Aller au contenu
MOVEAT
Retour

Politique de confidentialité

Moveat est un outil de suivi pour les coachs sportifs et leurs clients. Cette politique explique ce que nous collectons, pourquoi, et combien de temps nous le gardons. Les photos du corps, le poids et les mensurations sont des données de santé. Elles appartiennent au client, sont hébergées dans l'Union européenne et ne sont jamais publiques. Rien n'est vendu.

Qui édite Moveat

Moveat (wemoveat.app) est édité par Metropole Inv. SRL, société de droit belge inscrite à la Banque Carrefour des Entreprises sous le numéro d'entreprise et de TVA 0633.543.622, dont le siège social est établi Avenue Charles Woeste 119, 1090 Bruxelles, Belgique. Metropole Inv. SRL exerce également sous la dénomination commerciale Pixel Noir.

Pour toute question sur cette politique ou sur vos données, écrivez à contact@wemoveat.app. C'est à cette adresse que nous répondons.

Deux types de données, deux rôles différents

Moveat est utilisé par deux types de personnes, et la loi ne les traite pas de la même manière. Lisez cette section en premier : tout le reste en découle.

Pour le compte du coach lui même (adresse email, nom, identifiants de connexion, abonnement et facturation), Metropole Inv. SRL est responsable du traitement. Nous décidons de ce qui est collecté et pourquoi, et vous vous adressez directement à nous.

Pour tout ce qu'un coach enregistre au sujet d'un client (questionnaire, bilans, poids, mensurations, photos, diète, programme, messages), le coach est responsable du traitement et Metropole Inv. SRL est sous-traitant au sens de l'article 28 du RGPD. Le coach décide qui il invite, ce qu'il demande et ce qu'il écrit. Nous ne faisons que stocker et afficher ces données pour son compte. Nous ne les utilisons jamais pour nos propres finalités.

En pratique : si vous êtes client et que vous voulez consulter, corriger ou supprimer vos données, demandez d'abord à votre coach. Si votre coach ne répond pas, écrivez nous et nous interviendrons.

Données de santé et consentement explicite

Les photos du corps, le poids, les mensurations, les blessures, les allergies et le ressenti sont des données de santé. L'article 9 du RGPD en fait une catégorie particulière et en interdit le traitement, sauf condition précise.

La condition sur laquelle nous nous appuyons est le consentement explicite du client, au titre de l'article 9.2.a du RGPD. Ce consentement est donné au coach, pas à nous.

C'est la responsabilité du coach, et ce n'est pas une formalité. Avant d'inviter un client, le coach doit lui indiquer clairement quelles données seront collectées, y compris les trois photos du corps, et recueillir un consentement libre, spécifique, éclairé et explicite. Le coach doit être en mesure de prouver ce consentement et doit permettre au client de le retirer à tout moment. Un coach qui invite un client sans ce consentement viole le RGPD et nos conditions générales.

Un client peut refuser les photos et rester suivi sur son poids et ses mensurations. Le consentement peut être retiré à tout moment : le traitement s'arrête, et sur demande les données sont effacées.

Ce que nous collectons auprès d'un coach

Nous ne collectons que ce qui est nécessaire pour ouvrir et faire fonctionner le compte.

  • Identification : adresse email et nom, ainsi qu'un mot de passe stocké sous forme d'empreinte cryptographique par Supabase Auth. Nous ne voyons jamais le mot de passe.
  • Abonnement : formule (gratuite ou payante), statut, début et fin de la période en cours, identifiants client et abonnement délivrés par Mollie.
  • Paiement : le paiement se fait chez Mollie. Nous ne recevons ni ne conservons jamais de numéro de carte.
  • Journaux techniques : journaux de connexion et d'erreurs nécessaires au bon fonctionnement et à la sécurité du service.

Ce qu'un coach enregistre au sujet d'un client

Ces données sont saisies par le client ou par le coach. Le coach en est responsable du traitement. Nous les listons intégralement pour que personne ne soit surpris.

  • Identité : prénom, nom, adresse email utilisée pour l'invitation.
  • Questionnaire : âge, sexe, taille, poids actuel, objectif, niveau d'activité, expérience, nombre de séances par semaine, préférences alimentaires, nombre de repas, allergies, aliments non appréciés, blessures, notes libres.
  • Bilans : date, poids, mensurations, fatigue, stress, motivation, sommeil, respect de la diète et de l'entraînement, commentaires libres.
  • Photos : jusqu'à trois photos du corps par bilan (face, profil, dos).
  • Coaching : la diète, les macros et le programme d'entraînement écrits par le coach.
  • Messages échangés entre le coach et le client dans l'application.
  • Abonnement aux notifications push, uniquement si la personne les a activées.

