Politique de confidentialité

Le responsable du traitement est Athleex, dont le siège social est situé en Italie. Pour exercer vos droits ou pour toute demande relative au traitement des données personnelles, vous pouvez écrire à : info@athleex.com.

Athleex traite les catégories de données personnelles suivantes, selon l'interaction avec le service :

• Données d'identification et de contact : prénom, nom, adresse e-mail, téléphone, adresse du lieu de travail (pour les Personal Trainer).
• Données d'authentification : mot de passe haché avec bcrypt, jetons de session JWT chiffrés.
• Données de santé (art. 9 RGPD) : poids, pourcentage de masse grasse, mesures corporelles, objectifs d'entraînement et données biométriques fournies volontairement par l'athlète, uniquement sur la base d'un consentement explicite distinct.
• Contenus téléchargés : photos de progression, pièces jointes au chat, factures.
• Données d'utilisation : entraînements effectués, séries et répétitions, volume, streaks, trophées débloqués.
• Données de paiement : gérées exclusivement par Stripe. Athleex ne stocke JAMAIS de numéros de carte, CVV ou données bancaires.
• Journaux techniques : adresse IP, user-agent, horodatages d'accès, conservés à des fins de sécurité et de prévention des abus.

• Fourniture du service (art. 6.1.b RGPD, exécution contractuelle) : création du compte, gestion de la relation PT-athlète, attribution de programmes, chat, facturation.
• Traitement des données de santé (art. 9.2.a RGPD, consentement explicite) : saisie de mesures biométriques, photos de progression, journal alimentaire. Le consentement est révocable à tout moment depuis les paramètres du profil.
• Analyse prédictive (Athlete Twin / Athleex Score) (art. 6.1.a RGPD, consentement explicite) : projections statistiques sur la performance et la récupération. Voir la section 11 pour les détails sur la logique utilisée et les droits spécifiques.
• Obligations légales (art. 6.1.c RGPD) : conservation des données de facturation conformément au D.P.R. 633/1972 pendant 10 ans.
• Intérêt légitime (art. 6.1.f RGPD) : sécurité de l'infrastructure, prévention des fraudes et des abus, analytics agrégées non identifiantes.
• Marketing et newsletter (art. 6.1.a RGPD, consentement) : uniquement après opt-in explicite. Révocable à tout moment.

• Données du compte : pendant toute la durée de la relation plus 12 mois après la cessation, sauf demande de suppression.
• Données de facturation : 10 ans (obligation civile et fiscale).
• Journaux de sécurité : 12 mois.
• Données de santé : conservées tant que le consentement est actif ; en cas de révocation, elles sont supprimées sous 30 jours.

Les données peuvent être communiquées aux sujets suivants en qualité de sous-traitants (art. 28 RGPD) :

• Hetzner Online GmbH (infrastructure serveur, Allemagne — EEE).
• Stripe Payments Europe Ltd. (paiements, Irlande — EEE).
• Meta Platforms Ireland Ltd. (intégration WhatsApp Business et Instagram, uniquement si le PT active l'intégration — EEE).
• Resend, Inc. (fournisseur d'e-mails transactionnels pour les notifications de service, États-Unis — transfert avec Clauses Contractuelles Types).

Les éventuels transferts hors de l'Espace Économique Européen sont effectués après adoption des Clauses Contractuelles Types conformément aux art. 44 et suivants du RGPD.

Conformément aux art. 15-22 RGPD, à tout moment vous avez le droit de :

• obtenir l'accès à vos données et une copie structurée (portabilité) depuis Paramètres » Exporter les données (GDPR) ;
• demander la rectification des données inexactes depuis votre profil ;
• demander la suppression (« droit à l'oubli ») depuis Paramètres » Supprimer le compte ;
• limiter ou vous opposer au traitement à des fins de marketing ;
• retirer votre consentement pour les données de santé et la newsletter, à tout moment ;
• déposer une réclamation auprès de l'autorité italienne de protection des données (garanteprivacy.it) si vous estimez que le traitement enfreint le RGPD.

Athleex utilise uniquement des cookies techniques de session (nom : athleex_session) strictement nécessaires au fonctionnement du service. Nous n'utilisons pas de cookies de profilage ni de suivi de tiers. Conformément au considérant 30 du RGPD et à la mesure de l'autorité italienne du 10 juin 2021, les cookies techniques ne nécessitent pas de consentement préalable.

Nous mettons en œuvre des mesures techniques et organisationnelles adaptées au risque : chiffrement des données sensibles au repos (AES-256-GCM) et en transit (TLS 1.3), hachage bcrypt des mots de passe, principe du moindre privilège, isolation des sessions via cookies JWT signés, limitation de débit, journaux d'audit administratifs, sauvegardes chiffrées.

Le service n'est pas destiné aux mineurs de moins de 18 ans. Si un compte appartient à un mineur sans le consentement du parent ou du tuteur, le compte sera supprimé.

