Politique de Confidentialité

Dernière mise à jour : Juillet 2026, Version 2.5

1. Qui sommes-nous ?

Cette politique de confidentialité vous informe sur la manière dont Power Partners collecte, utilise et protège vos données personnelles lorsque vous utilisez notre application.

Responsable de traitement

Power Partners SASU
14 rue de la mairie
92320 Châtillon, France

SIRET : 91939338900011
Email : johan@powerpartners.fr

Déléguée à la Protection des Données (DPO)

Me Mina Baran, Avocate à la Cour
Email : mb@baran-avocat.com
Adresse : 27, rue la Boétie, 75008 Paris

2. Quelles données collectons-nous ?

Transparence : Nous distinguons clairement les données toujours collectées (nécessaires au fonctionnement du service), les données optionnelles (que vous choisissez de renseigner), et les données dépendant de l'option choisie par votre employeur (Analytics RH).

2.1 Données toujours collectées (obligatoires)

Ces données sont nécessaires pour créer votre compte et utiliser l'application :

  • Nom et prénom
  • Adresse email professionnelle
  • Entreprise et département
  • Sessions d'entraînement réalisées
  • Participation aux challenges
  • Badges et achievements obtenus

2.2 Données optionnelles de bien-être et de santé (selon votre choix)

Ces données ne sont collectées que si vous décidez de les renseigner :

  • Photo de profil
  • Objectifs personnels (perte de poids, gain musculaire, etc.)
  • Données de poids, taille et poids cible
  • Niveau de stress déclaré
  • Qualité de sommeil déclarée (heures par nuit)
  • Consommation d'eau déclarée
  • Blessures déclarées
  • Données d'activité physique (synchronisation Apple Health / Google Fit)
  • Interactions avec le Coach IA
  • Réservations de cours collectifs

Important : Certaines de ces données sont susceptibles d'être qualifiées de données de santé au sens de l'article 9 du RGPD (catégorie spéciale), notamment par croisement des différentes mesures. À ce titre, la personnalisation du Coach IA à partir de ces données repose sur votre consentement explicite (Art. 9.2.a). Vous pouvez également utiliser le Coach IA en mode général, sans partager votre profil de bien-être : dans ce cas, seuls les messages que vous envoyez sont traités, afin de vous fournir le service demandé (Art. 6.1.b). Power Partners n'est pas un établissement de santé et ne fournit aucun diagnostic ni avis médical.

2.3 Données dépendant de l'option choisie par votre employeur

Si votre employeur a souscrit à l'option Analytics RH, des données supplémentaires peuvent être traitées de manière anonymisée et agrégée pour générer des statistiques globales :

  • Taux de participation aux activités (agrégé par équipe/département)
  • Tendances de bien-être (moyennes et pourcentages, jamais données individuelles)
  • Indicateurs de risques (surcharge, turnover), uniquement si le seuil de k-anonymat est atteint (min. 10 personnes)

Votre contrôle : Même si votre employeur a souscrit à l'option Analytics RH, vos données individuelles ne lui sont jamais transmises. Seules des statistiques anonymisées et agrégées sont accessibles (voir section 5 pour plus de détails).

2.4 Données de paiement

Lorsque le dispositif de participation financière (Cost-Splitting) est activé par votre Entreprise, nous collectons et traitons les données suivantes dans le cadre du paiement récurrent :

Donnée Détail Stockée par
Identifiant client Stripe Identifiant technique unique permettant la gestion de l'abonnement récurrent Power Partners + Stripe
Identifiant d'abonnement Stripe Référence technique de l'abonnement récurrent Power Partners + Stripe
Token de moyen de paiement Jeton sécurisé représentant la carte bancaire. Les numéros complets de carte ne sont jamais stockés par Power Partners Stripe uniquement
Historique des paiements Date, montant HT et TTC, taux de TVA, statut (réussi/échoué/remboursé), période couverte Power Partners + Stripe
Événements d'abonnement Création, paiement réussi/échoué, suspension, réactivation, changement de prix Power Partners + Stripe
Statut de l'abonnement Actif, en impayé, suspendu, en attente Power Partners + Stripe
Montant de la participation Part employé HT et TTC Power Partners
Adresse de facturation Rue, code postal, ville, pays. Collectée par Stripe Checkout pour facture conforme (Art. 289 CGI) Stripe + Power Partners (10 ans, obligation comptable)
Adresse IP de souscription Capturée par Stripe pour prévention de la fraude (Radar) Stripe (13 mois, recommandation CNIL)

