Politique de confidentialité

1. Responsable du traitement

Le responsable du traitement des données est la SARL H-TAG, SIREN 797 650 108, dont le siège est situé 4 avenue des Pyrénées, 11100 Narbonne.
Contact : rgpd@fit2simply.com.

2. Données collectées

Dans le cadre de votre utilisation du service, nous collectons :

• Identité & compte : nom d'utilisateur, email, prénom, nom, date de naissance, mot de passe (haché bcrypt)
• Authentification : secret TOTP (chiffré), historique de connexions (IP hachée, user-agent)
• Données corporelles : poids, taille, mensurations (poitrine, taille, hanches, bras, cuisses, mollets, épaules)
• Données de santé (Art. 9 RGPD) : conditions médicales, intolérances, allergies, blessures, et contenu des bilans personnalisés générés
• Données comportementales : journal alimentaire, séances d'entraînement réalisées, recettes créées
• Données de paiement (lors de l'abonnement) : traitées directement par Stripe ; nous conservons uniquement un identifiant client Stripe et le statut de l'abonnement

3. Finalités et bases légales

4. Destinataires

Vos données peuvent être transmises à :

• OVH SAS (hébergement, UE)
• Stripe Technology Europe Ltd (traitement des paiements, UE/Irlande)
• Anthropic PBC (génération des bilans par IA, États-Unis — transfert couvert par les Clauses Contractuelles Types de la Commission européenne)

Aucune donnée n'est vendue ni transmise à des fins publicitaires.

5. Durées de conservation

• Compte actif : vos données sont conservées tant que votre compte existe
• Inactivité : après 30 jours sans connexion, un email d'alerte vous est envoyé. Sans connexion dans les 30 jours suivants (soit 60 jours d'inactivité totale), votre bilan est supprimé et votre compte est suspendu. Vous pouvez réactiver votre compte à tout moment en vous reconnectant, mais le bilan supprimé n'est pas récupérable.
• Suppression par vous : immédiate, les données sont supprimées en cascade
• Facturation : 10 ans (obligation comptable)
• Logs de connexion : 12 mois

6. Sécurité et chiffrement

Les données de santé (contenu des bilans, conditions médicales, intolérances, blessures) et les secrets 2FA sont chiffrés au repos par AES-256-GCM. Les mots de passe sont hachés par bcrypt. L'ensemble des communications avec le serveur est protégé par HTTPS (TLS 1.3). Les IP utilisées pour les statistiques de connexion sont hachées et salées (pseudonymisation).

Accès administrateur : le personnel autorisé de la SARL H-TAG dispose, via la clef de chiffrement serveur, de la capacité technique à déchiffrer les bilans. Cet accès est réservé aux cas exceptionnels (support technique, obligation légale) et tracé dans un journal d'audit. L'interface d'administration n'expose jamais le contenu des bilans utilisateurs.

7. Mineurs

L'inscription est ouverte à partir de 16 ans. Pour les mineurs de moins de 16 ans, l'inscription requiert le consentement d'un titulaire de l'autorité parentale, recueilli via un email de confirmation envoyé à une adresse parentale fournie lors de l'inscription.

8. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

• Droit d'accès à vos données
• Droit de rectification
• Droit à l'effacement (« droit à l'oubli »)
• Droit à la portabilité (export au format JSON)
• Droit d'opposition au traitement
• Droit de limitation du traitement
• Droit de retirer votre consentement à tout moment

Ces droits s'exercent depuis votre page profil (export et suppression) ou par email à rgpd@fit2simply.com. Vous avez également le droit d'introduire une réclamation auprès de la CNIL (cnil.fr).

9. Cookies

Fit2Simply utilise uniquement un cookie de session essentiel au fonctionnement (authentification). Aucun cookie de tracking, analytique ou publicitaire tiers n'est déposé. Votre consentement spécifique n'est donc pas requis (Art. 82 LIL).

10. Modifications

Nous pouvons modifier cette politique. La date en haut de page est mise à jour à chaque changement. En cas de modification substantielle, vous serez informé par email.