Politique de confidentialité — PREVAIL Endurance
Dernière mise à jour : 12/07/2026 Version : 1.0
Rédaction initiale par Clément BOYER, Président de PREVAIL — Clément BOYER (entrepreneur individuel). Faire valider par un juriste avant mise en ligne publique. Cette version sert de base solide, conforme RGPD, et prête pour un dépôt Garmin Health API.
1. Qui est responsable de vos données ?
Le responsable de traitement au sens du Règlement Général sur la Protection des Données (RGPD, UE 2016/679) est :
- Raison sociale : PREVAIL — Clément BOYER (entrepreneur individuel)
- Forme juridique : Entrepreneur Individuel — micro-entreprise
- SIRET : [À COMPLÉTER : siret]
- Immatriculation : Registre National des Entreprises (RNE)
- Statut : Entrepreneur Individuel (EI) — régime micro-entreprise
- Siège social : [À COMPLÉTER : adresse complete paris]
- Exploitant : Clément BOYER — Entrepreneur Individuel (EI)
- Email de contact RGPD : privacy@prevail.fr
Pour toute question relative à vos données personnelles, écrivez à privacy@prevail.fr. Nous nous engageons à vous répondre sous 30 jours maximum (article 12 RGPD).
2. Quelles données collectons-nous ?
2.1 Données que vous nous fournissez directement
Lors de la création de votre compte et de votre usage de PREVAIL, nous collectons :
- Données d'identification : email, prénom
- Données sportives déclarées : sport pratiqué, objectif (ex: 70.3, Ironman, marathon), date de course cible, niveau (débutant / intermédiaire / confirmé / élite), volume d'entraînement hebdomadaire disponible
- Données physiques facultatives : âge, taille, poids (ou fourchette), équipement disponible
- Seuils physiologiques : FTP (vélo), CSS (natation), VMA (course), fréquence cardiaque max, zones personnalisées
- Records personnels : chronos sur diverses distances (5K, 10K, semi, marathon…)
- Blessures et contraintes médicales : zone, date d'apparition, statut actuel (données de santé au sens de l'article 9 RGPD — traitement sur consentement explicite)
- Check-ins quotidiens : niveau de sommeil, fatigue perçue, stress, douleur (données de santé)
- Messages échangés avec le coach IA : contenu textuel de vos conversations, préférences déduites (longueur, ton, fréquence)
- Feedback explicite : thumbs up/down, notes laissées sur les recommandations
2.2 Données collectées automatiquement
- Sessions d'entraînement réalisées : type, durée, intensité, ressenti (RPE), statut (complétée / ratée / repos)
- Journal d'activité applicatif : actions effectuées dans l'application, dates et heures de connexion, version de l'app utilisée
- Métriques techniques anonymisées : latence des appels IA, taux d'erreur, modèle utilisé (à des fins de monitoring et d'amélioration produit, sans lien avec votre identité côté tiers)
2.3 Données issues d'intégrations tierces (sur consentement)
Si vous choisissez de connecter PREVAIL à un service tiers, nous collectons via OAuth 2.0 les données suivantes :
- Strava API :
- Vos activités (type de sport, durée, distance, puissance moyenne et max, fréquence cardiaque moyenne et max, allure, cadence, dénivelé, suffer score)
- Votre profil athlète (prénom, nom, photo de profil publique, FTP, poids déclarés si renseignés)
- Métadonnées d'activité (nom, description, statut privé / public, kilojoules, calories)
- Lecture uniquement : PREVAIL n'écrit jamais sur votre compte Strava. Nous ne créons aucune activité, ne modifions aucun titre, ne publions rien en votre nom. La relation est strictement entrante : Strava vers PREVAIL.
- Scopes OAuth utilisés :
read, activity:read_all, profile:read_all. Aucun scope d'écriture (activity:write, profile:write) n'est demandé.
