Politique de confidentialité

Version 2.0 — En vigueur depuis le 14 mai 2026

Limen (ci-après « le Service ») est édité par Gaspard BOIDIN, Entrepreneur Individuel. La présente politique décrit la manière dont nous traitons vos données personnelles conformément au Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et à la loi française n° 78-17 du 6 janvier 1978 modifiée (« Informatique et Libertés »).

Le Service traite des données de santé (catégorie particulière au sens de l'article 9 du RGPD : fréquence cardiaque, HRV, sommeil, blessures, mesures corporelles). Ce traitement repose sur votre consentement explicitedonné lors de l'inscription et révocable à tout moment.

1. Responsable de traitement

  • Identité : Gaspard BOIDIN, Entrepreneur Individuel
  • Adresse : 13 rue Émile Zola, 80300 ALBERT, France
  • SIRET : 913 065 496 00014
  • Contact RGPD : contact@hybridcore.app

Aucun délégué à la protection des données (DPO) n'est désigné à ce jour. Compte tenu du traitement de données de santé à une échelle susceptible d'atteindre le seuil de l'article 37 du RGPD, la désignation d'un DPO est en cours d'évaluation. Le présent contact (contact@hybridcore.app) assure dans l'intervalle la fonction de point de contact « protection des données ».

2. Finalités et bases légales

FinalitéBase légale (RGPD)Durée
Gestion du compte (création, connexion, profil)Exécution du contrat (art. 6.1.b)Pendant l'existence du compte
Planification et suivi d'entraînementExécution du contrat (art. 6.1.b)Pendant l'existence du compte
Traitement des données de santé (HRV, sommeil, blessures, mesures)Consentement explicite (art. 9.2.a)Pendant l'existence du compte
Relation coach-athlète (invitations, partage de séances)Exécution du contrat + consentementPendant la relation active
Paiement et facturation (abonnement Stripe)Exécution du contrat (art. 6.1.b) + obligation légale (art. 6.1.c)10 ans (Code de commerce)
Mesure d'audience anonymisée (Vercel Analytics)Consentement (art. 6.1.a)13 mois max
Remontée d'erreurs technique (Sentry)Intérêt légitime (art. 6.1.f) côté serveur, consentement côté client90 jours
Sécurité du Service (logs auth, dédup webhooks)Intérêt légitime (art. 6.1.f)12 mois

3. Données collectées

3.1 Données d'identification

Nom, prénom, e-mail, photo de profil, mot de passe (haché et salé via Supabase Auth — jamais stocké en clair), date de naissance, genre, taille, poids.

3.2 Données sportives

Séances planifiées et complétées, allure, distance, durée, puissance, cadence, records personnels, objectifs, équipement (chaussures), GPS et tracks d'activités importées.

3.3 Données de santé (catégorie particulière)

Fréquence cardiaque au repos et à l'effort, variabilité cardiaque (HRV), durée et qualité du sommeil, charge d'entraînement, blessures déclarées, mesures corporelles, SpO₂, température cutanée. Ces données sont traitées sous votre consentement explicite (art. 9.2.a RGPD) et révocable à tout moment.

3.4 Données de paiement

Les coordonnées bancaires ne transitent jamais par nos serveurs : elles sont traitées directement par Stripe (PCI-DSS niveau 1). Nous ne stockons que l'identifiant d'abonnement Stripe et le statut.

3.5 Données techniques

Adresse IP (pour le rate limiting et la sécurité), agent utilisateur du navigateur, identifiants de session (cookie Supabase Auth), préférences UI (localStorage).

4. Destinataires et sous-traitants (art. 28 RGPD)

Pour fournir le Service, nous faisons appel aux sous-traitants suivants, chacun lié par un accord de traitement de données (DPA) :

PrestataireRôlePays
Supabase (Supabase Inc.)Base de données, authentification, stockageUE (eu-west-1) — Irlande
Vercel (Vercel Inc.)Hébergement de l'application, mesure d'audienceUSA (région edge UE possible)
Stripe (Stripe Payments Europe)Paiements, abonnementsUE — Irlande
Sentry (Functional Software Inc.)Remontée d'erreurs techniques (tunnelisé via /monitoring)USA
Strava (Strava Inc.)Synchronisation d'activités sportives (sur opt-in utilisateur)USA
Google Calendar (Google LLC)Synchronisation calendrier (sur opt-in utilisateur)USA / UE
Whoop (WHOOP Inc.)Récupération de données santé (sur opt-in utilisateur)USA
Coros (Coros Wearables Inc.)Webhook d'activités (sur opt-in utilisateur)USA

Transferts hors UE : les transferts vers les États-Unis (Vercel, Sentry, Strava, Google, Whoop, Coros) reposent sur les Clauses Contractuelles Types (SCC) adoptées par la Commission européenne (Décision (UE) 2021/914) et, lorsque applicable, sur le EU-US Data Privacy Framework (DPF).

