Politique de Confidentialité de CoachReview

1. Responsable du traitement

Le responsable du traitement des données des Utilisateurs est Marcin Jasiński, adresse : ul. Długa 75, 84-239 Bolszewo, n° de TVA 7742896892, immatriculé au registre polonais CEIDG.

Contact en matière de protection des données : mindmotion.tech@gmail.com ou par courrier à l'adresse indiquée ci-dessus.

Pour les données des Élèves saisies par le Coach, ce dernier est en règle générale responsable du traitement et l'Opérateur agit en qualité de sous-traitant dans le cadre du DPA annexé aux CGU.

2. Délégué à la protection des données

L'Opérateur n'a pas désigné de Délégué à la Protection des Données — il n'existe pas d'obligation de désignation au sens de l'article 37 du RGPD. Pour toute question relative à la protection des données, veuillez contacter directement le responsable à l'adresse mindmotion.tech@gmail.com.

3. Catégories de données traitées

Données de compte : nom, prénom, adresse e-mail, mot de passe (haché), langue, fuseau horaire, données du profil public (le cas échéant), données de facturation.

Données techniques : adresse IP, identifiants d'appareil et de navigateur, journaux d'événements, données de diagnostic et données de cookies.

Données des Élèves saisies par le Coach : nom, coordonnées, notes d'entraînement, documents, supports, vidéos, calendrier de disponibilité et autres informations liées à l'entraînement.

Les catégories particulières de données (article 9 RGPD), telles que les données de santé, ne doivent être saisies que si le Coach dispose d'une base juridique appropriée.

4. Finalités et bases juridiques

Fourniture du Service et gestion du compte – article 6, 1, b) RGPD (exécution du contrat).

Paiements et facturation – article 6, 1, b) et c) RGPD (obligations comptables et fiscales).

Sécurité, prévention des fraudes et journalisation – article 6, 1, f) RGPD (intérêt légitime à protéger le Service).

Gestion des réclamations et des éventuels contentieux – article 6, 1, b), c) et f) RGPD.

Communications de marketing – article 6, 1, a) RGPD (consentement) et règles ePrivacy.

Respect des obligations DSA et autres obligations légales – article 6, 1, c) RGPD.

5. Sources des données

La majorité des données est fournie directement par l'Utilisateur (inscription, profil, paiement).

Certaines données sont générées par l'utilisation du Service (journaux, métadonnées techniques).

Les données des Élèves sont saisies par le Coach.

6. Destinataires et sous-traitants

Les données peuvent être traitées par les catégories de prestataires suivantes agissant pour le compte du responsable : hébergeurs et infrastructures cloud, stockage objet (par ex. Amazon S3 ou Cloudflare R2), e-mail transactionnel, le prestataire de paiement Stripe Payments Europe, Ltd., outils de monitoring et de journalisation, outils de support client.

Les données peuvent être communiquées aux autorités publiques sur le fondement d'obligations légales.

Une liste à jour des sous-traitants et de leurs lieux de traitement est fournie sur demande à l'adresse mindmotion.tech@gmail.com.

7. Transferts hors EEE

Certains sous-traitants peuvent traiter des données en dehors de l'Espace économique européen, notamment aux États-Unis. Le responsable met en œuvre des garanties appropriées, notamment les Clauses Contractuelles Types adoptées par la Commission européenne et, pour les destinataires américains, l'EU-US Data Privacy Framework lorsqu'ils sont certifiés.

Une copie de ces garanties peut être obtenue sur demande auprès du responsable.

8. Durées de conservation

Les données de compte sont conservées pendant la durée du Contrat puis pendant la durée nécessaire à son règlement et au traitement des réclamations.

Les données de facturation sont conservées pendant les durées prévues par la législation comptable et fiscale (en règle générale 10 ans à compter de la clôture de l'exercice).

Les données nécessaires à la constatation, à l'exercice ou à la défense de droits sont conservées jusqu'à l'expiration des délais de prescription.