- Garmin Connect Developer Program (en préparation, connexion à venir post-agrément) :
- Health API et Wellness API (lecture) :
- Métriques quotidiennes (pas, calories actives, stress score, Body Battery, HRV)
- Bien-être (sommeil avec phases, fréquence cardiaque au repos, respiration)
- Composition corporelle (si pèse-personne Garmin connecté)
- Activity API (lecture) :
- Activités synchronisées détaillées (GPS, fréquence cardiaque, puissance, allure, cadence, laps, splits, training effect, training load impact)
- Profil utilisateur Garmin (FTP, VMA, zones FC déclarées)
- Training API (écriture) :
- PREVAIL pousse, à votre demande, les séances structurées générées par le coach IA directement vers votre compte Garmin Connect, afin qu'elles apparaissent sur votre montre
- Aucun autre type d'écriture n'est effectué (pas de modification d'activités existantes, pas de publication, pas de partage social)
- Vous pouvez à tout moment supprimer un workout PREVAIL depuis votre montre ou depuis Garmin Connect
La connexion à Strava et à Garmin est facultative et révocable à tout moment depuis votre espace PREVAIL (Paramètres → Intégrations wearables) ou depuis le service tiers concerné (https://www.strava.com/settings/apps pour Strava, https://connect.garmin.com pour Garmin). Sans connexion, PREVAIL fonctionne de manière autonome avec les données que vous saisissez manuellement.
2.4 Données que nous ne collectons PAS
Par principe de minimisation :
- ❌ Aucune donnée de localisation en continu (seulement si explicitement partagée via un fichier GPX / activité Garmin)
- ❌ Aucune donnée biométrique d'identification (empreinte, reconnaissance faciale)
- ❌ Aucune donnée médicale hors du strict nécessaire au coaching (pas de diagnostic, pas de traitement)
- ❌ Aucune donnée SpO2, Pulse Ox, ou donnée non pertinente pour la performance sportive
- ❌ Aucune donnée issue de vos autres applications ou de votre navigateur en dehors de PREVAIL
3. Pourquoi collectons-nous ces données ?
Chaque donnée a une finalité précise. Voici le détail conforme au principe de limitation des finalités (article 5.1.b RGPD).
| Données | Finalité | Base légale | |---|---|---| | Email + mot de passe | Authentification au service | Exécution du contrat (art. 6.1.b) | | Profil sportif + objectifs | Génération de plans d'entraînement personnalisés | Exécution du contrat | | Seuils physiologiques + PRs | Calibrage des zones d'entraînement et allures | Exécution du contrat | | Check-ins quotidiens (sommeil, fatigue) | Adaptation du plan en temps réel | Consentement explicite (art. 9.2.a) — données de santé | | Blessures et contraintes | Protocole médical interne + adaptation du plan | Consentement explicite — données de santé | | Messages coach IA | Conversation contextuelle + apprentissage des préférences | Exécution du contrat | | Données Garmin (si connecté) | Enrichissement coaching : calibration auto, détection surcharge, décisions informées | Consentement explicite — données de santé | | Monitoring technique anonymisé | Amélioration produit, détection bugs | Intérêt légitime (art. 6.1.f) |
Nous ne traitons aucune donnée pour de la publicité ciblée, de la revente, ou des fins commerciales tierces.
4. Avec qui partageons-nous vos données ?
4.1 Sous-traitants techniques (article 28 RGPD)
Nous utilisons des prestataires techniques encadrés par des contrats de sous-traitance (DPA) conformes RGPD :
- Railway Corporation (hébergement backend et base de données PostgreSQL) — données hébergées en Union Européenne. DPA disponible.
- Anthropic, PBC (fournisseur de l'IA coach via proxy sécurisé) — voir section 4.2 ci-dessous.
- Google LLC (Google Workspace pour nos emails corporate) — DPA signé.
