Légal

Politique de confidentialité

Dernière mise à jour : 30 avril 2026

1. Préambule

La présente politique de confidentialité décrit la manière dont [À COMPLÉTER — raison sociale] (ci-après « nous ») collecte, utilise, conserve et protège tes données personnelles dans le cadre du service PhysiQ (site marketing physiqapp.ch et application web app.physiqapp.ch).

Nous nous conformons au Règlement général sur la protection des données (RGPD, UE 2016/679) et à la Loi fédérale sur la protection des données suisse (nLPD).

2. Responsable du traitement

  • Responsable : [À COMPLÉTER — raison sociale]
  • Adresse : [À COMPLÉTER — adresse complète]
  • Email : contact@physiqapp.ch
  • Délégué à la protection des données (DPO) : [À COMPLÉTER — non obligatoire si pas de traitement à grande échelle de données sensibles, mais recommandé pour PhysiQ. Indiquer un email dédié dpo@physiqapp.ch ou « non désigné »]

3. Données collectées

3.1 Données fournies directement par toi

  • Compte : nom, prénom, email, mot de passe (haché bcrypt), genre, date de naissance, photo de profil (optionnelle), langue, fuseau horaire
  • Profil athlète : taille, poids, niveau, objectifs sportifs, disciplines pratiquées
  • Mesures corporelles : poids régulier, masse grasse, mensurations (optionnel)
  • Données de santé : blessures déclarées, douleurs, intensités RPE — voir section Données de santé
  • Activité d'entraînement : séances réalisées, exercices, séries, charges, scores, bilans
  • Bien-être : sommeil, fatigue, humeur (optionnel, déclaratif)
  • Coaching : programmes assignés, notes du coach, messages
  • Workspace : nom, type (personnel / coach / salle), couleur d'accent, membres invités
  • Paiement : données de facturation traitées par Stripe (nous ne stockons jamais le numéro de carte)

3.2 Données collectées automatiquement

  • Logs techniques : adresse IP, user-agent, timestamps des requêtes (à des fins de sécurité et audit)
  • Audit logs : actions sensibles (connexion, modification de données critiques, paiements) avec horodatage
  • Tokens d'authentification : JWT access token (15 min) + refresh token (cookie httpOnly, 7 jours)

3.3 Données collectées via des tiers

  • Stripe : statut de paiement, type de carte (4 derniers chiffres), pays — pas le numéro complet

4. Finalités et bases légales

FinalitéBase légale (RGPD)
Création et gestion de ton compteExécution du contrat (art. 6.1.b)
Fourniture du service de coaching, suivi d'entraînement, programmesExécution du contrat
Traitement des paiements et abonnementsExécution du contrat
Stockage des données de santé (blessures, RPE, mesures)Consentement explicite (art. 9.2.a)
Envoi d'emails transactionnels (vérification, reset mdp, factures)Exécution du contrat
Sécurité, prévention de la fraude, auditIntérêt légitime (art. 6.1.f)
Respect des obligations légales (comptabilité, fiscalité)Obligation légale (art. 6.1.c)
Amélioration du service (analyse interne anonymisée)Intérêt légitime

5. Données de santé — traitement spécifique

Certaines données traitées par PhysiQ relèvent de la catégorie « données concernant la santé » au sens de l'art. 9 RGPD et de l'art. 5 let. c LPD :

  • Blessures déclarées (zone, type, date)
  • Niveau de douleur ressenti durant les séances
  • Mesures corporelles (poids, masse grasse)
  • Données de bien-être (fatigue, sommeil, humeur)

Ces données sont collectées uniquement avec ton consentement explicite (case à cocher distincte à l'inscription). Tu peux retirer ton consentement à tout moment depuis les paramètres de ton compte. Le retrait n'affecte pas la licéité des traitements antérieurs.

Ces données ne sont jamais partagées avec des partenaires commerciaux, ni utilisées à des fins publicitaires. Elles sont accessibles uniquement à toi-même et, le cas échéant, à ton coach (lorsque tu es athlète d'un workspace coach).

