Politique de confidentialité

Dernière mise à jour : Mars 2026

1. Introduction

Bienvenue sur CoachGPT. Nous nous engageons à protéger votre vie privée et vos données personnelles. Cette politique de confidentialité explique comment nous collectons, utilisons et protégeons vos informations lorsque vous utilisez notre application web (coachgpt.fit) et notre application mobile (iOS et Android).

Responsable du traitement : CoachGPT (en cours d'immatriculation), France. Contact : privacy@coachgpt.fit.

2. Données collectées

Nous collectons les types de données suivants :

2.1. Données fournies par vous

  • Informations de compte : adresse email, nom d'utilisateur, mot de passe (chiffré), numéro de téléphone (si inscription par OTP)
  • Données de profil fitness : âge, sexe, poids, taille, objectifs de fitness, niveau d'activité, équipement disponible, split d'entraînement, jours d'entraînement par semaine
  • Données nutritionnelles de profil : préférences alimentaires, allergies, objectifs de calories et macronutriments
  • Données de santé : blessures déclarées (zones corporelles concernées)
  • Données d'entraînement : workouts créés, historique des séances, exercices effectués, records personnels
  • Données nutritionnelles : repas enregistrés, photos de repas analysées par IA, plans de repas, listes de courses
  • Conversations IA : messages échangés avec le coach IA
  • Contenu communautaire : workouts et recettes partagés dans la bibliothèque

2.2. Données collectées automatiquement

  • Données d'utilisation : interactions avec l'application, préférences, fonctionnalités utilisées (uniquement avec votre consentement, via PostHog)
  • Données techniques : rapports d'erreur (via Sentry), identifiants techniques

2.3. Données collectées via l'application mobile

En complément des données ci-dessus, l'application mobile peut collecter :

  • Token de notification push : identifiant unique de votre appareil pour l'envoi de notifications push (Expo Push Token). Collecté uniquement si vous acceptez les notifications.
  • Informations sur l'appareil : type d'appareil, version du système d'exploitation, version de l'application (à des fins de compatibilité et de débogage)
  • Photos : photos de repas prises avec l'appareil photo (uniquement avec votre autorisation, pour l'analyse nutritionnelle par IA). Les photos ne sont pas stockées de manière permanente sur nos serveurs.

3. Bases légales du traitement (Article 6 RGPD)

Nous traitons vos données sur les bases légales suivantes :

  • Exécution du contrat (Art. 6(1)(b)) : fournir le service de coaching, gérer votre compte, traiter les abonnements
  • Consentement (Art. 6(1)(a)) : cookies d'analyse (PostHog), notifications push, emails marketing
  • Intérêts légitimes (Art. 6(1)(f)) : amélioration du service, sécurité, prévention de la fraude, rapports d'erreur (Sentry)
  • Obligation légale (Art. 6(1)(c)) : conservation des données de facturation

4. Intelligence artificielle et données de santé

CoachGPT utilise l'intelligence artificielle (Claude d'Anthropic) pour générer des plans d'entraînement, des plans de repas et des recommandations nutritionnelles. Ces recommandations sont générées automatiquement et peuvent ne pas être parfaites. Nous vous encourageons à consulter un professionnel de santé avant de commencer tout programme d'exercice ou de nutrition.

Catégories particulières de données (Article 9 RGPD) : Certaines de vos données (poids, taille, objectifs de fitness, blessures, historique d'entraînement, informations nutritionnelles, allergies) peuvent constituer des données relatives à la santé au sens du RGPD. Le traitement de ces données repose sur votre consentement explicite (Article 9(2)(a) RGPD), que vous fournissez lors de la création de votre compte et du renseignement de votre profil. Vous pouvez retirer ce consentement à tout moment en supprimant votre compte.

Important

Le contenu généré par l'IA est fourni à titre informatif uniquement et ne constitue pas un avis médical. Consultez toujours un médecin ou un professionnel de santé qualifié pour tout conseil médical.

