Politique de Confidentialité

1. Quelles données collectons-nous ?

1.1 Données de compte (obligatoires)

Lors de la création de votre compte, nous collectons :

• Email : identification, connexion, récupération de mot de passe.
• Mot de passe : sécurité du compte, haché avec bcrypt, jamais stocké en clair.
• Surnom / Pseudo : personnalisation de l'interface.
• Âge : vérification de l'âge minimum (16 ans) et calculs de métriques.
• Sexe : calculs de métriques de santé (IMC, taux de graisse, etc.).
• Taille : calculs de métriques corporelles.
• Poids : calculs de métriques et suivi d'évolution.

Méthodes d'authentification alternatives : Sign in with Google (OAuth) - nous récupérons uniquement votre email et nom, pas d'accès aux contacts ni à Gmail ; Sign in with Apple (OAuth) - nous récupérons votre email (ou email masqué Apple) et votre nom.

Aucune donnée financière n'est collectée par No Fuss Gym. Les paiements sont gérés exclusivement par Apple App Store et Google Play Store.

1.2 Données de fitness (générées par votre utilisation)

Données d'entraînement : workouts effectués (date, heure, durée), exercices réalisés (nom, séries, répétitions, poids, tempo), programmes personnalisés, historique complet, records personnels (PR), notes et commentaires.

Mesures corporelles : poids, tour de taille, tour de hanches, tour de poitrine, etc., avec leur évolution dans le temps.

Métriques de santé calculées (données sensibles, Article 9 RGPD) : IMC, taux de graisse corporelle estimé, Ratio Taille-Hanche (WHR), Ratio Taille-Hauteur (WHtR), Adonis Ratio. Ces métriques sont calculées localement sur votre appareil à partir de formules mathématiques standardisées. Elles ne constituent en aucun cas un diagnostic médical.

Photos de progression (Photobook) : photos prises via l'Application ou importées depuis votre galerie, avec leurs métadonnées EXIF (date, heure). Ces photos sont stockées uniquement en local sur votre appareil. Elles ne quittent jamais votre téléphone, sauf pour les utilisateurs Premium qui activent manuellement la synchronisation cloud spécifique des photos depuis Paramètres › Préférences › Synchroniser les photos.

Préférences utilisateur : unités de mesure, langue d'interface, thème, notifications, options de synchronisation cloud.

1.3 Données techniques (automatiques)

Informations de l'appareil : modèle de smartphone, système d'exploitation et version, version de l'Application, langue et fuseau horaire.

Données de connexion : date et heure de connexion, adresse IP (pour sécurité et détection d'abus), type de connexion.

Rapports de crash et d'erreurs (via Sentry) : rapports pseudonymisés, logs d'erreurs techniques pour correction de bugs. Aucune donnée de santé, de fitness ni d'identification personnelle n'est incluse dans ces rapports.

Cookies et traceurs : aucun cookie publicitaire, aucun traceur marketing. Uniquement les tokens d'authentification JWT stockés localement (SecureStorage iOS/Android) et les préférences locales (langue, thème, unités).

1.4 Données du programme de parrainage (conditionnelles)

Si vous saisissez un code de parrainage lors de votre inscription (étape facultative), nous collectons :

• Identifiant d'appareil : identifierForVendor (iOS) ou Android ID (Android). Collecté uniquement à des fins de prévention de la fraude, pour garantir qu'un même appareil physique ne peut pas utiliser plusieurs codes de parrainage. Transmis en HTTPS vers notre backend (Supabase), conservé de façon persistante lié à votre compte. Non utilisé à des fins publicitaires ou de tracking, non partagé avec des tiers.
• Code de parrainage saisi à l'inscription.
• Statut du parrainage (en attente / validé) et date de validation.

Ces données ne sont collectées que si vous choisissez de saisir un code de parrainage. Si vous ignorez cette étape, aucune de ces données n'est collectée.

2. Pourquoi collectons-nous ces données ?

2.1 Bases légales du traitement (RGPD)

• Email, mot de passe, surnom : exécution du contrat.
• Âge, sexe, taille, poids : consentement explicite et exécution du contrat.
• Données de fitness : consentement explicite (vous créez activement ces données).
• Métriques de santé (Article 9 RGPD) : consentement explicite recueilli lors de l'inscription.
• Synchronisation cloud : consentement explicite, activable et désactivable dans les paramètres.
• Données techniques (IP, device, Sentry) : intérêt légitime (sécurité, prévention de la fraude, correction de bugs).
• Identifiant d'appareil et données de parrainage : intérêt légitime (prévention de la fraude dans le programme de parrainage). Collecte facultative, uniquement si un code est saisi.

