Politique de confidentialité
Politique de confidentialité
Dernière mise à jour : À compléter
1. Préambule
La présente politique de confidentialité décrit la manière dont goodborning. (« nous », « notre service ») collecte, utilise, conserve et protège les données à caractère personnel des utilisateurs (« vous », « l'athlète ») de la plateforme accessible à l'adresse URL du site.
goodborning. est une marketplace d'assistance à la préparation de courses de trail. Notre service propose des simulateurs personnalisés (prédiction d'allure, plan nutrition, plan hydratation, composition du sac de délestage, checklist matériel) calibrés sur l'historique d'entraînement de l'athlète et les caractéristiques spécifiques de chaque course visée.
Nous nous engageons à traiter vos données dans le respect du Règlement (UE) 2016/679 (« RGPD ») et de la loi française Informatique et Libertés modifiée.
2. Responsable du traitement
Le responsable du traitement des données est :
- Raison sociale : Nom de la société
- Forme juridique : SAS, SASU, etc.
- Siège social : Adresse
- Numéro SIREN : SIREN
- Email de contact : privacy@goodborning.com
3. Données collectées
3.1 Données fournies directement par vous
Lors de la création de votre compte et de l'utilisation du service, nous collectons :
- Données d'identification : prénom, nom, adresse email
- Données de connexion : mot de passe (haché), historique de connexion
- Données de course : courses cibles renseignées, paramètres saisis dans les simulateurs (objectifs, contraintes alimentaires, équipement préféré)
- Données de paiement : traitées exclusivement par notre prestataire de paiement, nous ne stockons jamais vos coordonnées bancaires (cf. section 6)
3.2 Données importées depuis Strava
Si vous choisissez de connecter votre compte Strava à goodborning., nous accédons, via l'API Strava et avec votre consentement explicite, aux données suivantes :
- Profil Strava public : identifiant Strava, prénom, nom, photo de profil, ville, pays, sexe, poids déclaré
- Historique d'activités sportives sur les 12 derniers mois : type d'activité, date, durée, distance, dénivelé positif et négatif, allure moyenne, fréquence cardiaque moyenne et maximale (si disponible), trace GPS résumée, intensité ressentie
Les scopes OAuth demandés sont read et activity:read_all. Vous pouvez à tout moment révoquer cet accès depuis les paramètres de votre compte Strava (strava.com/settings/apps) ou depuis votre compte goodborning.
3.3 Données collectées automatiquement
- Données techniques : adresse IP, type d'appareil, navigateur, système d'exploitation, pages visitées, durée des sessions
- Cookies et traceurs : voir section 11
4. Finalités du traitement
Vos données sont traitées pour les finalités suivantes :
| Finalité | Données concernées | Base légale |
|---|---|---|
| Création et gestion de votre compte | Identité, email, mot de passe | Exécution du contrat |
| Génération des simulations personnalisées (allure, nutrition, hydratation, sac de délestage, matériel) | Données Strava, paramètres de course | Consentement (Strava) + exécution du contrat |
| Calibration des modèles de prédiction sur votre fitness récente | Historique d'activités Strava | Consentement |
| Traitement des paiements et facturation | Données de paiement, identité | Exécution du contrat + obligation légale |
| Support utilisateur | Email, données de compte | Exécution du contrat |
| Amélioration du service (statistiques agrégées et anonymisées) | Données d'usage | Intérêt légitime |
| Communication transactionnelle (confirmation, alertes course) | Exécution du contrat | |
| Communication marketing | Consentement (opt-in) |
5. Données Strava : engagements spécifiques
Conformément à l'API Agreement Strava, nous nous engageons à :
- Ne jamais rendre publiques vos données Strava sur goodborning. ou ailleurs
- Ne jamais vendre, louer ou céder vos données Strava à des tiers
- Utiliser vos données Strava exclusivement pour les finalités décrites en section 4
- Vous permettre de déconnecter votre compte Strava à tout moment, ce qui entraîne la suppression dans un délai de 30 jours de toutes les données importées
- Stocker vos données Strava de manière chiffrée
- Vous restituer une copie de vos données sur simple demande
6. Destinataires et sous-traitants
Vos données peuvent être transmises aux sous-traitants suivants, dans le strict cadre de l'exécution du service :
| Sous-traitant | Finalité | Localisation des données |
|---|---|---|
| Supabase | Hébergement de la base de données et authentification | Union européenne (région eu-central-1 ou équivalent) |
| Vercel | Hébergement applicatif | À compléter |
| Stripe | Traitement des paiements | Irlande / États-Unis (cf. section 7) |
| Anthropic (Claude API) | Génération de plans personnalisés par IA | États-Unis (cf. section 7) |
| Strava | Source des données d'activité | États-Unis (cf. section 7) |
| Resend | Envoi d'emails transactionnels | À compléter |
Aucune donnée n'est transmise à des partenaires commerciaux ou publicitaires.
