1. Qui sommes-nous ?
Cette politique de confidentialité vous informe sur la manière dont Power Partners collecte, utilise et protège vos données personnelles lorsque vous utilisez notre application.
Responsable de traitement
Power Partners SASU
14 rue de la mairie
92320 Châtillon, France
SIRET : 91939338900011
Email : johan@powerpartners.fr
Délégué à la Protection des Données (DPO)
Email : johan@powerpartners.fr
Adresse : Power Partners SASU - DPO, 14 rue de la mairie, 92320 Châtillon, France
2. Quelles données collectons-nous ?
Transparence : Nous distinguons clairement les données toujours collectées (nécessaires au fonctionnement du service), les données optionnelles (que vous choisissez de renseigner), et les données dépendant de l'option choisie par votre employeur (Analytics RH).
2.1 Données toujours collectées (obligatoires)
Ces données sont nécessaires pour créer votre compte et utiliser l'application :
- Nom et prénom
- Adresse email professionnelle
- Entreprise et département
- Sessions d'entraînement réalisées
- Participation aux challenges
- Badges et achievements obtenus
2.2 Données optionnelles de bien-être et de santé (selon votre choix)
Ces données ne sont collectées que si vous décidez de les renseigner :
- Photo de profil
- Objectifs personnels (perte de poids, gain musculaire, etc.)
- Données de poids, taille et poids cible
- Niveau de stress déclaré
- Qualité de sommeil déclarée (heures par nuit)
- Consommation d'eau déclarée
- Blessures déclarées
- Données d'activité physique (synchronisation Apple Health / Google Fit)
- Interactions avec le Coach IA
- Réservations de cours collectifs
Important : Certaines de ces données sont susceptibles d'être qualifiées de données de santé au sens de l'article 9 du RGPD (catégorie spéciale), notamment par croisement des différentes mesures. À ce titre, leur traitement par le Coach IA repose sur votre consentement explicite (Art. 9.2.a). Power Partners n'est pas un établissement de santé et ne fournit aucun diagnostic ni avis médical.
2.3 Données dépendant de l'option choisie par votre employeur
Si votre employeur a souscrit à l'option Analytics RH, des données supplémentaires peuvent être traitées de manière anonymisée et agrégée pour générer des statistiques globales :
- Taux de participation aux activités (agrégé par équipe/département)
- Tendances de bien-être (moyennes et pourcentages, jamais données individuelles)
- Indicateurs de risques (surcharge, turnover) — uniquement si le seuil de k-anonymat est atteint (min. 10 personnes)
Votre contrôle : Même si votre employeur a souscrit à l'option Analytics RH, vos données individuelles ne lui sont jamais transmises. Seules des statistiques anonymisées et agrégées sont accessibles (voir section 5 pour plus de détails).
2.4 Données de paiement
Lorsque le dispositif de participation financière (Cost-Splitting) est activé par votre Entreprise, nous collectons et traitons les données suivantes dans le cadre du paiement récurrent :
| Donnée | Détail | Stockée par |
|---|---|---|
| Identifiant client Stripe | Identifiant technique unique permettant la gestion de l'abonnement récurrent | Power Partners + Stripe |
| Identifiant d'abonnement Stripe | Référence technique de l'abonnement récurrent | Power Partners + Stripe |
| Token de moyen de paiement | Jeton sécurisé représentant la carte bancaire. Les numéros complets de carte ne sont jamais stockés par Power Partners | Stripe uniquement |
| Historique des paiements | Date, montant HT et TTC, taux de TVA, statut (réussi/échoué/remboursé), période couverte | Power Partners + Stripe |
| Événements d'abonnement | Création, paiement réussi/échoué, suspension, réactivation, changement de prix | Power Partners + Stripe |
| Statut de l'abonnement | Actif, en impayé, suspendu, en attente | Power Partners + Stripe |
| Montant de la participation | Part employé HT et TTC | Power Partners |
Important : Power Partners ne stocke jamais les numéros complets de carte bancaire, les codes CVV/CVC, ni les codes PIN. Ces données sont exclusivement saisies sur la page de paiement hébergée par Stripe et traitées par Stripe (Stripe Payments Europe, Ltd.), prestataire certifié PCI-DSS Niveau 1.