Important : Power Partners ne stocke jamais les numéros complets de carte bancaire, les codes CVV/CVC, ni les codes PIN. Ces données sont exclusivement saisies sur la page de paiement hébergée par Stripe et traitées par Stripe (Stripe Payments Europe, Ltd.), prestataire certifié PCI-DSS Niveau 1.

Calcul automatique de la TVA : depuis 2026-05, la TVA française (20%) est calculée automatiquement par Stripe Tax sur le montant hors taxes de votre part. Vos factures Stripe affichent la décomposition HT / TVA / TTC, conformément à l'article 289 du Code Général des Impôts.

Renonciation au droit de rétractation (Art. L.221-28 Code de la consommation) : au moment de la souscription, vous renoncez explicitement (case à cocher obligatoire) au droit de rétractation de 14 jours, car l'exécution du service commence immédiatement (accès immédiat à l'app). Vous pouvez en revanche résilier à tout moment, l'arrêt prenant effet en fin de période mensuelle payée.

Transferts hors UE : Stripe utilise des sous-sous-traitants aux USA (Stripe Inc., AWS, Google Cloud). Ces transferts sont encadrés par les Standard Contractual Clauses (SCC) et la certification Stripe au Data Privacy Framework EU-US (DPF). Audit complet disponible sur demande auprès de notre DPO.

Pseudonymisation en cas de suppression de compte : conformément à l'obligation comptable (Art. L.123-22 Code de commerce, conservation 10 ans des factures), vos données personnelles dans les enregistrements de paiement sont remplacées par un identifiant pseudonyme. Vos données pseudonymisées ne sont reliées à aucune identité personnelle après suppression.

2.5 Données techniques

  • Adresse IP (anonymisée)
  • Type d'appareil et système d'exploitation
  • Logs de connexion
  • Données de performance de l'application

2.6 Préférences de notification

Lorsque vous configurez vos préférences depuis l'écran « Paramètres », nous enregistrons vos choix pour filtrer les notifications push : par catégorie (challenges, social, santé, coaching, achievements, programmes) et par discipline de cours physique. Vos préférences sont strictement privées : ni vos collègues, ni les administrateurs RH, ni les coachs n'y ont accès. Les notifications essentielles à l'exécution du service (annulation, remplacement, message coach, paiement) restent toujours envoyées. Base légale : Art. 6.1.b RGPD. Conservation : durée de vie du compte. Suppression : à tout moment via le bouton « Réinitialiser toutes les préférences » ou la suppression du compte.

3. Pourquoi collectons-nous vos données ?

Finalité Données utilisées
Créer et gérer votre compte Email, nom, entreprise
Personnaliser vos entraînements Objectifs, niveau, préférences
Fournir le Coach IA personnalisé Profil bien-être/santé, historique activité, sommeil, stress, hydratation
Afficher vos statistiques Sessions, progression, achievements
Permettre la gamification Scores, classements, badges
Traiter vos paiements Données de transaction (via Stripe)
Générer des analytics RH pour votre entreprise Données anonymisées uniquement (k-anonymat, min. 10 personnes)
Améliorer notre application Logs techniques, erreurs
Assurer la sécurité Logs de connexion, adresse IP
Gérer la participation financière (Cost-Splitting) Stripe Customer ID, Subscription ID, historique des paiements, statut abonnement, montants
Prévenir la fraude aux paiements Données de transaction, adresse IP (traités par Stripe Radar côté Stripe)
Audit et traçabilité des abonnements Événements d'abonnement (traçabilité des actions sur l'abonnement)
Filtrer vos notifications selon vos préférences Préférences par catégorie et par discipline