2.2 Finalités précises

Nous utilisons vos données uniquement pour : la gestion de votre compte ; le fonctionnement de l'Application (workouts, métriques, statistiques) ; la synchronisation cloud (utilisateurs Premium) ; les communications transactionnelles (reset de mot de passe, alertes de sécurité) ; l'amélioration de l'Application via des statistiques agrégées et anonymisées ; le programme de parrainage et la prévention de la fraude associée ; la sécurité et la prévention de la fraude.

3. Où sont stockées vos données ?

3.1 Stockage local (tous les utilisateurs)

Par défaut, toutes vos données sont stockées localement sur votre smartphone via Isar (base de données isolée dans l'Application). Avantage : fonctionne 100% hors ligne, vos données restent sur votre appareil. Inconvénient : perte des données en cas de changement de téléphone sans backup cloud actif.

3.2 Stockage cloud (utilisateurs Premium uniquement)

Hébergeur : Supabase Inc.
Localisation : EU-West (Union Européenne)
Conformité : RGPD, ISO 27001, SOC 2 Type II

Données synchronisées : profil utilisateur, historique d'entraînement, mesures corporelles, programmes personnalisés.

Photos du photobook : stockées uniquement en local par défaut, y compris pour les utilisateurs Premium. La synchronisation cloud des photos est une option à activer manuellement depuis Paramètres › Préférences › Synchroniser les photos. Sans cette activation, vos photos ne quittent jamais votre appareil.

Sécurité : chiffrement en transit (HTTPS/TLS), chiffrement au repos (AES-256), accès restreint à votre compte uniquement, sauvegardes automatiques régulières.

3.3 Transferts hors Union Européenne

Toutes les données de fitness et de compte sont stockées au sein de l'Union Européenne (Supabase EU-West). Concernant Apple et Google : l'authentification OAuth ne transfère que votre email et nom (aucune donnée de fitness). Concernant Sentry : données techniques pseudonymisées uniquement, traitées sur serveurs EU. Aucune donnée de santé ou de fitness n'est transférée hors de l'UE.

4. Qui a accès à vos données ?

4.1 Accès interne

L'accès est strictement limité au responsable du traitement (RoninKa Studio), uniquement pour des raisons de maintenance et support technique. Vos données ne sont jamais consultées à des fins commerciales ou marketing.

4.2 Services tiers (sous-traitants RGPD)

• Supabase : stockage cloud, authentification, base de données. Certifié RGPD, ISO 27001, SOC 2. DPA en place.
• Sentry : monitoring technique et rapports de crash pseudonymisés uniquement. Aucune donnée personnelle ou de fitness. DPA en place.
• Resend : envoi d'emails transactionnels (email uniquement). Conforme RGPD, serveurs EU.
• Apple / Google (OAuth) : email et nom uniquement. Conformes RGPD (CCT en place).
• Apple App Store / Google Play Store : gestion des abonnements. No Fuss Gym ne reçoit aucune donnée de paiement.

4.3 Aucun partage avec des tiers commerciaux

Nous ne partageons jamais vos données avec des annonceurs, des brokers de données, des partenaires commerciaux ou des réseaux sociaux. Vos données sont à vous.

4.4 Obligations légales

Nous pourrions être contraints de divulguer vos données sur demande d'une autorité judiciaire ou pour se conformer à une obligation légale. Dans ces cas, nous nous limiterons au strict nécessaire.

5. Combien de temps conservons-nous vos données ?

5.1 Pendant l'utilisation active

Tant que vous utilisez l'Application, toutes vos données sont conservées. Aucune suppression automatique pendant la période d'utilisation active.

5.2 Après suppression du compte

La suppression du compte entraîne un "soft delete" pendant 30 jours, pendant lequel une récupération reste possible en cas d'erreur. Après 30 jours : suppression irréversible et complète de toutes vos données. Aucune récupération possible après ce délai.

5.3 Données comptables - exception légale

Les documents de facturation fournis par Apple et Google peuvent être conservés jusqu'à 7 ans conformément à la loi belge sur la comptabilité. Ces documents ne contiennent pas vos données de fitness ni de santé.

5.4 Inactivité prolongée

Si vous ne vous connectez pas pendant 24 mois consécutifs, un email de rappel vous sera envoyé 30 jours avant suppression automatique. Sans réponse ou reconnexion, votre compte et vos données seront supprimés automatiquement.