2.5 Données techniques
- Adresse IP (anonymisée)
- Type d'appareil et système d'exploitation
- Logs de connexion
- Données de performance de l'application
3. Pourquoi collectons-nous vos données ?
| Finalité | Données utilisées |
|---|---|
| Créer et gérer votre compte | Email, nom, entreprise |
| Personnaliser vos entraînements | Objectifs, niveau, préférences |
| Fournir le Coach IA personnalisé | Profil bien-être/santé, historique activité, sommeil, stress, hydratation |
| Afficher vos statistiques | Sessions, progression, achievements |
| Permettre la gamification | Scores, classements, badges |
| Traiter vos paiements | Données de transaction (via Stripe) |
| Générer des analytics RH pour votre entreprise | Données anonymisées uniquement (k-anonymat, min. 10 personnes) |
| Améliorer notre application | Logs techniques, erreurs |
| Assurer la sécurité | Logs de connexion, adresse IP |
| Gérer la participation financière (Cost-Splitting) | Stripe Customer ID, Subscription ID, historique des paiements, statut abonnement, montants |
| Prévenir la fraude aux paiements | Données de transaction, adresse IP (traités par Stripe Radar côté Stripe) |
| Audit et traçabilité des abonnements | Événements d'abonnement (traçabilité des actions sur l'abonnement) |
4. Sur quelle base légale ?
| Traitement | Base légale (RGPD) |
|---|---|
| Gestion du compte | Exécution du contrat (Art. 6.1.b) |
| Entraînements et gamification | Exécution du contrat (Art. 6.1.b) |
| Coach IA et données bien-être | Consentement explicite (Art. 9.2.a) |
| Analytics RH (anonymisées) | Intérêt légitime (Art. 6.1.f) |
| Paiements | Exécution du contrat (Art. 6.1.b) |
| Sécurité et logs | Intérêt légitime (Art. 6.1.f) |
| Facturation | Obligation légale (Art. 6.1.c) |
| Prélèvement récurrent (Cost-Splitting) | Exécution du contrat (Art. 6.1.b) |
| Conservation des données de facturation | Obligation légale (Art. 6.1.c) : obligations comptables et fiscales |
| Prévention de la fraude aux paiements | Intérêt légitime (Art. 6.1.f) : sécurisation des transactions (traité par Stripe) |
| Audit des événements d'abonnement | Intérêt légitime (Art. 6.1.f) : support client et résolution des litiges |
Pour les données de bien-être traitées par le Coach IA, nous recueillons votre consentement explicite lors de la première utilisation. Vous pouvez retirer ce consentement à tout moment dans les paramètres de l'application.
5. Avec qui partageons-nous vos données ?
5.1 Votre employeur : données anonymisées ET agrégées
Important : Votre employeur n'a jamais accès à vos données personnelles ou individuelles. Il reçoit uniquement des données qui sont à la fois anonymisées et agrégées.
🔒 Anonymisation
L'anonymisation supprime tout lien entre les données et votre identité. Vos données individuelles sont techniquement impossibles à relier à vous.
- Aucun nom, email ou identifiant transmis
- Impossible de vous identifier
📊 Agrégation
L'agrégation regroupe les données de plusieurs personnes pour calculer des statistiques globales. Votre employeur ne voit que des moyennes et pourcentages.
- Moyennes (ex: 72% de participation)
- Tendances (ex: +5% ce mois)
- Répartitions (ex: 40% yoga, 30% HIIT...)
Méthode d'agrégation : k-anonymat
Nous appliquons le principe de k-anonymat avec un seuil minimum de 10 personnes. Concrètement :
- Aucune statistique n'est générée si le groupe concerné contient moins de 10 personnes
- Les données sont regroupées par département/équipe uniquement si le seuil est atteint
- En dessous du seuil, les données sont fusionnées avec un groupe plus large (ex: entreprise entière)
- Cette méthode garantit qu'il est statistiquement impossible de déduire les réponses d'un individu
Exemple concret :
Si votre équipe compte 8 personnes, votre employeur ne verra pas de statistiques spécifiques à votre équipe. Il verra uniquement des statistiques au niveau du département ou de l'entreprise (si ces groupes atteignent le seuil de 10 personnes).