4. Sur quelle base légale ?

Traitement Base légale (RGPD)
Gestion du compte Exécution du contrat (Art. 6.1.b)
Entraînements et gamification Exécution du contrat (Art. 6.1.b)
Coach IA Messages échangés : exécution du contrat (Art. 6.1.b). Personnalisation avec vos données de bien-être : consentement explicite (Art. 9.2.a)
Analytics RH (anonymisées) Intérêt légitime (Art. 6.1.f)
Paiements Exécution du contrat (Art. 6.1.b)
Sécurité et logs Intérêt légitime (Art. 6.1.f)
Facturation Obligation légale (Art. 6.1.c)
Prélèvement récurrent (Cost-Splitting) Exécution du contrat (Art. 6.1.b)
Conservation des données de facturation Obligation légale (Art. 6.1.c) : obligations comptables et fiscales
Prévention de la fraude aux paiements Intérêt légitime (Art. 6.1.f) : sécurisation des transactions (traité par Stripe)
Audit des événements d'abonnement Intérêt légitime (Art. 6.1.f) : support client et résolution des litiges
Préférences de notification Exécution du contrat (Art. 6.1.b)

Le Coach IA est utilisable en mode général, sans partager votre profil de bien-être : seuls les messages que vous envoyez sont alors traités, afin de vous fournir le service demandé (Art. 6.1.b). Pour que le Coach IA personnalise ses conseils à partir de vos données de bien-être, nous recueillons votre consentement explicite (Art. 9.2.a) au moment où vous activez cette personnalisation. Vous pouvez retirer ce consentement à tout moment dans l'application ; le Coach IA reste alors utilisable en mode général.

5. Avec qui partageons-nous vos données ?

5.1 Votre employeur : données anonymisées ET agrégées

Important : Votre employeur n'a jamais accès à vos données personnelles ou individuelles. Il reçoit uniquement des données qui sont à la fois anonymisées et agrégées.

🔒 Anonymisation

L'anonymisation supprime tout lien entre les données et votre identité. Vos données individuelles sont techniquement impossibles à relier à vous.

  • Aucun nom, email ou identifiant transmis
  • Impossible de vous identifier

📊 Agrégation

L'agrégation regroupe les données de plusieurs personnes pour calculer des statistiques globales. Votre employeur ne voit que des moyennes et pourcentages.

  • Moyennes (ex: 72% de participation)
  • Tendances (ex: +5% ce mois)
  • Répartitions (ex: 40% yoga, 30% HIIT...)

Méthode d'agrégation : k-anonymat

Nous appliquons le principe de k-anonymat avec un seuil minimum de 10 personnes. Concrètement :

  • Aucune statistique n'est générée si le groupe concerné contient moins de 10 personnes
  • Les données sont regroupées par département/équipe uniquement si le seuil est atteint
  • En dessous du seuil, les données sont fusionnées avec un groupe plus large (ex: entreprise entière)
  • Cette méthode garantit qu'il est statistiquement impossible de déduire les réponses d'un individu

Exemple concret :

Si votre équipe compte 8 personnes, votre employeur ne verra pas de statistiques spécifiques à votre équipe. Il verra uniquement des statistiques au niveau du département ou de l'entreprise (si ces groupes atteignent le seuil de 10 personnes).

5.2 Équipe Power Partners

  • Support technique et amélioration du service
  • Accès limité aux données nécessaires pour résoudre les problèmes signalés

5.3 Sous-traitants

Pour vous fournir nos services, nous faisons appel aux sous-traitants suivants :

Sous-traitant Service Localisation Garanties
Google Cloud (Firebase) Infrastructure, Base de données, Authentification Union Européenne (Francfort) DPA inclus, ISO 27001, SOC 2
Anthropic (Claude) Coach IA, Assistant bien-être États-Unis DPA signé, SCC en place
Stripe (Stripe Payments Europe, Ltd.) Paiements récurrents, page de paiement hébergée (Checkout), portail de gestion d'abonnement (Billing Portal), tokenisation des cartes bancaires, prévention de la fraude (Radar), gestion des abonnements (Billing) Irlande (processing UE) / États-Unis (infrastructure) PCI-DSS Niveau 1, SOC 1 & SOC 2, DPA inclus, SCC en place, conforme DSP2/SCA
Sentry Monitoring technique, Détection erreurs États-Unis DPA inclus, SCC en place
Mailgun (Sinch) Envoi d'emails, Notifications Union Européenne DPA inclus, ISO 27001
Cloudflare CDN, streaming vidéo des séances et diffusion des pages web publiques (dont les pages d'inscription aux événements) États-Unis (CDN mondial) DPA signé, SCC en place, DPF

Chaque sous-traitant est lié par un accord de traitement des données (DPA) conforme au RGPD.

