), séparation des rôles Coach, Client et administrateur, et contrôles de propriété ;
• clés privilégiées limitées au serveur, contrôles d’accès internes et journalisation des actions administratives sensibles ;
• buckets privés pour les photos de progression et fichiers prospects, restrictions de type et de taille, URLs signées pour certains accès ;
• validation des entrées, limitation de débit sur les formulaires publics, vérification des webhooks Stripe et mises à jour de sécurité.

15.1 Sauvegardes

La base PostgreSQL bénéficie des sauvegardes disponibles pour l’offre Supabase souscrite, avec une conservation de [DURÉE DE CONSERVATION DES SAUVEGARDES BDD]. Les sauvegardes de base de données Supabase ne couvrent pas les objets stockés via Storage. La stratégie distincte applicable à ces fichiers est : [POLITIQUE DE SAUVEGARDE DES FICHIERS SUPABASE STORAGE].

En cas de violation de données susceptible d’engendrer un risque, Progrify applique les obligations de documentation, de notification à l’autorité et, lorsque le risque est élevé, d’information des personnes concernées.

16. Vos droits

Selon le traitement et sa base légale, vous pouvez demander :

• l’accès aux données vous concernant et une copie de celles-ci ;
• la rectification des données inexactes ou incomplètes ;
• l’effacement, lorsque les conditions légales sont réunies ;
• la limitation temporaire d’un traitement dans les cas prévus par le RGPD ;
• l’opposition à un traitement fondé sur l’intérêt légitime, pour des raisons tenant à votre situation particulière, et à tout moment à la prospection ;
• la portabilité des données fournies, dans un format structuré, couramment utilisé et lisible par machine, lorsque le traitement automatisé repose sur le consentement ou le contrat ;
• le retrait du consentement à tout moment pour l’avenir lorsqu’un traitement repose sur celui-ci ;
• de ne pas faire l’objet d’une décision exclusivement automatisée produisant des effets juridiques ou similaires significatifs, dans les conditions légales.

Ces droits ne sont pas absolus. Une obligation légale, la défense de droits, les droits d’un tiers ou une exception prévue par le RGPD peut justifier de conserver certaines données ou de limiter la réponse.

17. Comment exercer vos droits

17.1 Données gérées par Progrify

Adressez votre demande à [E-MAIL VIE PRIVÉE / RGPD] ou par courrier à [ADRESSE COMPLÈTE DU SIÈGE SOCIAL], en précisant le droit exercé, l’e-mail du Compte et les informations permettant d’identifier les données concernées.

17.2 Données gérées par votre Coach

Pour les programmes, mesures, photographies, messages et autres données d’accompagnement, contactez d’abord votre Coach, responsable du traitement. Si nécessaire, Progrify lui apportera son assistance technique.

17.3 Vérification et délai

Une preuve d’identité proportionnée n’est demandée qu’en cas de doute raisonnable. La réponse est apportée dans les meilleurs délais et en principe sous un mois. Ce délai peut être prolongé de deux mois pour une demande complexe ou nombreuse ; la personne en est alors informée dans le premier mois.

18. Réclamation auprès de la CNIL

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés :

Ce droit peut être exercé sans préjudice de tout autre recours administratif ou juridictionnel.

19. Protection des mineurs

Un Client mineur ne doit accéder à Progrify que dans le cadre d’un accompagnement organisé par un Coach et avec l’autorisation requise de son représentant légal. Le Coach est responsable de vérifier cette autorisation et de fournir une information adaptée à l’âge de l’enfant.

Pour un traitement facultatif fondé sur le consentement dans le cadre d’un service en ligne, le consentement du mineur de moins de quinze ans doit en principe être recueilli conjointement avec celui du titulaire de l’autorité parentale selon le droit français. Les données collectées doivent rester strictement nécessaires, avec des paramètres protecteurs par défaut.

Le représentant légal peut exercer les droits du mineur dans les conditions prévues par la loi, en tenant compte de son âge et de sa capacité de compréhension.

20. Nouveaux services et traitements automatisés

Progrify ne déclare, dans la version actuelle du projet, aucun outil Google Analytics ou Sentry actif et aucune prise de décision exclusivement automatisée produisant un effet juridique ou similaire significatif sur l’Utilisateur.

Avant d’activer une nouvelle technologie susceptible de modifier substantiellement les traitements — analyse externe, intelligence artificielle, profilage, nouveau fournisseur ou nouvelle catégorie de donnée — Progrify évaluera la base légale, la nécessité d’un consentement, les risques et la mise à jour de cette politique.

21. Modification de la Politique

La Politique peut être modifiée pour refléter une évolution légale, technique ou fonctionnelle. La date et la version figurant en tête de page permettent d’identifier le document applicable.

Une modification substantielle est portée à la connaissance des Utilisateurs par un moyen approprié avant son entrée en vigueur. Lorsqu’un nouveau consentement est requis, le traitement concerné n’est pas activé avant son recueil.

22. Contact