4bis. Conditions d'âge

CoachGPT est destiné aux personnes âgées de 16 ans et plus. Conformément à l'article 8 du RGPD, les mineurs de moins de 16 ans ne doivent pas créer de compte ni utiliser nos services sans le consentement de leurs parents ou tuteurs légaux. En créant un compte, vous confirmez avoir au moins 16 ans.

5. Utilisation des données

Vos données sont utilisées pour :

  • Fournir et personnaliser nos services de coaching IA
  • Générer des recommandations d'entraînement et de nutrition adaptées à votre profil
  • Envoyer des notifications push (séances, rappels) si vous y avez consenti
  • Traiter les paiements et gérer les abonnements Premium
  • Améliorer l'expérience utilisateur et nos algorithmes IA (données agrégées et anonymisées)
  • Communiquer avec vous concernant votre compte (emails transactionnels)
  • Assurer la sécurité de notre plateforme et prévenir les abus
  • Détecter et corriger les bugs (rapports d'erreur techniques)

6. Partage des données et sous-traitants

Nous ne vendons jamais vos données personnelles. Vos données peuvent être partagées avec les sous-traitants suivants, strictement nécessaires à la fourniture de nos services :

  • Hébergement web : Vercel Inc. (USA) - hébergement du site web coachgpt.fit. Transfert hors UE encadré par les clauses contractuelles types (CCT)
  • Hébergement API : Railway Corp. (USA) - hébergement de notre serveur backend. Transfert hors UE encadré par les CCT
  • Base de données : Supabase Inc. (USA) - hébergement PostgreSQL et authentification. Transfert hors UE encadré par les CCT
  • Intelligence artificielle : Anthropic PBC (USA) - vos messages au coach IA, votre profil (âge, poids, objectifs, blessures) et vos données d'entraînement/nutrition du jour sont envoyés pour générer des recommandations personnalisées. Anthropic ne conserve pas vos données au-delà du traitement de la requête. Transfert hors UE encadré par les CCT
  • Paiements : Stripe Inc. (USA) - pour traiter les abonnements premium. Stripe collecte vos informations de paiement (carte bancaire) directement et ne les partage pas avec nous. Stripe est certifié PCI DSS niveau 1. Transfert hors UE encadré par les CCT
  • Surveillance des erreurs : Sentry (Functional Software Inc., USA) - pour détecter et corriger les bugs. Les rapports d'erreur peuvent contenir des identifiants techniques (jamais de données personnelles sensibles). Transfert hors UE encadré par les CCT
  • Analyse d'utilisation : PostHog Inc. (hébergé en UE) - pour améliorer l'application, sous réserve de votre consentement explicite via notre bandeau de cookies. Données pseudonymisées (identifiants hachés SHA-256). Pas de transfert hors UE
  • Emails transactionnels : Resend Inc. (USA) - pour l'envoi d'emails liés à votre compte (confirmation, réinitialisation de mot de passe, notifications importantes). Transfert hors UE encadré par les CCT
  • Notifications push mobiles : Expo (650 Industries Inc., USA) - pour l'envoi de notifications push sur l'application mobile. Seul le token de notification push est partagé. Transfert hors UE encadré par les CCT
  • Autorités légales : si requis par la loi française ou européenne

7. Transferts internationaux de données

Certains de nos sous-traitants sont situés aux États-Unis. Ces transferts sont encadrés par les clauses contractuelles types (CCT) adoptées par la Commission européenne, conformément à l'article 46(2)(c) du RGPD. Vous pouvez obtenir une copie de ces clauses en nous contactant à privacy@coachgpt.fit.

