1. Qui sommes-nous ?
Cette politique de confidentialité vous informe sur la manière dont Power Partners collecte, utilise et protège vos données personnelles lorsque vous utilisez notre application.
Responsable de traitement
Power Partners SAS
14 rue de la mairie
92320 Châtillon, France
SIRET : 91939338900011
Email : johan@powerpartners.fr
Délégué à la Protection des Données (DPO)
Email : johan@powerpartners.fr
Adresse : Power Partners SAS - DPO, 14 rue de la mairie, 92320 Châtillon, France
2. Quelles données collectons-nous ?
Transparence : Nous distinguons clairement les données toujours collectées (nécessaires au fonctionnement du service), les données optionnelles (que vous choisissez de renseigner), et les données dépendant de l'option choisie par votre employeur (Analytics RH).
2.1 Données toujours collectées (obligatoires)
Ces données sont nécessaires pour créer votre compte et utiliser l'application :
- Nom et prénom
- Adresse email professionnelle
- Entreprise et département
- Sessions d'entraînement réalisées
- Participation aux challenges
- Badges et achievements obtenus
2.2 Données optionnelles (selon votre choix)
Ces données ne sont collectées que si vous décidez de les renseigner :
- Photo de profil
- Objectifs personnels (perte de poids, gain musculaire, etc.)
- Niveau de stress déclaré
- Qualité de sommeil déclarée
- Données de poids
- Données d'activité physique (synchronisation Apple Health / Google Fit)
- Interactions avec le Coach IA
- Réservations de cours collectifs
Important : Power Partners est une application de bien-être, pas un établissement de santé. Ces données ne sont pas des données médicales au sens du Code de la santé publique.
2.3 Données dépendant de l'option choisie par votre employeur
Si votre employeur a souscrit à l'option Analytics RH, des données supplémentaires peuvent être traitées de manière anonymisée et agrégée pour générer des statistiques globales :
- Taux de participation aux activités (agrégé par équipe/département)
- Tendances de bien-être (moyennes et pourcentages, jamais données individuelles)
- Indicateurs de risques (surcharge, turnover) — uniquement si le seuil de k-anonymat est atteint (min. 10 personnes)
Votre contrôle : Même si votre employeur a souscrit à l'option Analytics RH, vos données individuelles ne lui sont jamais transmises. Seules des statistiques anonymisées et agrégées sont accessibles (voir section 5 pour plus de détails).
2.4 Données de paiement
- Historique des achats (cours payants)
- Données de carte bancaire : traitées par Stripe, jamais stockées par nous
2.5 Données techniques
- Adresse IP (anonymisée)
- Type d'appareil et système d'exploitation
- Logs de connexion
- Données de performance de l'application
3. Pourquoi collectons-nous vos données ?
| Finalité | Données utilisées |
|---|---|
| Créer et gérer votre compte | Email, nom, entreprise |
| Personnaliser vos entraînements | Objectifs, niveau, préférences |
| Fournir le Coach IA personnalisé | Profil bien-être, historique activité |
| Afficher vos statistiques | Sessions, progression, achievements |
| Permettre la gamification | Scores, classements, badges |
| Traiter vos paiements | Données de transaction (via Stripe) |
| Générer des analytics RH pour votre entreprise | Données anonymisées uniquement (k-anonymat, min. 10 personnes) |
| Améliorer notre application | Logs techniques, erreurs |
| Assurer la sécurité | Logs de connexion, adresse IP |
4. Sur quelle base légale ?
| Traitement | Base légale (RGPD) |
|---|---|
| Gestion du compte | Exécution du contrat (Art. 6.1.b) |
| Entraînements et gamification | Exécution du contrat (Art. 6.1.b) |
| Coach IA et données bien-être | Consentement explicite (Art. 9.2.a) |
| Analytics RH (anonymisées) | Intérêt légitime (Art. 6.1.f) |
| Paiements | Exécution du contrat (Art. 6.1.b) |
| Sécurité et logs | Intérêt légitime (Art. 6.1.f) |
| Facturation | Obligation légale (Art. 6.1.c) |
Pour les données de bien-être traitées par le Coach IA, nous recueillons votre consentement explicite lors de la première utilisation. Vous pouvez retirer ce consentement à tout moment dans les paramètres de l'application.