5.2 Équipe Power Partners
- Support technique et amélioration du service
- Accès limité aux données nécessaires pour résoudre les problèmes signalés
5.3 Sous-traitants
Pour vous fournir nos services, nous faisons appel aux sous-traitants suivants :
| Sous-traitant | Service | Localisation | Garanties |
|---|---|---|---|
| Google Cloud (Firebase) | Infrastructure, Base de données, Authentification | Union Européenne (Francfort) | DPA inclus, ISO 27001, SOC 2 |
| Anthropic (Claude) | Coach IA, Assistant bien-être | États-Unis | DPA signé, SCC en place |
| Stripe (Stripe Payments Europe, Ltd.) | Paiements récurrents, page de paiement hébergée (Checkout), portail de gestion d'abonnement (Billing Portal), tokenisation des cartes bancaires, prévention de la fraude (Radar), gestion des abonnements (Billing) | Irlande (processing UE) / États-Unis (infrastructure) | PCI-DSS Niveau 1, SOC 1 & SOC 2, DPA inclus, SCC en place, conforme DSP2/SCA |
| Sentry | Monitoring technique, Détection erreurs | États-Unis | DPA inclus, SCC en place |
| Mailgun (Sinch) | Envoi d'emails, Notifications | Union Européenne | DPA inclus, ISO 27001 |
Chaque sous-traitant est lié par un accord de traitement des données (DPA) conforme au RGPD.
5.4 Nous ne vendons jamais vos données
Vos données personnelles ne sont jamais vendues, louées ou échangées à des fins commerciales avec des tiers.
6. Transferts hors Union Européenne
Certains de nos sous-traitants sont situés aux États-Unis. Ces transferts sont encadrés par les Clauses Contractuelles Types (SCC) de la Commission Européenne.
Anthropic (Coach IA)
- Données concernées : Conversations avec le Coach IA et contexte utilisateur pseudonymisé (profil bien-être, activité, sommeil, stress, hydratation, progression)
- Protection : Clauses Contractuelles Types (SCC)
- Engagement : Anthropic n'utilise pas vos données pour entraîner ses modèles
- Conservation chez Anthropic : aucune (données non stockées par Anthropic)
Stripe (Paiements récurrents)
- Données concernées : Données de paiement tokenisées, identifiant client Stripe, identifiant d'abonnement, historique des transactions, données de prévention de la fraude
- Entité responsable : Stripe Payments Europe, Ltd. (Irlande), traitement principal en UE
- Protection : Clauses Contractuelles Types (SCC), certification PCI-DSS Niveau 1
- Note : Les numéros complets de carte bancaire ne sont jamais transmis à Power Partners ni stockés en dehors de l'infrastructure sécurisée de Stripe. Le premier paiement est effectué sur une page hébergée par Stripe. Stripe agit en tant que sous-traitant au sens du RGPD et en tant que responsable de traitement indépendant pour ses obligations réglementaires propres (lutte contre la fraude, conformité bancaire). Pour plus d'informations : stripe.com/fr/privacy
Sentry (Monitoring)
- Données concernées : Données techniques (erreurs uniquement)
- Protection : Clauses Contractuelles Types (SCC)
- Note : Aucune donnée de bien-être n'est transmise à Sentry
Mesures supplémentaires
- Chiffrement des données en transit (TLS 1.3) et au repos (AES-256)
- Minimisation des données transférées
- Contrôles d'accès stricts
7. Combien de temps conservons-nous vos données ?
7.1 Données d'identification
| Donnée | Durée de conservation |
|---|---|
| Nom, prénom, email | Durée de la relation + 5 ans après inactivité |
| Photo de profil | Durée de la relation contractuelle |
7.2 Données de bien-être
| Donnée | Durée de conservation |
|---|---|
| Profil bien-être | 24 mois après dernière activité |
| Historique de poids | 24 mois après dernière activité |
| Données de sommeil | 24 mois après dernière activité |
| Sessions d'entraînement | 24 mois après dernière activité |
7.3 Conversations Coach IA
| Donnée | Durée de conservation |
|---|---|
| Messages échangés | 90 jours (3 mois) - purge automatique |
Conformément aux recommandations de la CNIL sur les chatbots, vos conversations sont automatiquement supprimées après 90 jours.