8. Sécurité des données

Nous prenons la sécurité de vos données très au sérieux :

  • Chiffrement des données en transit (HTTPS/TLS sur toutes les communications)
  • Chiffrement des données au repos (base de données chiffrée)
  • Mots de passe hashés de manière sécurisée (bcrypt via Supabase Auth)
  • Authentification JWT avec rotation des clés (JWKS)
  • Contrôles d'accès stricts (chaque requête vérifie l'identité de l'utilisateur)
  • Tokens d'authentification mobile stockés dans le stockage sécurisé de l'appareil (Keychain/Keystore)
  • Surveillance des erreurs et des intrusions

9. Vos droits (RGPD)

Conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés, vous disposez des droits suivants :

  • Droit d'accès (Art. 15) : demander une copie de vos données personnelles
  • Droit de rectification (Art. 16) : corriger vos données inexactes directement depuis votre profil
  • Droit à l'effacement (Art. 17) : demander la suppression de toutes vos données. Disponible directement depuis la section "Supprimer mon compte" de votre profil. La suppression est complète et irréversible (toutes les tables liées à votre compte sont effacées)
  • Droit à la portabilité (Art. 20) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON). Disponible via le bouton "Exporter mes données" dans votre profil. L'export inclut : profil, entraînements, historique des séances, journal nutritionnel, mensurations, hydratation, records personnels, objectifs, conversations IA, activités connectées et transactions de tokens
  • Droit d'opposition (Art. 21) : vous opposer au traitement de vos données pour des motifs légitimes
  • Droit à la limitation du traitement (Art. 18) : demander la limitation du traitement de vos données dans certains cas
  • Droit de retirer votre consentement : à tout moment, sans affecter la licéité du traitement effectué avant le retrait (cookies d'analyse, notifications push, emails marketing)

Pour exercer ces droits, utilisez les fonctionnalités disponibles dans votre profil ("Exporter mes données", "Supprimer mon compte") ou contactez-nous à privacy@coachgpt.fit. Nous répondrons dans un délai de 30 jours.

Vous disposez également du droit d'introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr.

10. Conservation des données

Vos données sont conservées tant que votre compte est actif. Après suppression de votre compte :

  • Vos données personnelles sont supprimées dans un délai de 30 jours
  • Les données de facturation sont conservées 10 ans conformément aux obligations comptables françaises
  • Les données anonymisées et agrégées peuvent être conservées indéfiniment à des fins statistiques
  • Les sauvegardes chiffrées sont purgées dans un délai de 90 jours

11. Cookies et traceurs

Nous utilisons les catégories de cookies suivantes :

  • Cookies essentiels (sans consentement requis) : authentification, préférences de session, sécurité. Ces cookies sont indispensables au fonctionnement de l'application.
  • Cookies d'analyse (avec consentement) : PostHog, pour comprendre l'utilisation de l'application et améliorer l'expérience. Ces cookies ne sont déposés qu'après votre acceptation explicite via notre bandeau de cookies. Vous pouvez modifier vos préférences à tout moment.

Nous n'utilisons aucun cookie publicitaire ni cookie de ciblage.

12. Informations pour les magasins d'applications

Conformément aux exigences de transparence de l'App Store (Apple) et du Google Play Store, voici un résumé des données collectées par l'application mobile :

  • Identifiants : adresse email, numéro de téléphone (optionnel)
  • Santé et forme : données d'entraînement, données nutritionnelles, mensurations corporelles
  • Achats : historique d'abonnement (via Stripe)
  • Contenu utilisateur : messages au coach IA, contenus partagés
  • Données d'utilisation : interactions avec l'app (uniquement avec consentement)
  • Diagnostics : rapports d'erreur (Sentry)

Aucune donnée n'est utilisée pour le suivi publicitaire (tracking). Les données sont utilisées exclusivement pour le fonctionnement et l'amélioration de l'application.

13. Modifications

Nous pouvons mettre à jour cette politique de confidentialité. Les modifications importantes seront notifiées par email ou via l'application. La date de dernière mise à jour est indiquée en haut de cette page.

14. Contact et DPO

Pour toute question concernant cette politique, vos données personnelles ou pour exercer vos droits :

Délai de réponse : 30 jours maximum conformément au RGPD.