Politique de confidentialité

Coach Adaptatif · Version 1.0 · Dernière mise à jour : 27 avril 2026

En une phrase. Coach Adaptatif est une application personnelle d'entraînement qui stocke localement, sur un serveur géré par le responsable indiqué ci-dessous, des données sur ton profil, tes séances et ton ressenti. Aucune donnée n'est partagée avec des annonceurs ni revendue. Tu peux à tout moment exporter ou supprimer l'ensemble de ton compte.

1. Responsable du traitement

Le responsable du traitement au sens de l'article 4 du RGPD est :

Jonathan Joly, particulier opérant l'instance
Contact pour toute question RGPD ou exercice de tes droits : joly.jonathan@protonmail.com

Aucun délégué à la protection des données (DPO) n'est désigné : l'application est exploitée par un particulier pour un usage restreint, ce qui ne déclenche pas l'obligation de l'article 37 RGPD.

2. Données collectées

L'application traite les catégories suivantes :

Catégorie	Exemples	Origine
Identifiants de compte	Email, hash bcrypt du mot de passe, secret TOTP, date de création, statut admin	Saisis par toi ou par l'administrateur lors de la création du compte
Données de santé (catégorie particulière, art. 9 RGPD)	Âge, sexe, poids, taille, niveau d'entraînement, zones douloureuses, allergies/intolérances, courbatures déclarées, RPE (perception de l'effort), énergie/humeur, notes libres	Saisies par toi dans le profil et lors de chaque séance
Données comportementales	Historique de séance, exercices, charges, répétitions, séries, ajustements algorithmiques générés, temps de réaction (tap test)	Générées au fil de l'utilisation de l'application
Données techniques	Adresse IP (logs d'accès et journal d'audit administrateur), horodatage des sessions, cookies de session et CSRF	Collectées automatiquement par le serveur

3. Finalités et bases légales

Finalité	Base légale (art. 6 et 9 RGPD)
Authentification, sécurité du compte, prévention de l'abus	Intérêt légitime (art. 6.1.f) et obligation contractuelle implicite (art. 6.1.b)
Adaptation du programme d'entraînement à ton profil et à ton historique	Consentement explicite pour les données de santé (art. 9.2.a) + exécution du service (art. 6.1.b)
Journal d'audit administrateur (création de comptes, réinitialisations)	Intérêt légitime de sécurité et de traçabilité (art. 6.1.f)
Logs d'accès techniques (rate limiting, diagnostic)	Intérêt légitime (art. 6.1.f)

4. Décision automatisée (article 22 RGPD)

L'application calcule automatiquement, à partir de tes données (RPE, courbatures, historique, zones douloureuses), des ajustements de programme : réduction de charge (deload), substitution d'exercices, modulation du volume. Ces décisions sont des recommandations, jamais contraignantes : tu peux les ignorer, les modifier, ou les régénérer.

Conformément à l'article 22 RGPD, tu disposes du droit de t'opposer à ce traitement automatisé. Une option « Désactiver les ajustements automatiques » est disponible dans la section Mon compte → Mes données et droits.

5. Durées de conservation

Compte et profil : tant que ton compte existe. Suppression définitive par le bouton « Supprimer mon compte ».
Historique de séances : idem. Effacé en même temps que le compte.
Sessions actives : 30 jours maximum, puis expiration automatique.
Journal d'audit administrateur : 12 mois glissants, puis rotation.
Logs techniques (accès, rate limiting) : durée de vie du processus serveur, agrégés sans nominatif au-delà de quelques jours.
Comptes inactifs : au-delà de 24 mois sans connexion, l'administrateur peut purger le compte après notification par email.