Les vidéos publiées sont conservées pendant la durée de disponibilité prévue par l'offre choisie (6 mois pour Solo, 12 mois pour Pro), à compter de la date de publication. À l'issue de cette durée, la vidéo est automatiquement déplacée vers la corbeille où elle reste restaurable pendant 30 jours, puis est supprimée définitivement avec le fichier associé dans le stockage objet (Cloudflare R2 ou Amazon S3). Les brouillons non publiés sont supprimés 30 jours après leur création. Les règles détaillées, y compris la procédure en cas de changement d'offre, figurent dans les CGU (point 6a).

Les données techniques et les journaux de sécurité sont conservés au maximum 12 mois, sauf nécessité liée à un incident en cours.

9. Droits des personnes concernées

Toute personne concernée bénéficie des droits d'accès (article 15), de rectification (article 16), d'effacement (article 17), de limitation (article 18), de portabilité (article 20), d'opposition (article 21) et de retrait du consentement (article 7) lorsqu'il fonde le traitement.

Les demandes peuvent être formulées via les paramètres du compte ou à l'adresse mindmotion.tech@gmail.com. Le responsable y répond dans les meilleurs délais et au plus tard dans un délai d'un mois.

Toute personne peut introduire une réclamation auprès de la CNIL (www.cnil.fr) ou de l'autorité de contrôle compétente dans son pays de résidence habituelle.

10. Décisions automatisées et profilage

Le responsable ne prend pas de décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou affectant significativement les Utilisateurs au sens de l'article 22 RGPD.

11. Cookies et technologies similaires

Le Service utilise des cookies et technologies similaires. Les cookies strictement nécessaires (authentification, sécurité, fonctionnement) ne requièrent pas de consentement. Les cookies analytiques, publicitaires et autres non essentiels nécessitent un consentement libre, éclairé et révocable à tout moment.

Le bandeau cookies permet d'accepter, de refuser ou de personnaliser les cookies non essentiels. La liste détaillée est disponible dans les paramètres cookies.

12. Sécurité

Le responsable met en œuvre des mesures techniques et organisationnelles appropriées, notamment le chiffrement TLS, le hachage des mots de passe, le contrôle d'accès basé sur les rôles, le principe de moindre privilège, des sauvegardes régulières et la surveillance des événements.

En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes, la CNIL est notifiée dans un délai de 72 heures et, si nécessaire, les personnes concernées sont informées.

13. Données utilisateur Google et Google API Services

Portées demandées : https://www.googleapis.com/auth/calendar.events.freebusy (lecture des plages occupées/libres dans Google Agenda).

Données consultées : plages de temps occupé/libre dans l'agenda Google principal du Coach pour la semaine sélectionnée. L'Opérateur n'accède pas aux titres, descriptions, participants, lieux, pièces jointes ni à tout autre contenu des événements.

Finalité : calculer les fenêtres de disponibilité afin que le Coach puisse les importer dans le calendrier de disponibilité de CoachReview. Les données utilisateur Google sont utilisées exclusivement pour afficher les fenêtres libres/occupées au Coach ayant connecté le compte, et à aucune autre fin.

Conservation : un jeton d'actualisation émis par Google est conservé chiffré et utilisé uniquement pour interroger les disponibilités à la demande du Coach. Les réponses free/busy sont traitées en mémoire ; seules les fenêtres de disponibilité que le Coach choisit d'importer sont conservées de manière persistante.

Partage : les données utilisateur Google ne sont ni vendues, ni partagées avec des tiers à des fins publicitaires, ni utilisées pour entraîner des modèles d'IA/ML. CoachReview ne transfère pas les données utilisateur Google à des tiers, sauf si nécessaire pour fournir ou améliorer l'intégration, se conformer à la loi applicable, ou dans le cadre d'une fusion, acquisition ou cession d'actifs, avec notification aux Utilisateurs.

Limited Use : l'utilisation et le transfert vers toute autre application des informations reçues des Google APIs respectent la Google API Services User Data Policy, y compris les exigences Limited Use.

Révocation : le Coach peut déconnecter Google Agenda à tout moment dans les paramètres du compte ou révoquer l'accès sur https://myaccount.google.com/permissions. À la déconnexion, le jeton d'actualisation est supprimé.

14. Modifications de la Politique

La Politique peut être mise à jour. Les modifications substantielles sont communiquées par e-mail et indiquées par la date affichée en tête de document. Les versions antérieures sont conservées au titre de la responsabilité du responsable de traitement.