6. Comment protégeons-nous vos données ?

6.1 Mesures de sécurité techniques

• Mots de passe hachés avec bcrypt (algorithme unidirectionnel)
• Toutes les communications chiffrées en transit (HTTPS/TLS)
• Stockage cloud chiffré au repos (AES-256 via Supabase)
• Sessions sécurisées via tokens JWT avec expiration automatique
• OAuth sécurisé avec validation des tokens
• Rate limiting (limitation des tentatives de connexion)
• Protection contre les injections SQL et sauvegardes automatiques quotidiennes

6.2 En cas de violation de données

En cas de compromission : notification à l'APD (Belgique) dans les 72 heures ; notification individuelle à tous les utilisateurs affectés ; rapport détaillé sur les données concernées et les mesures correctives. Transparence totale : nous communiquerons sans minimiser l'incident.

7. Vos droits (RGPD)

7.1 Droit d'accès (Art. 15)

Demandez une copie de toutes vos données depuis l'Application (Paramètres › Mes données › Exporter) ou par email à contact@nofussgym.com. Délai de réponse : maximum 1 mois.

7.2 Droit de rectification (Art. 16)

Corrigez vos données directement dans l'Application (Paramètres › Profil ou Paramètres › Compte). Pour toute donnée non modifiable depuis l'Application : contact@nofussgym.com.

7.3 Droit à l'effacement (Art. 17)

Supprimez votre compte depuis Paramètres › Compte › Supprimer mon compte, ou par email. Délai : soft delete 30 jours puis suppression définitive.

7.4 Droit à la portabilité (Art. 20)

Exportez vos données en JSON ou CSV depuis Paramètres › Mes données › Exporter. Données portables : profil, historique d'entraînement, mesures corporelles, programmes personnalisés.

7.5 Autres droits

Vous disposez également du droit à la limitation du traitement (Art. 18), du droit d'opposition (Art. 21) et du droit de retrait du consentement (Art. 7). No Fuss Gym n'utilise aucun système de décision automatisée ou de profilage.

7.6 Comment exercer vos droits ?

Email : contact@nofussgym.com
Délai légal de réponse : maximum 1 mois (généralement sous 48 à 72 heures).
L'exercice de vos droits est totalement gratuit.

8. Données des mineurs (16-18 ans)

No Fuss Gym est réservé aux personnes de 16 ans et plus. En cas de fausse déclaration d'âge (utilisateur de moins de 16 ans), l'Éditeur se réserve le droit de suspendre ou supprimer le compte immédiatement.

Pour les mineurs (16-18 ans), l'accord et la supervision d'un parent ou tuteur légal sont fortement recommandés en raison des risques de blessure liés à la musculation et de la nécessité d'adapter les programmes à un corps en croissance.

9. Cookies et technologies similaires

No Fuss Gym n'utilise aucun cookie ou traceur à des fins publicitaires ou marketing. Pas de Google Analytics, Facebook Pixel, ni d'outil d'analytics comportemental. Uniquement les technologies strictement nécessaires au fonctionnement : tokens JWT (session) et préférences locales (langue, thème, unités).

Si un outil d'analytics est ajouté à l'avenir, vous en serez informé avec consentement explicite requis (opt-in).

10. Modifications de cette Politique

Les modifications mineures (clarifications) seront faites silencieusement avec mise à jour de la date. Les modifications substantielles (nouveaux traitements) feront l'objet d'un email de notification et d'une notification in-app, avec un préavis de 7 jours minimum. Continuer à utiliser l'Application après notification vaut acceptation des nouvelles conditions.

11. Transfert de propriété

En cas de vente ou transfert du projet, vos données personnelles peuvent être transmises au nouveau propriétaire. Vous serez informé par email au moins 30 jours avant le transfert et aurez le droit de supprimer votre compte avant. La nouvelle entité devra respecter la présente Politique ou une politique équivalente conforme au RGPD.

12. Contact et Réclamations

Questions sur vos données :
Email : contact@nofussgym.com
Responsable : RoninKa Studio, 6001 Marcinelle, Belgique
Délai de réponse : sous 48 à 72 heures ouvrables.

Autorité de contrôle (Belgique) :
Autorité de Protection des Données (APD)
Rue de la Presse 35, 1000 Bruxelles
contact@apd-gba.be - autoriteprotectiondonnees.be

Autorité de contrôle (France) :
CNIL - 3 Place de Fontenoy, 75007 Paris - cnil.fr

13. Responsable du traitement

Karim El Harchi
Dénomination commerciale : RoninKa Studio
Numéro de TVA : BE1037715601
Statut : Indépendant complémentaire en personne physique
6001 Marcinelle, Belgique
Email : contact@nofussgym.com

Aucun DPO désigné (non obligatoire pour une structure de cette taille). Toutes les demandes RGPD sont traitées directement à contact@nofussgym.com.

Cette Politique respecte le RGPD (UE 2016/679) et la Loi belge du 30 juillet 2018 relative à la protection des personnes physiques.