6. Destinataires et transferts

Les données restent sur le serveur opéré par le responsable de traitement et ne sont pas partagées avec des tiers, à deux exceptions :

YouTube (Google LLC, États-Unis) : les vidéos de démonstration des exercices sont intégrées via youtube-nocookie.com. Tant que tu ne lances pas une vidéo, aucun cookie de tracking n'est posé ; ton adresse IP et ton user-agent sont néanmoins transmis à Google dès que l'iframe se charge. La base légale est l'intérêt légitime du service ; tu peux désactiver ces vidéos dans ton navigateur si tu préfères ne pas déclencher cette communication. Transfert hors UE encadré par les clauses contractuelles types de la Commission européenne (Google).
Hébergeur : l'instance peut être hébergée chez un fournisseur d'infrastructure (VPS, cloud) localisé en Union européenne. Aucune donnée applicative n'est transmise au-delà des sauvegardes éventuelles que le responsable peut chiffrer côté serveur.

7. Tes droits

Tu disposes des droits suivants, exerçables à tout moment :

Accès (art. 15) : bouton « Exporter mes données » dans Mon compte (téléchargement JSON complet).
Rectification (art. 16) : tu peux modifier ton profil à tout moment.
Effacement (art. 17) : bouton « Supprimer mon compte », qui détruit définitivement le profil, l'historique, le secret 2FA et invalide toutes les sessions.
Portabilité (art. 20) : l'export ci-dessus est au format JSON ouvert.
Opposition (art. 21) et limitation (art. 18) : par email à l'adresse de contact.
Retrait du consentement (art. 7.3) : à tout moment, sans effet sur la licéité des traitements antérieurs. Le retrait du consentement aux données de santé empêche l'utilisation de l'app, qui repose sur ces données ; le compte peut alors être supprimé.
Réclamation : si tu estimes que tes droits ne sont pas respectés, tu peux saisir la CNIL.

8. Cookies

L'application utilise uniquement deux cookies strictement nécessaires : un cookie de session opaque (authentification) et un cookie CSRF (protection contre les requêtes inter-sites). Aucun cookie de mesure, de publicité ou de réseau social n'est posé. Conformément à l'article 82 de la loi Informatique et Libertés, ces cookies ne nécessitent pas de bandeau de consentement.

9. Sécurité

Mesures techniques mises en place : HTTPS forcé (HSTS), mots de passe stockés via bcrypt (cost 12), 2FA TOTP obligatoire par défaut, sessions HttpOnly + SameSite=Strict + Secure, double-submit CSRF, rate limiting par IP, permissions strictes sur les fichiers (0700/0600), Content Security Policy stricte, suppression atomique des données utilisateur. Le code est auditable.

10. Mineurs

L'application n'est pas destinée aux personnes de moins de 15 ans (seuil français de consentement numérique). Si tu as moins de 15 ans, n'utilise pas cette application sans l'autorisation et la présence d'un titulaire de l'autorité parentale, qui doit contacter le responsable de traitement.

11. Modifications

Cette politique peut évoluer. Toute modification substantielle (changement de finalité, de durée, de destinataire) sera notifiée à l'ouverture de l'application avant que tu ne puisses continuer à l'utiliser, et la date de mise à jour ci-dessus sera incrémentée.

12. Contact

Pour toute question ou pour exercer un droit : joly.jonathan@protonmail.com. Délai de réponse : un mois maximum (art. 12.3 RGPD).

Privacy Policy

Coach Adaptatif · Version 1.0 · Last updated: 27 April 2026

In one sentence. Coach Adaptatif is a personal training app that stores your profile, sessions and self-reported state on a server operated by the controller named below. No data is shared with advertisers or sold. You can export or delete your entire account at any time.

1. Data controller

The data controller, as defined in Article 4 GDPR, is:

Jonathan Joly, individual operating the instance
Contact for GDPR matters and exercising your rights: joly.jonathan@protonmail.com

No Data Protection Officer (DPO) has been appointed: the app is operated by an individual for limited use, which does not trigger the requirement of Article 37 GDPR.