5. Avec qui partageons-nous vos données ?
5.1 Votre employeur : données anonymisées ET agrégées
Important : Votre employeur n'a jamais accès à vos données personnelles ou individuelles. Il reçoit uniquement des données qui sont à la fois anonymisées et agrégées.
🔒 Anonymisation
L'anonymisation supprime tout lien entre les données et votre identité. Vos données individuelles sont techniquement impossibles à relier à vous.
- Aucun nom, email ou identifiant transmis
- Impossible de vous identifier
📊 Agrégation
L'agrégation regroupe les données de plusieurs personnes pour calculer des statistiques globales. Votre employeur ne voit que des moyennes et pourcentages.
- Moyennes (ex: 72% de participation)
- Tendances (ex: +5% ce mois)
- Répartitions (ex: 40% yoga, 30% HIIT...)
Méthode d'agrégation : k-anonymat
Nous appliquons le principe de k-anonymat avec un seuil minimum de 10 personnes. Concrètement :
- Aucune statistique n'est générée si le groupe concerné contient moins de 10 personnes
- Les données sont regroupées par département/équipe uniquement si le seuil est atteint
- En dessous du seuil, les données sont fusionnées avec un groupe plus large (ex: entreprise entière)
- Cette méthode garantit qu'il est statistiquement impossible de déduire les réponses d'un individu
Exemple concret :
Si votre équipe compte 8 personnes, votre employeur ne verra pas de statistiques spécifiques à votre équipe. Il verra uniquement des statistiques au niveau du département ou de l'entreprise (si ces groupes atteignent le seuil de 10 personnes).
5.2 Équipe Power Partners
- Support technique et amélioration du service
- Accès limité aux données nécessaires pour résoudre les problèmes signalés
5.3 Sous-traitants
Pour vous fournir nos services, nous faisons appel aux sous-traitants suivants :
| Sous-traitant | Service | Localisation | Garanties |
|---|---|---|---|
| Google Cloud (Firebase) | Infrastructure, Base de données, Authentification | Union Européenne (Francfort) | DPA inclus, ISO 27001, SOC 2 |
| Anthropic (Claude) | Coach IA, Assistant bien-être | États-Unis | DPA signé, SCC en place |
| Stripe | Paiements, Cours physiques | États-Unis (processing UE) | PCI-DSS Lvl 1, DPA inclus |
| Sentry | Monitoring technique, Détection erreurs | États-Unis | DPA inclus, SCC en place |
| Mailgun (Sinch) | Envoi d'emails, Notifications | Union Européenne | DPA inclus, ISO 27001 |
Chaque sous-traitant est lié par un accord de traitement des données (DPA) conforme au RGPD.
5.4 Nous ne vendons jamais vos données
Vos données personnelles ne sont jamais vendues, louées ou échangées à des fins commerciales avec des tiers.
6. Transferts hors Union Européenne
Certains de nos sous-traitants sont situés aux États-Unis. Ces transferts sont encadrés par les Clauses Contractuelles Types (SCC) de la Commission Européenne.
Anthropic (Coach IA)
- Données concernées : Conversations avec le Coach IA
- Protection : Clauses Contractuelles Types (SCC)
- Engagement : Anthropic n'utilise pas vos données pour entraîner ses modèles
Stripe (Paiements)
- Données concernées : Données de paiement (tokenisées)
- Protection : Clauses Contractuelles Types (SCC)
- Note : Vos numéros de carte ne sont jamais stockés par Power Partners
Sentry (Monitoring)
- Données concernées : Données techniques (erreurs uniquement)
- Protection : Clauses Contractuelles Types (SCC)
- Note : Aucune donnée de bien-être n'est transmise à Sentry
Mesures supplémentaires
- Chiffrement des données en transit (TLS 1.3) et au repos (AES-256)
