1. Responsable du traitement
AnaProtoKol est le responsable du traitement des données personnelles collectées via la plateforme. Pour exercer vos droits ou poser une question, contactez-nous via l'adresse e-mail indiquée dans la section « À propos » de l'application.
2. Données collectées
Nous collectons les données suivantes :
Données de compte
- Nom, adresse e-mail, mot de passe (hashé avec bcrypt)
- Sexe, taille, poids, body fat, date de naissance (optionnels)
Données de suivi
- Cycles de performance (produits, dosages, durée)
- Journal quotidien (poids, pression artérielle, humeur, nutrition, entraînement, effets secondaires)
- Bilans sanguins (hormones, foie, lipides, etc.)
- Records personnels (exercices, charges)
Données de paiement
- Les informations de carte bancaire sont traitées directement par Stripe et ne transitent jamais par nos serveurs
- Nous stockons uniquement l'identifiant client Stripe (stripeCustomerId) pour gérer votre abonnement
Données techniques
- Adresse IP (pour le rate limiting et la sécurité, non stockée durablement)
- Cookie de session (NextAuth, strictement nécessaire au fonctionnement)
3. Finalités du traitement
| Finalité | Base légale (RGPD) |
|---|
| Fournir le service (suivi, analyses IA) | Exécution du contrat (Art. 6.1.b) |
| Gérer votre compte et abonnement | Exécution du contrat |
| Envoyer des e-mails transactionnels (reçu, bienvenue) | Intérêt légitime (Art. 6.1.f) |
| Sécuriser la plateforme (rate limiting) | Intérêt légitime |
| Améliorer le service | Intérêt légitime |
4. Partage des données
Vos données peuvent être partagées avec :
- Anthropic (Claude) : vos données de profil (sexe, âge, poids, BF) et le contexte de votre question sont envoyés à l'API Claude pour générer les analyses IA. Anthropic ne conserve pas les données au-delà du traitement de la requête selon leur politique.
- Stripe : pour le traitement des paiements par carte bancaire.
- MongoDB Atlas : hébergement de la base de données (serveurs AWS eu-west, Union Européenne).
- Votre coach (plan Elite uniquement, si vous l'avez explicitement invité) : accès en lecture seule à vos cycles, bilans et analyses selon les permissions que vous avez accordées.
Nous ne vendons jamais vos données à des tiers.
5. Durée de conservation
- Données de compte : conservées tant que le compte est actif, supprimées sur demande
- Données de suivi : conservées tant que le compte est actif
- Données de paiement Stripe : selon la politique de rétention de Stripe
- Logs de sécurité (IP) : non stockés durablement
6. Vos droits (RGPD)
Conformément au Règlement Général sur la Protection des Données (RGPD), vous disposez des droits suivants :
- Droit d'accès : obtenir une copie de vos données personnelles
- Droit de rectification : corriger des données inexactes (via /settings)
- Droit à l'effacement : demander la suppression de votre compte et de toutes vos données
- Droit à la portabilité : recevoir vos données dans un format structuré et lisible par machine
- Droit d'opposition : vous opposer au traitement de vos données
- Droit de retirer votre consentement : à tout moment pour les traitements basés sur le consentement
Pour exercer ces droits, contactez-nous via l'adresse e-mail indiquée dans la section « À propos ». Nous répondrons dans un délai de 30 jours.
7. Sécurité
- Mots de passe hashés avec bcrypt (coût 12)
- Communication HTTPS uniquement
- Authentification par JWT (NextAuth)
- Rate limiting sur les endpoints sensibles
- Base de données hébergée sur MongoDB Atlas (chiffrement au repos et en transit)
8. Transferts hors UE
Les données de profil envoyées à l'API Anthropic (Claude) peuvent être traitées aux États-Unis. Ce transfert est encadré par les clauses contractuelles types de la Commission Européenne. Les données de la base MongoDB Atlas restent dans l'Union Européenne (AWS eu-west).
10. Modifications
Cette politique peut être mise à jour. La date de dernière modification est indiquée en haut de page. Nous vous informerons des changements substantiels.