7. Transferts hors Union européenne
Certains sous-traitants (Strava, Anthropic, Stripe) sont établis aux États-Unis. Ces transferts sont encadrés par :
- Les Clauses Contractuelles Types adoptées par la Commission européenne
- Le cadre Data Privacy Framework UE-US lorsque le sous-traitant y est certifié
- Des mesures techniques complémentaires : chiffrement en transit (TLS 1.3) et au repos
Vous pouvez nous demander une copie des garanties applicables à l'adresse indiquée en section 14.
8. Durée de conservation
| Catégorie | Durée |
|---|---|
| Compte actif | Pendant toute la durée d'utilisation du service |
| Compte inactif (aucune connexion) | 3 ans après la dernière connexion, puis suppression |
| Après suppression du compte ou révocation Strava | 30 jours maximum (sauvegardes incluses) |
| Données comptables et de facturation | 10 ans (obligation légale) |
| Logs de connexion | 12 mois |
| Cookies | 13 mois maximum |
9. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles adaptées :
- Chiffrement des données en transit (HTTPS / TLS 1.3) et au repos
- Hashage des mots de passe (bcrypt ou équivalent)
- Tokens Strava chiffrés en base, jamais exposés côté client
- Accès restreint aux données via authentification forte pour l'équipe goodborning.
- Audits de sécurité réguliers
- Notification à la CNIL et aux personnes concernées en cas de violation, dans les 72 heures (article 33 RGPD)
10. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Droit d'accès : obtenir la confirmation que vos données sont traitées et en recevoir une copie
- Droit de rectification : corriger des données inexactes ou incomplètes
- Droit à l'effacement(« droit à l'oubli ») : demander la suppression de vos données
- Droit à la limitation du traitement
- Droit à la portabilité : recevoir vos données dans un format structuré et lisible par machine
- Droit d'opposition au traitement fondé sur l'intérêt légitime ou à des fins de prospection
- Droit de retirer votre consentement à tout moment (notamment pour la connexion Strava)
- Droit de définir des directives post-mortem relatives à vos données
Pour exercer ces droits : privacy@goodborning.com. Nous répondons sous un mois (article 12 RGPD).
Vous disposez également du droit d'introduire une réclamation auprès de la CNIL : cnil.fr/fr/plaintes.
11. Cookies et traceurs
goodborning. utilise les catégories de cookies suivantes :
- Cookies strictement nécessaires : authentification, sécurité, préférences de session. Exemptés de consentement.
- Cookies de mesure d'audience : Plausible, Matomo ou autre. Configurés en mode privacy-friendly.
- Cookies de fonctionnalité tierce : Stripe (paiement), Strava (authentification OAuth).
Vous pouvez configurer vos préférences depuis le bandeau cookies ou les paramètres de votre navigateur.
12. Mineurs
goodborning. n'est pas destiné aux personnes de moins de 16 ans. Nous ne collectons pas sciemment de données de mineurs sans consentement parental. Si vous pensez qu'un mineur nous a fourni des données, contactez-nous pour suppression.
13. Modifications de la politique
Cette politique peut être mise à jour. Toute modification substantielle vous sera notifiée par email au moins 15 jours avant son entrée en vigueur. La version applicable est celle datée en haut du présent document.
14. Contact
Pour toute question relative à cette politique ou à vos données personnelles :
- Email : privacy@goodborning.com
- Adresse postale : À compléter
- Délégué à la protection des données (DPO) : À compléter (facultatif)