7.4 Données comptables
| Donnée | Durée de conservation |
|---|---|
| Paiements et factures | 10 ans (obligation légale) |
7.5 Données de paiement récurrent
| Donnée | Durée de conservation |
|---|---|
| Stripe Customer ID et Subscription ID | Durée de la relation contractuelle. Conservé après annulation (nécessaire pour réactivation éventuelle). Supprimé à la suppression du compte. |
| Historique des paiements | 10 ans après la transaction (obligation légale, Art. L123-22 du Code de commerce). Purge automatique au-delà. |
| Événements d'abonnement | Supprimés à la suppression du compte. |
| Token de moyen de paiement (chez Stripe) | Conservé par Stripe tant que l'abonnement est actif. Invalidé automatiquement après annulation. |
8. Comment protégeons-nous vos données ?
Chiffrement
- En transit : TLS 1.2+ / TLS 1.3
- Au repos : AES-256 (Firebase)
- Conversations IA : AES-256-GCM (bout en bout)
Contrôle d'accès
- Authentification sécurisée (Firebase Auth)
- 2FA pour les administrateurs
- Principe du moindre privilège
Hébergement
- Infrastructure : Google Cloud (Firebase)
- Région : europe-west3 (Francfort, Allemagne)
- Certifications : ISO 27001, SOC 2
Anonymisation
- Analytics RH : k-anonymat (min. 10 personnes)
- Vos données individuelles ne sont jamais visibles par votre employeur
9. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
| Droit | Article RGPD | Description |
|---|---|---|
| Accès | Article 15 | Obtenir une copie de vos données |
| Rectification | Article 16 | Corriger des données inexactes |
| Effacement | Article 17 | Supprimer vos données |
| Limitation | Article 18 | Restreindre le traitement |
| Portabilité | Article 20 | Récupérer vos données (JSON) |
| Opposition | Article 21 | Vous opposer à certains traitements |
| Retrait consentement | Article 7 | Retirer votre consentement |
Comment exercer vos droits ?
1. Dans l'application (immédiat)
- Portabilité : Paramètres → "Exporter mes données (RGPD)"
- Effacement : Paramètres → "Supprimer mon compte"
- Rectification : Mon Espace → Modifier le profil
- Retrait consentement IA : Chat → Réglages → Désactiver le Coach IA
- Gestion du moyen de paiement : Paramètres → Abonnement → « Gérer mon abonnement » (portail sécurisé Stripe pour modifier votre carte bancaire et consulter vos reçus)
- Suspension abonnement : Paramètres → Abonnement → « Suspendre mon abonnement »
- Portabilité données de paiement : incluses dans l'export RGPD (Paramètres → « Exporter mes données (RGPD) »)
2. Par email
johan@powerpartners.fr
Objet : [RGPD] - [Type de demande] - [Vos nom et prénom]
3. Par courrier
Power Partners SASU - DPO
14 rue de la mairie
92320 Châtillon, France
Délais de traitement : Dans l'application : immédiat. Par email/courrier : 30 jours maximum (extension possible de 2 mois supplémentaires si demande complexe, soit 3 mois au total — Art. 12.3 RGPD).
10. Cookies
Notre application utilise des cookies strictement nécessaires à son fonctionnement :
| Type de cookie | Durée |
|---|---|
| Cookies fonctionnels (authentification) | Durée de la session |
| Cookies analytiques (amélioration du service) | 13 mois maximum (avec votre consentement) |
11. Modifications de cette politique
Nous pouvons mettre à jour cette politique de confidentialité. En cas de modification substantielle, nous vous en informerons par :
- Notification dans l'application
- Email à l'adresse associée à votre compte
12. Réclamation auprès de la CNIL
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL :
Commission Nationale de l'Informatique et des Libertés (CNIL)
3 Place de Fontenoy - TSA 80715
75334 Paris Cedex 07, France
Site web : www.cnil.fr/fr/plaintes
Téléphone : 01 53 73 22 22
13. Contact
Pour toute question concernant cette politique ou vos données personnelles :
Délégué à la Protection des Données
Email : johan@powerpartners.fr
Power Partners SASU
14 rue de la mairie
92320 Châtillon, France