- Strava, Inc. (source de données wearable, sur votre consentement explicite) — les données transitent depuis l'API Strava v3 vers notre infrastructure (Railway, UE) via OAuth 2.0. Strava reste responsable de traitement initial, PREVAIL devient responsable de traitement autonome pour les données transmises. Vous pouvez révoquer cette autorisation à tout moment depuis https://www.strava.com/settings/apps. Policy Strava : https://www.strava.com/legal/privacy
- Apple Inc. (Apple Santé / HealthKit) (source de récupération et d'activité, sur votre autorisation explicite via iOS) — fréquence cardiaque, HRV, sommeil et séances, lus sur votre appareil puis transmis à notre infrastructure. Révocable depuis Réglages › Santé › PREVAIL.
- Garmin (Garmin Health API) (source wearable, sur consentement explicite via OAuth 2.0) — activités, FC repos, sommeil, HRV. Révocable depuis l'app ou votre compte Garmin Connect.
- WHOOP, Inc. (source de récupération, sur consentement explicite via OAuth 2.0) — récupération, HRV, sommeil, strain. Révocable depuis l'app.
- Garmin Ltd. (futur data processor, intégration en préparation) — même modèle qu'avec Strava, traitement sous DPA + consentement explicite.
4.2 Traitement par l'IA coach
Vos messages textuels envoyés au coach sont transmis à Anthropic, PBC (éditeur de Claude) via notre serveur proxy sécurisé :
- Les messages sont envoyés sans informations d'identification personnelle permanentes (pas d'email, pas de nom complet, pas d'ID utilisateur direct).
- Anthropic a une politique de non-entraînement sur les données API par défaut — vos conversations ne servent pas à améliorer leurs modèles.
- Les données transitent uniquement pour générer la réponse du coach, puis sont oubliées par Anthropic (pas de stockage long terme côté leur infra).
- Anthropic est basée aux États-Unis et opère sous les clauses contractuelles types (SCC) UE.
4.3 Intégrations wearables (sur consentement)
Si vous connectez PREVAIL à Garmin (ou tout autre wearable à l'avenir), nous devenons responsable conjoint de traitement avec le fournisseur pour les données synchronisées. Nous signons systématiquement un DPA avec chaque partenaire.
4.4 Pas de revente, pas de partage commercial
Nous ne vendons aucune donnée à des tiers. Nous ne partageons aucune donnée à des fins publicitaires ou de marketing tiers. Notre seul revenu provient de l'abonnement utilisateur.
5. Où vos données sont-elles stockées ?
- Base de données principale : Railway (PostgreSQL managé), région Union Européenne
- Chiffrement au repos : AES-256
- Chiffrement en transit : TLS 1.3
- Sauvegardes : chiffrées, quotidiennes, conservées 30 jours maximum
- Logs d'accès : conservés 90 jours pour audit de sécurité
Les données qui sortent de l'UE (messages vers Anthropic aux USA, intégration future Garmin) transitent sous le cadre des clauses contractuelles types (SCC) approuvées par la Commission Européenne.
6. Combien de temps conservons-nous vos données ?
| Catégorie | Durée de conservation | |---|---| | Compte actif | Tant que le compte existe | | Données de performance et d'entraînement | Durée du compte + 30 jours après suppression (sauvegardes) | | Messages coach IA | Durée du compte, compression progressive (résumés mensuels après 40 messages) | | Logs d'accès et de sécurité | 90 jours | | Données Garmin après déconnexion OAuth | 30 jours maximum puis purge automatique | | Données de facturation (si applicable) | 10 ans (obligation légale fiscale) | | Compte inactif (>24 mois sans connexion) | Notification puis suppression automatique après 3 mois sans réaction |
7. Quels sont vos droits ?
Conformément aux articles 15 à 22 du RGPD, vous disposez en permanence des droits suivants :
7.1 Droit d'accès (art. 15)
Obtenir une copie de toutes les données que nous détenons sur vous, dans un format lisible. Comment exercer : bouton "Exporter mes données" dans Paramètres → Données de l'application, ou demande écrite à privacy@prevail.fr.
7.2 Droit à la rectification (art. 16)
Corriger des données inexactes ou incomplètes. Comment : directement dans votre profil utilisateur.