Athleex se réserve le droit de mettre à jour la présente politique en cas de changements réglementaires ou organisationnels. La date de dernière mise à jour figure en tête du document. Les mises à jour importantes seront notifiées par e-mail aux utilisateurs enregistrés.

Athleex propose aux athlètes une fonctionnalité optionnelle nommée Athlete Twin qui, à partir des données d'entraînement déjà présentes dans le compte (journal d'entraînement, séries et charges, RPE, objectifs actifs), calcule :

• une projection du 1RM à 4 semaines pour les exercices fondamentaux ;
• un indice de risque de récupération / surentraînement ;
• une projection de l'atteinte des objectifs ;
• un score composite 0-100 appelé Athleex Score.

Base juridique : art. 6.1.a RGPD — consentement explicite de l'athlète. La fonctionnalité est désactivée par défaut et peut être activée par l'athlète depuis Paramètres » Athlete Twin.

Logique utilisée (art. 13.2.f et 22.3 RGPD — droit à une explication significative) : toutes les projections sont calculées avec des méthodes statistiques classiques et déterministes, sans algorithmes opaques de machine learning :

• estimation du 1RM via la formule d'Epley ;
• régression linéaire (moindres carrés) sur le meilleur 1RM hebdomadaire avec intervalle de confiance à 95 % ;
• moyenne mobile exponentielle (EWMA) sur les signaux de fatigue ;
• extrapolation linéaire pour les projections d'objectifs.

Portée et conséquences attendues : les projections sont exclusivement informatives et motivationnelles. Athleex N'UTILISE PAS ces projections pour prendre des décisions ayant des effets juridiques ou affectant significativement l'athlète.

Visibilité par le PT : si activée, les projections et le score sont visibles par le Personal Trainer connecté à des fins de gestion du parcours d'entraînement uniquement.

Droits : l'athlète peut à tout moment (i) retirer son consentement depuis Paramètres — la révocation entraîne la suppression immédiate de toutes les projections (art. 17 RGPD) ; (ii) obtenir une explication détaillée en écrivant à info@athleex.com ; (iii) s'opposer au traitement (art. 21 RGPD).

Conservation : l'historique des projections est conservé au maximum 60 jours puis écrasé.

Pour exercer vos droits ou pour toute question, écrivez à info@athleex.com. Nous répondons sous 30 jours conformément à l'art. 12 RGPD.

Pour fournir le service, nous nous appuyons sur les sous-traitants suivants. Chacun est lié par un Data Processing Agreement (DPA) et un mécanisme de transfert approprié pour les destinataires hors EEE (Clauses Contractuelles Types ou EU-US Data Privacy Framework, le cas échéant).

• Hetzner Online GmbH (DE) — infrastructure d'hébergement (Postgres, serveur app). Localisation des données : Allemagne. Base juridique : art. 6(1)(b) exécution du contrat.
• Stripe, Inc. (US) — traitement des paiements. Destinataire au titre du EU-US DPF + CCT. Reçoit uniquement les données de facturation (token de carte, adresse, montant). Certifié PCI-DSS Level 1.
• Meta Platforms Ireland Ltd / Meta Platforms, Inc. (IE/US) — mesure de l'efficacité publicitaire (Pixel + Conversions API). Destinataire au titre du EU-US DPF. Uniquement avec consentement marketing. Reçoit des identifiants hashés (e-mail, téléphone, nom, pays, ID externe) et des métadonnées d'événement. Les données personnelles ne sont jamais partagées en clair.
• Apple Inc. (US) — consegna notifiche push iOS/Safari (APNs gateway). Riceve esclusivamente endpoint cifrato del dispositivo. Resend, Inc. (US) — envoi d'e-mails transactionnels + audience waitlist. Destinataire au titre des CCT. Reçoit e-mail + nom + locale.
• OpenStreetMap Foundation / Nominatim (UK) — geocoding pour la recherche de coachs. Reçoit uniquement la chaîne d'adresse saisie par l'utilisateur (aucun autre identifiant).
• Google Ireland Limited / Google LLC (IE/US) — Google Analytics 4 (propriété web G-GRLNNH64JH) pour la mesure de l'utilisation du produit et Google Search Console pour l'indexation SEO. Uniquement avec consentement analytique (Consent Mode v2 default-denied). Reçoit des IP anonymisées et des métadonnées d'événement agrégées ; nous activons IP anonymization, ads_data_redaction et url_passthrough. Destinataire au titre du EU-US DPF + CCT.

La liste complète des sous-traitants avec les liens vers les DPA est également publiée sur /legal/sub-processors et mise à jour à chaque ajout (avec au moins 30 jours de préavis pour les modifications substantielles).

Section applicable aux utilisateurs résidant dans les juridictions indiquées. Le texte original en anglais constitue la version juridiquement contraignante.