5.4 Nous ne vendons jamais vos données

Vos données personnelles ne sont jamais vendues, louées ou échangées à des fins commerciales avec des tiers.

6. Transferts hors Union Européenne

Certains de nos sous-traitants sont situés aux États-Unis. Ces transferts sont encadrés par les Clauses Contractuelles Types (SCC) de la Commission Européenne.

Anthropic (Coach IA)

  • Données concernées : les messages que vous envoyez au Coach IA, transférés pour générer une réponse. Si vous avez activé la personnalisation, un contexte utilisateur pseudonymisé y est ajouté (profil bien-être, activité, sommeil, stress, hydratation, progression) ; sans ce consentement, aucune donnée de profil n'est transmise
  • Protection : Clauses Contractuelles Types (SCC)
  • Engagement : Anthropic n'utilise pas vos données pour entraîner ses modèles
  • Conservation chez Anthropic : aucune (données non stockées par Anthropic)

Stripe (Paiements récurrents)

  • Données concernées : Données de paiement tokenisées, identifiant client Stripe, identifiant d'abonnement, historique des transactions, données de prévention de la fraude
  • Entité responsable : Stripe Payments Europe, Ltd. (Irlande), traitement principal en UE
  • Protection : Clauses Contractuelles Types (SCC), certification PCI-DSS Niveau 1
  • Note : Les numéros complets de carte bancaire ne sont jamais transmis à Power Partners ni stockés en dehors de l'infrastructure sécurisée de Stripe. Le premier paiement est effectué sur une page hébergée par Stripe. Stripe agit en tant que sous-traitant au sens du RGPD et en tant que responsable de traitement indépendant pour ses obligations réglementaires propres (lutte contre la fraude, conformité bancaire). Pour plus d'informations : stripe.com/fr/privacy

Sentry (Monitoring)

  • Données concernées : Données techniques (erreurs uniquement)
  • Protection : Clauses Contractuelles Types (SCC)
  • Note : Aucune donnée de bien-être n'est transmise à Sentry

Cloudflare (CDN et streaming vidéo)

  • Données concernées : adresses IP dans des logs temporaires, contenus mis en cache (vidéos des séances, pages web publiques)
  • Protection : Data Privacy Framework EU-US et Clauses Contractuelles Types (SCC)
  • Note : aucune donnée de bien-être ni de santé n'est transmise à Cloudflare

Mesures supplémentaires

  • Chiffrement des données en transit (TLS 1.3) et au repos (AES-256)
  • Minimisation des données transférées
  • Contrôles d'accès stricts

7. Combien de temps conservons-nous vos données ?

7.1 Données d'identification

Donnée Durée de conservation
Nom, prénom, email Durée de la relation + 5 ans après inactivité
Photo de profil Durée de la relation contractuelle

7.2 Données de bien-être

Donnée Durée de conservation
Profil bien-être 24 mois après dernière activité
Historique de poids 24 mois après dernière activité
Données de sommeil 24 mois après dernière activité
Sessions d'entraînement 24 mois après dernière activité

7.3 Conversations Coach IA

Donnée Durée de conservation
Messages échangés 90 jours (3 mois) - purge automatique

Conformément aux recommandations de la CNIL sur les chatbots, vos conversations sont automatiquement supprimées après 90 jours.