5. Durée de conservation

  • Compte actif : tant que vous utilisez le Service.
  • Suppression de compte : effacement immédiat et cascade automatique de toutes les données associées (voir art. 6 ci-après).
  • Compte inactif :après 3 ans d'inactivité, vous serez prévenu(e) par e-mail puis le compte sera archivé/supprimé.
  • Factures : conservées 10 ans (obligation comptable, art. L.123-22 du Code de commerce).
  • Logs de sécurité : 12 mois maximum.
  • Tokens OAuth :jusqu'à révocation ou expiration. Effacés immédiatement lors de la déconnexion d'un service tiers.

6. Vos droits (art. 15 à 22 RGPD)

Vous disposez à tout moment des droits suivants, exerçables depuis votre espace personnel ou par e-mail à contact@hybridcore.app :

  • Droit d'accès (art. 15) — connaître les données que nous détenons.
  • Droit de rectification (art. 16) — corriger une donnée inexacte.
  • Droit à l'effacement(art. 17) — supprimer votre compte et l'ensemble de vos données via Paramètres → Supprimer mon compte.
  • Droit à la portabilité(art. 20) — exporter l'ensemble de vos données au format JSON via Paramètres → Exporter mes données.
  • Droit d'opposition(art. 21) — vous opposer au traitement fondé sur l'intérêt légitime.
  • Droit à la limitation (art. 18) — geler le traitement temporairement.
  • Retrait du consentement (art. 7.3) — révoquer un consentement (santé, cookies, services tiers) à tout moment, sans effet rétroactif.

Réclamation : en cas de désaccord persistant, vous pouvez introduire une réclamation auprès de la CNIL (3 Place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07, tél. 01 53 73 22 22).

Délai de réponse : un mois à compter de la réception de votre demande (prorogeable de deux mois en cas de complexité, art. 12 RGPD).

7. Décision automatisée et profilage (art. 22 RGPD)

Limen ne prend aucune décision produisant des effets juridiques ou affectant significativement l'utilisateur sur la seule base d'un traitement automatisé. Les ajustements automatiques de zones d'intensité ou de charge d'entraînement constituent une aide à la décision : ils sont consultatifs et révisables manuellement.

8. Utilisateurs mineurs

Le Service n'est pas destiné aux mineurs de moins de 15 ans (seuil d'âge fixé par la loi française n° 78-17, art. 7-1). Toute inscription d'un mineur de moins de 15 ans nécessite le consentement conjoint d'un titulaire de l'autorité parentale. Si nous découvrons qu'un compte a été créé par un mineur de moins de 15 ans sans accord parental, il sera immédiatement supprimé.

9. Sécurité (art. 32 RGPD)

  • Chiffrement TLS 1.3 de toutes les communications.
  • Chiffrement au repos (AES-256) des bases de données chez Supabase.
  • Authentification renforcée (mot de passe haché Argon2 + JWT signé) gérée par Supabase Auth.
  • Cloisonnement strict par utilisateur via Row Level Security (RLS) PostgreSQL sur 14 tables sensibles.
  • Rate-limiting par utilisateur sur les routes sensibles (paiement, OAuth, webhooks).
  • En-têtes de sécurité HTTP (HSTS, CSP, X-Frame-Options, Permissions-Policy).
  • Idempotence des webhooks paiement/activités pour éviter les double-traitements.
  • Journalisation structurée et anonymisée des incidents (Sentry).

Analyse d'impact (AIPD) :compte tenu du traitement de données de santé à une échelle potentiellement importante, une AIPD au sens de l'article 35 du RGPD est en cours d'élaboration et sera mise à disposition de la CNIL sur demande.

10. Notification de violation

En cas de violation de données personnelles entraînant un risque pour vos droits et libertés, nous notifierons la CNIL sous 72 heures (art. 33 RGPD) et vous informerons directement par e-mail dans les meilleurs délais lorsque le risque est élevé (art. 34 RGPD).

11. Cookies et traceurs

Pour le détail des cookies et traceurs utilisés (finalité, durée, base légale, gestion du consentement), consultez notre politique de cookies.

12. Mises à jour de la politique

La présente politique peut être mise à jour pour refléter l'évolution du Service ou de la réglementation. Toute modification substantielle sera annoncée par e-mail au moins 30 jours avant son entrée en vigueur.