For California residents, Athleex complies with the California Consumer Privacy Act (CCPA) as amended by the California Privacy Rights Act (CPRA). You have the right to: (a) know what personal information we collect, use, disclose; (b) delete personal information; (c) correct inaccurate personal information; (d) opt out of "sale" or "sharing" (Athleex does NOT sell personal information; cross-context behavioural advertising is governed by the cookie banner and may be disabled at /legal/do-not-sell); (e) limit use of "sensitive personal information" (which we do not use beyond strictly necessary purposes); (f) non-discrimination. Equivalent rights apply to residents of Colorado, Connecticut, Virginia, Utah, Texas, Oregon, Tennessee, Indiana, Iowa, Montana, Florida, Delaware, New Hampshire, New Jersey, Maryland, Minnesota under their respective state privacy laws. To exercise rights write to info@athleex.com. We respond within 45 days (CCPA) — extendable once by another 45 days. Athleex is NOT a HIPAA Covered Entity or Business Associate; the service is wellness-tracking and not medical care.

Washington — My Health My Data Act (MHMDA, RCW 19.373): les journaux d'entraînement, les biométriques (avec consentement), les scores de bien-être et toute donnée identifiant l'état de santé physique ou mental (passé, présent ou futur) du consommateur constituent des "consumer health data" au sens du MHMDA. En créant un compte Athleex, les résidents de l'État de Washington donnent leur consentement explicite (RCW 19.373.020) au traitement de ces données exclusivement aux fins de coaching de bien-être décrites au §3. Athleex NE vend PAS de consumer health data. Athleex NE les partage PAS avec des tiers à des fins publicitaires. Les sous-traitants énumérés au §13 reçoivent des consumer health data uniquement en tant que prestataires de services liés par des DPA écrits interdisant tout usage autonome. Les résidents de Washington peuvent à tout moment retirer leur consentement et demander la suppression des consumer health data en écrivant à info@athleex.com; la suppression est propagée à tous les sous-traitants dans un délai de 30 jours (RCW 19.373.040). Le geofencing des consumer health data est interdit et Athleex ne le pratique pas. See /legal/wa-consumer-health for the full standalone notice required by RCW 19.373.020(1).

Section applicable aux utilisateurs canadiens, et notamment aux résidents du Québec en application de la Loi 25. Le présent texte est fourni en français et en anglais conformément à la Loi sur la langue officielle et commune du Québec, le français étant la langue officielle du Québec.

For Canadian users, Athleex complies with the Personal Information Protection and Electronic Documents Act (PIPEDA) at the federal level and with Quebec's Law 25 (formerly Bill 64) for Quebec residents. Quebec Law 25 introduces requirements stricter than GDPR for sensitive data and automated decisions; Athleex's Art.22 protections (Athlete Twin / Athleex Score) extend to Quebec users by default. The competent authority is the Office of the Privacy Commissioner of Canada (OPC) — priv.gc.ca — and for Quebec residents the Commission d'accès à l'information du Québec (CAI). To exercise PIPEDA / Law 25 rights write to info@athleex.com.

Para los usuarios residentes en México, Athleex actúa conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP). Tienes derecho a ejercer los derechos ARCO (Acceso, Rectificación, Cancelación, Oposición), así como a revocar tu consentimiento y limitar el uso o divulgación de tus datos. Para ello escribe a info@athleex.com. La autoridad competente es el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (Secretaría Anticorrupción y Buen Gobierno (SABG, successor to INAI as of March 2025)) — gob.mx/sabg. Las transferencias de datos hacia destinatarios fuera de México se realizan exclusivamente para cumplir el contrato con el usuario y para fines de prestación del servicio.

Section applicable aux utilisateurs résidant dans les juridictions indiquées. Le texte original en anglais constitue la version juridiquement contraignante.

Athleex is operated from Italy and processes personal data primarily under the EU GDPR. For users resident in Norway, Iceland, Liechtenstein, Andorra, Monaco, San Marino — the GDPR or a regime declared adequate by the European Commission applies. For users resident in countries with national data-protection laws aligned to the GDPR template — including Serbia, Bosnia and Herzegovina, Montenegro, North Macedonia, Albania, Kosovo, Ukraine, Moldova, Georgia, Armenia and Azerbaijan — Athleex applies GDPR-equivalent technical, organisational and contractual safeguards and recognises the rights granted by your local law. The competent supervisory authorities of those countries can be contacted directly; we cooperate with any lawful request. Where consent is required by your local law (e.g. Ukraine's 2024 amended Law on Personal Data Protection), the cookie banner and account-creation flows operate as the consent-collection mechanism. To exercise rights write to info@athleex.com.

Section applicable aux utilisateurs résidant dans les juridictions indiquées. Le texte original en anglais constitue la version juridiquement contraignante.

Athleex does not knowingly accept registrations from territories subject to comprehensive EU, UK, US or UN sanctions, including (without limitation) Belarus, North Korea, Iran, Syria, Cuba, the Crimea, Donetsk and Luhansk regions of Ukraine. Should an account be created from such a territory, we reserve the right to suspend it without prior notice and to comply with applicable sanctions law.