7.4 Données comptables

Donnée Durée de conservation
Paiements et factures 10 ans (obligation légale)

7.5 Données de paiement récurrent

Donnée Durée de conservation
Stripe Customer ID et Subscription ID Durée de la relation contractuelle. Conservé après annulation (nécessaire pour réactivation éventuelle). Supprimé à la suppression du compte.
Historique des paiements 10 ans après la transaction (obligation légale, Art. L123-22 du Code de commerce). Purge automatique au-delà.
Événements d'abonnement Supprimés à la suppression du compte.
Token de moyen de paiement (chez Stripe) Conservé par Stripe tant que l'abonnement est actif. Invalidé automatiquement après annulation.

8. Comment protégeons-nous vos données ?

Chiffrement

  • En transit : TLS 1.2+ / TLS 1.3
  • Au repos : AES-256 (Firebase)
  • Conversations IA : AES-256-GCM (bout en bout)

Contrôle d'accès

  • Authentification sécurisée (Firebase Auth)
  • 2FA pour les administrateurs
  • Principe du moindre privilège

Hébergement

  • Infrastructure : Google Cloud (Firebase)
  • Région : europe-west3 (Francfort, Allemagne)
  • Certifications : ISO 27001, SOC 2

Anonymisation

  • Analytics RH : k-anonymat (min. 10 personnes)
  • Vos données individuelles ne sont jamais visibles par votre employeur

9. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

Droit Article RGPD Description
Accès Article 15 Obtenir une copie de vos données
Rectification Article 16 Corriger des données inexactes
Effacement Article 17 Supprimer vos données
Limitation Article 18 Restreindre le traitement
Portabilité Article 20 Récupérer vos données (JSON)
Opposition Article 21 Vous opposer à certains traitements
Retrait consentement Article 7 Retirer votre consentement

Comment exercer vos droits ?

1. Dans l'application (immédiat)

  • Portabilité : Paramètres → "Exporter mes données (RGPD)"
  • Effacement : Paramètres → "Supprimer mon compte"
  • Rectification : Mon Espace → Modifier le profil
  • Retrait consentement IA : Chat → Réglages → Désactiver le Coach IA
  • Gestion du moyen de paiement : Paramètres → Abonnement → « Gérer mon abonnement » (portail sécurisé Stripe pour modifier votre carte bancaire et consulter vos reçus)
  • Suspension abonnement : Paramètres → Abonnement → « Suspendre mon abonnement »
  • Portabilité données de paiement : incluses dans l'export RGPD (Paramètres → « Exporter mes données (RGPD) »)

2. Par email

johan@powerpartners.fr
Objet : [RGPD] - [Type de demande] - [Vos nom et prénom]

3. Par courrier

Me Mina Baran, DPO externe
27, rue la Boétie
75008 Paris

Délais de traitement : Dans l'application : immédiat. Par email/courrier : 30 jours maximum (extension possible de 2 mois supplémentaires si demande complexe, soit 3 mois au total, Art. 12.3 RGPD).

10. Cookies

Notre application utilise des cookies strictement nécessaires à son fonctionnement :

Type de cookie Durée
Cookies fonctionnels (authentification) Durée de la session
Cookies analytiques (amélioration du service) 13 mois maximum (avec votre consentement)

11. Inscriptions aux événements ponctuels (sans compte)

Cette section vous concerne uniquement si vous vous inscrivez à un événement ponctuel organisé par Power Partners (olympiades, team building, journée sportive) au moyen d'un lien ou d'un QR code, sans créer de compte ni installer l'application. Dans ce cas, les sections relatives au compte, au Coach IA, aux analytics RH et aux paiements ne s'appliquent pas à vous.

11.1 Qui est concerné

Power Partners organise, pour le compte d'entreprises, des prestations événementielles ponctuelles. Les collaborateurs de l'entreprise concernée s'inscrivent de leur propre initiative via une page web publique. Aucun compte, aucune installation et aucune donnée de santé ne sont nécessaires.

11.2 Données collectées

  • Prénom, nom et adresse email (nécessaires à votre inscription, à l'envoi de votre confirmation et de votre rappel)
  • Vos choix d'inscription : créneau, atelier ou équipe, selon le format de l'événement
  • Le rattachement à votre entreprise, déduit automatiquement du code contenu dans le lien (aucun champ « entreprise » ne vous est demandé)
  • Votre adresse IP sous forme hachée, jamais conservée en clair, uniquement pour limiter les abus du formulaire

Important : aucune donnée de santé n'est collectée sur ce parcours et aucun paiement ne vous est demandé. L'inscription est gratuite pour vous, la prestation étant réglée par votre entreprise.