7.3 Droit à l'effacement / droit à l'oubli (art. 17)
Demander la suppression complète de vos données. Comment : bouton "Supprimer mon compte" dans Paramètres → Compte. Suppression complète sous 30 jours maximum (sauvegardes purgées sous 30 jours supplémentaires).
7.4 Droit à la limitation (art. 18)
Bloquer temporairement le traitement de certaines données. Comment : écrire à privacy@prevail.fr en précisant les données concernées.
7.5 Droit à la portabilité (art. 20)
Recevoir vos données dans un format structuré (JSON) pour les transférer à un autre service. Comment : bouton "Exporter mes données" dans l'application (fichier JSON téléchargeable).
7.6 Droit d'opposition (art. 21)
Vous opposer au traitement pour des raisons tenant à votre situation particulière. Comment : écrire à privacy@prevail.fr.
7.7 Droit de retrait du consentement
Pour les traitements basés sur le consentement (données de santé, connexion Garmin), vous pouvez retirer votre consentement à tout moment, sans affecter la licéité des traitements passés. Comment :
- Déconnexion Garmin : Paramètres → Intégrations → Déconnecter Garmin (disponible Phase 2 post-intégration)
- Retrait consentement données de santé : écrire à
privacy@prevail.fr (note : ce retrait limite fortement les fonctionnalités de coaching ; voir section 9)
7.8 Droit d'introduire une réclamation auprès de la CNIL
Si vous estimez que vos droits ne sont pas respectés, vous pouvez saisir la CNIL :
- https://www.cnil.fr/
- CNIL, 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
8. Sécurité
Nous appliquons des mesures techniques et organisationnelles appropriées pour protéger vos données contre tout accès non autorisé, altération, divulgation ou destruction (article 32 RGPD) :
- Chiffrement at-rest (AES-256) et in-transit (TLS 1.3)
- Authentification par JWT avec expiration + rafraîchissement automatique
- Row Level Security (RLS) sur la base de données Postgres → un utilisateur ne peut accéder qu'à ses propres données, même en cas de faille applicative
- Aucune clé API sensible exposée côté client — toutes les clés partenaires (Anthropic, Garmin) sont stockées en variables d'environnement serveur chiffrées
- Audits de sécurité réguliers et logs d'accès conservés 90 jours
- En cas de violation de données, notification à la CNIL sous 72h et aux utilisateurs concernés si le risque est élevé (article 33-34 RGPD)
9. Limites du service sans consentement complet
Certaines fonctionnalités centrales de PREVAIL reposent sur le traitement de données de santé (article 9 RGPD) et nécessitent votre consentement explicite :
- Sans consentement données de santé : nous ne pouvons pas générer de plans adaptés à votre sommeil, votre fatigue, vos blessures. L'application fonctionne en mode dégradé (plans statiques, pas d'adaptation temps réel).
- Sans consentement Garmin (lorsque la connexion sera disponible Phase 2) : vous devrez saisir manuellement vos séances et ressentis. Fonctionnalités intégrations désactivées.
Vous gardez toujours le contrôle total et pouvez retirer votre consentement à tout moment.
10. Modifications de cette politique
Cette Politique de confidentialité peut évoluer. Toute modification substantielle sera notifiée :
- Par email à tous les utilisateurs actifs 30 jours avant entrée en vigueur
- Par une bannière dans l'application au prochain login
L'historique des versions est conservé et consultable sur demande.
11. Contact
Pour toute question, réclamation, exercice de vos droits ou demande d'information :
- Email RGPD : privacy@prevail.fr
- Email général : contact@prevail.fr
- Courrier : PREVAIL — Clément BOYER (entrepreneur individuel), [À COMPLÉTER : adresse complete paris]
Délai de réponse garanti : 30 jours maximum (article 12.3 RGPD).
*PREVAIL — Clément BOYER (entrepreneur individuel) — Politique de confidentialité v1.0 — 12/07/2026*