2. Data we process

Category	Examples	Source
Account identifiers	Email, bcrypt password hash, TOTP secret, creation date, admin flag	Provided by you or by the administrator at account creation
Health data (special category, Art. 9 GDPR)	Age, sex, weight, height, training level, painful body zones, allergies/intolerances, muscle soreness, RPE (perceived exertion), energy/mood, free-text notes	Entered by you in the profile and in each workout
Behavioural data	Workout history, exercises, loads, reps, sets, generated algorithmic adjustments, reaction times (tap test)	Generated by your usage of the app
Technical data	IP address (access logs, admin audit log), session timestamps, session and CSRF cookies	Collected automatically by the server

3. Purposes and legal bases

Purpose	Legal basis (Art. 6 and 9 GDPR)
Authentication, account security, abuse prevention	Legitimate interest (Art. 6.1.f) and implicit contractual necessity (Art. 6.1.b)
Adapting the training programme to your profile and history	Explicit consent for health data (Art. 9.2.a) + service performance (Art. 6.1.b)
Administrator audit log (account creation, password resets)	Legitimate interest in security and traceability (Art. 6.1.f)
Technical access logs (rate limiting, diagnostics)	Legitimate interest (Art. 6.1.f)

4. Automated decisions (Article 22 GDPR)

The app automatically computes, from your data (RPE, soreness, history, painful zones), programme adjustments: load reduction (deload), exercise substitution, volume modulation. These decisions are recommendations, never binding: you can ignore, edit or regenerate them.

Pursuant to Article 22 GDPR you have the right to object to this automated processing. A "Disable automatic adjustments" toggle is available under My account → My data and rights.

5. Retention periods

Account and profile: as long as your account exists. Permanently deleted via the "Delete my account" button.
Workout history: same — deleted with the account.
Active sessions: 30 days maximum, then automatic expiry.
Administrator audit log: rolling 12 months, then rotated.
Technical logs (access, rate limiting): lifetime of the server process, aggregated without identifiers beyond a few days.
Inactive accounts: after 24 months without login the administrator may purge the account after email notice.

6. Recipients and transfers

Data stays on the server operated by the controller and is not shared with third parties, with two exceptions:

YouTube (Google LLC, USA): exercise demo videos are embedded via youtube-nocookie.com. As long as you do not press play no tracking cookies are dropped; your IP address and user-agent are however sent to Google as soon as the iframe loads. Legal basis: legitimate interest of the service. You can disable these videos in your browser if you prefer not to trigger this transfer. Outside-EU transfer covered by the European Commission's Standard Contractual Clauses (Google).
Hosting provider: the instance may be hosted with an EU-located infrastructure provider (VPS, cloud). No application data is transmitted beyond optional backups, which the controller may encrypt server-side.

7. Your rights

You have the following rights, exercisable at any time:

Access (Art. 15): "Export my data" button in My account (full JSON download).
Rectification (Art. 16): you can edit your profile any time.
Erasure (Art. 17): "Delete my account" button, which permanently destroys profile, history, the 2FA secret and invalidates all sessions.
Portability (Art. 20): the export above is open-format JSON.
Objection (Art. 21) and restriction (Art. 18): by email to the contact address.
Withdrawal of consent (Art. 7.3): at any time, without affecting the lawfulness of prior processing. Withdrawing consent for health data prevents using the app, which depends on this data; the account can then be deleted.
Complaint: if your rights are not respected, you can file with the French CNIL or your local supervisory authority.

8. Cookies

The app uses only two strictly necessary cookies: an opaque session cookie (authentication) and a CSRF cookie (cross-site request protection). No measurement, advertising or social-network cookies are set. Under Article 82 of the French Data Protection Act, these cookies do not require a consent banner.

9. Security

Technical measures in place: enforced HTTPS (HSTS), passwords stored with bcrypt (cost 12), TOTP 2FA mandatory by default, HttpOnly + SameSite=Strict + Secure session cookies, double-submit CSRF, per-IP rate limiting, strict file permissions (0700/0600), strict Content Security Policy, atomic deletion of user data. The codebase is auditable.

10. Minors

The app is not intended for people under 15 (French digital consent threshold). If you are under 15, do not use this app without authorisation from and presence of a parental authority holder, who must contact the controller.

11. Changes

This policy may change. Any substantive change (purpose, retention, recipient) will be notified at app open before you can continue using it, and the update date above will be incremented.

12. Contact

For any question or to exercise a right: joly.jonathan@protonmail.com. Response time: one month maximum (Art. 12.3 GDPR).