11.3 Finalités et base légale

La base légale est l'intérêt légitime de Power Partners (Art. 6.1.f RGPD) à organiser la prestation commandée par votre entreprise, en l'absence de relation contractuelle directe entre vous et Power Partners. Vos données servent uniquement à :

  • enregistrer et gérer votre inscription (capacité, créneaux, ateliers, équipes, liste d'attente)
  • vous adresser les emails liés à l'événement : confirmation, rappel la veille, remerciement le lendemain
  • vous permettre de modifier ou d'annuler votre inscription via un lien personnel reçu par email
  • établir la liste de présence remise au coach qui encadre l'événement

Aucune de vos données n'est utilisée à des fins de prospection ou de marketing.

11.4 Qui reçoit vos données

Destinataire Données reçues Localisation
Power Partners Inscription complète, pour la gestion de l'événement Union Européenne
Coach assigné Liste de présence (prénom et nom) de ses créneaux et ateliers uniquement, sans email ni nom d'entreprise Union Européenne
Votre entreprise Liste de présence, seulement si elle en fait la demande (export transmis manuellement). Aucun accès direct au système, aucune transmission automatique Union Européenne
Google Cloud (Firebase) Hébergement et exécution technique (sous-traitant) Union Européenne (Francfort)
Mailgun (Sinch) Envoi des emails de l'événement (sous-traitant) Union Européenne
Sentry et Cloudflare Détection d'erreurs techniques et diffusion sécurisée de la page. Ne reçoivent pas vos données d'inscription en clair États-Unis (DPF + SCC)

Votre employeur : vos données ne lui sont jamais transmises automatiquement. La liste de présence ne lui est communiquée que s'il en fait la demande, et se limite au nom des participants. Les autres participants n'ont, eux, jamais accès à votre inscription.

11.5 Transferts hors Union Européenne

Vos données d'inscription (prénom, nom, email) sont hébergées et traitées dans l'Union Européenne. Les deux sous-traitants situés aux États-Unis, Sentry pour la détection d'erreurs et Cloudflare pour la diffusion de la page, interviennent en périphérie et ne reçoivent pas vos données d'inscription en clair. Ces transferts sont encadrés par le Data Privacy Framework EU-US et les Clauses Contractuelles Types.

11.6 Durée de conservation

Vos données d'inscription sont supprimées automatiquement au plus tard 30 jours après la fin de l'événement. L'adresse IP hachée, utilisée contre les abus, n'est conservée que sur une fenêtre glissante de quelques minutes.

11.7 Vos droits

Vous disposez des droits d'accès, de rectification, d'effacement, d'opposition et de limitation :

  • Modifier vos choix ou vous désinscrire : immédiatement, via le lien personnel présent dans votre email de confirmation. La désinscription vaut effacement et opposition.
  • Toute autre demande : johan@powerpartners.fr, réponse sous 30 jours maximum.

Le droit à la portabilité ne s'applique pas à ce traitement, qui repose sur l'intérêt légitime et non sur le consentement ou un contrat. Vous pouvez introduire une réclamation auprès de la CNIL (voir section 13).

12. Modifications de cette politique

Nous pouvons mettre à jour cette politique de confidentialité. En cas de modification substantielle, nous vous en informerons par :

  • Notification dans l'application
  • Email à l'adresse associée à votre compte

13. Réclamation auprès de la CNIL

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL :

Commission Nationale de l'Informatique et des Libertés (CNIL)
3 Place de Fontenoy - TSA 80715
75334 Paris Cedex 07, France

Site web : www.cnil.fr/fr/plaintes
Téléphone : 01 53 73 22 22

14. Contact

Pour toute question concernant cette politique ou vos données personnelles :

Délégué à la Protection des Données
Email : mb@baran-avocat.com

Mina Baran
27, rue La Boétie
75008 Paris

Appeler Devis Gratuit