- Minimisation des données transférées
- Contrôles d'accès stricts
7. Combien de temps conservons-nous vos données ?
7.1 Données d'identification
| Donnée | Durée de conservation |
|---|---|
| Nom, prénom, email | Durée de la relation + 5 ans après inactivité |
| Photo de profil | Durée de la relation contractuelle |
7.2 Données de bien-être
| Donnée | Durée de conservation |
|---|---|
| Profil bien-être | 24 mois après dernière activité |
| Historique de poids | 24 mois après dernière activité |
| Données de sommeil | 24 mois après dernière activité |
| Sessions d'entraînement | 24 mois après dernière activité |
7.3 Conversations Coach IA
| Donnée | Durée de conservation |
|---|---|
| Messages échangés | 90 jours (3 mois) - purge automatique |
Conformément aux recommandations de la CNIL sur les chatbots, vos conversations sont automatiquement supprimées après 90 jours.
7.4 Données comptables
| Donnée | Durée de conservation |
|---|---|
| Paiements et factures | 10 ans (obligation légale) |
8. Comment protégeons-nous vos données ?
Chiffrement
- En transit : TLS 1.2+ / TLS 1.3
- Au repos : AES-256 (Firebase)
- Conversations IA : AES-256-GCM (bout en bout)
Contrôle d'accès
- Authentification sécurisée (Firebase Auth)
- 2FA pour les administrateurs
- Principe du moindre privilège
Hébergement
- Infrastructure : Google Cloud (Firebase)
- Région : europe-west3 (Francfort, Allemagne)
- Certifications : ISO 27001, SOC 2
Anonymisation
- Analytics RH : k-anonymat (min. 10 personnes)
- Vos données individuelles ne sont jamais visibles par votre employeur
9. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
| Droit | Article RGPD | Description |
|---|---|---|
| Accès | Article 15 | Obtenir une copie de vos données |
| Rectification | Article 16 | Corriger des données inexactes |
| Effacement | Article 17 | Supprimer vos données |
| Limitation | Article 18 | Restreindre le traitement |
| Portabilité | Article 20 | Récupérer vos données (JSON) |
| Opposition | Article 21 | Vous opposer à certains traitements |
| Retrait consentement | Article 7 | Retirer votre consentement |
Comment exercer vos droits ?
1. Dans l'application (immédiat)
- Portabilité : Paramètres → "Exporter mes données (RGPD)"
- Effacement : Paramètres → "Supprimer mon compte"
- Rectification : Mon Espace → Modifier le profil
- Retrait consentement IA : Chat → Réglages → Désactiver le Coach IA
2. Par email
johan@powerpartners.fr
Objet : [RGPD] - [Type de demande] - [Vos nom et prénom]
3. Par courrier
Power Partners SAS - DPO
14 rue de la mairie
92320 Châtillon, France
Délais de traitement : Dans l'application : immédiat. Par email/courrier : 30 jours maximum (extension possible de 60 jours si demande complexe).
10. Cookies
Notre application utilise des cookies strictement nécessaires à son fonctionnement :
| Type de cookie | Durée |
|---|---|
| Cookies fonctionnels (authentification) | Durée de la session |
| Cookies analytiques (amélioration du service) | 13 mois maximum (avec votre consentement) |
11. Modifications de cette politique
Nous pouvons mettre à jour cette politique de confidentialité. En cas de modification substantielle, nous vous en informerons par :
- Notification dans l'application
- Email à l'adresse associée à votre compte
12. Réclamation auprès de la CNIL
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL :
Commission Nationale de l'Informatique et des Libertés (CNIL)
3 Place de Fontenoy - TSA 80715
75334 Paris Cedex 07, France
Site web : www.cnil.fr/fr/plaintes
Téléphone : 01 53 73 22 22
13. Contact
Pour toute question concernant cette politique ou vos données personnelles :
Délégué à la Protection des Données
Email : johan@powerpartners.fr
Power Partners SAS
14 rue de la mairie
92320 Châtillon, France