6. Durée de conservation

CatégorieDurée
Compte actifTant que le compte est actif
Compte inactif (sans connexion)3 ans, puis suppression automatique après notification
Données de santéIdem compte (suppression sur demande possible à tout moment)
Logs de sécurité & audit1 an
Données de facturation10 ans (obligation comptable suisse / fiscale FR)
Tokens reset/vérification1 heure (hashés SHA256)
Refresh tokens7 jours, ou jusqu'à révocation

7. Sous-traitants et partage avec des tiers

Nous faisons appel à des sous-traitants techniques pour faire fonctionner le Service. Ils sont contractuellement liés par des accords conformes au RGPD (art. 28) et à la LPD :

PartenaireRôleLocalisation
MongoDB AtlasBase de données[À CONFIRMER — UE Frankfurt recommandé]
Stripe Payments EuropePaiements & abonnementsIrlande (UE)
ResendEnvoi d'emails transactionnelsUSA (DPA conforme)
[À COMPLÉTER — hébergeur]Hébergement applicatif[À COMPLÉTER]
[À COMPLÉTER — CDN si utilisé, ex. Cloudflare]CDN / DNS / DDoSMondial

Nous ne vendons jamais tes données. Aucun partage à des fins commerciales ou publicitaires.

8. Transferts hors UE / Suisse

Certains sous-traitants (Resend, MongoDB selon la région choisie) peuvent traiter des données aux États-Unis. Ces transferts sont encadrés par :

  • Le Data Privacy Framework UE-US (lorsque le partenaire est certifié)
  • Les clauses contractuelles types (CCT) approuvées par la Commission européenne

9. Sécurité

Nous mettons en œuvre les mesures techniques et organisationnelles suivantes :

  • Chiffrement TLS 1.3 sur toutes les communications
  • Mots de passe hachés avec bcrypt (cost factor ≥ 12)
  • Tokens de réinitialisation et de vérification hachés SHA256 en base
  • Authentification par JWT court (15 min) + refresh token httpOnly
  • Rate limiting sur les endpoints sensibles (login, register, mot de passe)
  • Validation et sanitization de toutes les entrées (express-validator, mongo-sanitize, hpp)
  • Audit logs des actions sensibles
  • Webhooks Stripe vérifiés par signature
  • Sauvegardes chiffrées et géo-redondées
  • Accès aux données restreint au strict nécessaire (principe du moindre privilège)

En cas de violation de données, nous notifierons l'autorité de contrôle compétente dans les 72 heures et, si applicable, les personnes concernées.

10. Tes droits

Conformément au RGPD et à la LPD, tu disposes des droits suivants :

  • Droit d'accès — obtenir confirmation et copie de tes données
  • Droit de rectification — corriger des données inexactes (modifiable directement depuis ton compte)
  • Droit à l'effacement (« droit à l'oubli ») — supprimer ton compte et tes données
  • Droit à la limitation du traitement
  • Droit à la portabilité — recevoir tes données dans un format structuré
  • Droit d'opposition — pour les traitements basés sur l'intérêt légitime
  • Droit de retirer ton consentement à tout moment (pour les données de santé notamment)
  • Droit d'introduire une réclamation auprès d'une autorité de contrôle :
    • Suisse : PFPDT
    • France : CNIL
    • Allemagne : autorité du Land concerné

Pour exercer tes droits, contacte-nous à contact@physiqapp.ch. Nous répondons dans un délai d'un mois.

11. Cookies et stockage local

Le site marketing physiqapp.ch n'utilise aucun cookie. Il utilise uniquement le localStorage du navigateur pour deux préférences fonctionnelles :

  • physiq-theme — ta préférence de thème (clair / sombre)
  • physiq-lang — ta préférence de langue (fr / en / de)
  • physiq-cookies-acked — pour ne plus afficher la bannière d'information

Ces données restent localement dans ton navigateur et ne sont jamais transmises à nos serveurs. Aucun outil d'analytics, aucun pixel publicitaire, aucun cookie tiers.

L'application app.physiqapp.ch utilise un cookie d'authentification refreshToken (httpOnly, secure, sameSite strict, durée 7 jours) strictement nécessaire au fonctionnement de la session connectée. Ce cookie est exempté de consentement (cookie fonctionnel essentiel).

12. Mineurs

Le Service est accessible aux mineurs de plus de 16 ans. Pour les athlètes de moins de 16 ans, le consentement parental est requis lors de l'inscription. Les coachs travaillant avec des mineurs sont responsables d'obtenir l'autorisation parentale écrite.

13. Modifications

Nous pouvons mettre à jour cette politique à tout moment. La date de dernière mise à jour est indiquée en haut de la page. En cas de modification substantielle, nous t'informerons par email et/ou notification dans l'application.

14. Contact

Pour toute question relative à cette politique ou à tes données personnelles :