Pourquoi nous traitons ces données, et sur quelle base légale

Chaque finalité repose sur une base, et une seule.

  • Faire fonctionner le compte du coach et donner accès à l'application : exécution du contrat, article 6.1.b.
  • Facturer l'abonnement et établir les factures : exécution du contrat, article 6.1.b, et obligation légale de conservation comptable, article 6.1.c.
  • Stocker et afficher les bilans, les photos, la diète et le programme d'un client : sur instruction du coach, sur la base du consentement explicite que le coach a recueilli auprès du client, article 9.2.a.
  • Assurer la sécurité du service, prévenir les abus, corriger les anomalies : intérêt légitime, article 6.1.f.
  • Envoyer des notifications push : consentement, donné en les activant.

Comment les photos sont stockées et affichées

Les photos sont ce qu'il y a de plus sensible dans cette application, et elles sont traitées comme telles.

Elles sont déposées dans un espace de stockage privé. Il n'existe aucune adresse publique. Elles ne sont pas indexées par les moteurs de recherche et ne peuvent pas être trouvées en devinant une adresse.

Quand un coach ou un client ouvre une photo, le serveur délivre un lien signé qui fonctionne pendant une durée limitée puis cesse de fonctionner. Une fois expiré, ce lien n'ouvre plus rien.

Seuls le client qui a envoyé la photo et le coach qui l'a invité peuvent la voir. Aucun autre coach, aucun autre client. Chaque lecture en base est filtrée par des règles d'isolation (RLS) qui vérifient qui demande.

Nous n'utilisons pas les photos pour entraîner un quelconque modèle. Nous ne les publions pas. Nous ne les montrons à personne en dehors du coach et du client.

Qui d'autre touche aux données

Nous faisons appel à quatre prestataires, et à quatre seulement. Ce sont nos sous-traitants ultérieurs au sens de l'article 28.4 du RGPD, et ils n'interviennent que pour les finalités ci-dessous.

  • Supabase : base de données, authentification et stockage des photos. Les données sont hébergées dans la région de Francfort, en Allemagne, au sein de l'Union européenne.
  • Vercel : hébergement et diffusion de l'application elle même.
  • Mollie : paiement et gestion de l'abonnement, société établie aux Pays-Bas, au sein de l'Union européenne.
  • Infomaniak : envoi des emails de service, par exemple une invitation client ou un rappel de bilan. Infomaniak est établie en Suisse, pays reconnu par la Commission européenne comme offrant un niveau de protection adéquat. Seuls l'adresse du destinataire et le contenu du message y transitent. Aucune photo, aucune mensuration, aucune donnée de santé n'est jamais envoyée par email.

Où les données sont hébergées

La base de données, le service d'authentification et l'espace de stockage des photos sont hébergés dans la région de Francfort, en Allemagne, au sein de l'Union européenne.

Nous n'avons mis en place aucun transfert de vos données hors de l'Union européenne.

Nous ne vendons pas les données, nous ne les louons pas, et nous ne les partageons avec aucun annonceur. Il n'y a aucune publicité dans Moveat.

Nos engagements en tant que sous-traitant

Pour les données des clients, ces engagements constituent le contrat de sous-traitance entre le coach, responsable du traitement, et Metropole Inv. SRL, sous-traitant, au titre de l'article 28 du RGPD. L'acceptation des conditions générales les rend contraignants pour les deux parties.

  • Nous ne traitons les données des clients que sur instruction documentée du coach. L'utilisation de l'application constitue cette instruction. Nous n'utilisons jamais ces données pour nos propres finalités.
  • Toute personne ayant accès aux données est tenue à la confidentialité.
  • Nous appliquons des mesures techniques et organisationnelles de sécurité appropriées, conformément à l'article 32.
  • Nous n'employons que les sous-traitants ultérieurs listés ci-dessus. Si nous en ajoutons un, nous en informons les coachs avant qu'il ne commence à traiter des données, et le coach qui s'y oppose peut résilier son abonnement sans frais.
  • Nous aidons le coach à répondre aux demandes des clients qui exercent leurs droits, et à respecter les articles 32 à 36, notamment en cas de violation de données.
  • Nous informons le coach sans délai injustifié si nous avons connaissance d'une violation de données affectant les données de ses clients.
  • À la fin du contrat, nous supprimons les données des clients selon les durées indiquées plus bas. Nous n'en gardons aucune copie au delà de ce que la loi nous impose.
  • Nous mettons à disposition les informations nécessaires pour démontrer le respect de l'article 28, et nous permettons les audits menés par le coach ou par un auditeur qu'il mandate, dans une étendue et à une fréquence raisonnables.

Combien de temps nous gardons les données

Nous ne gardons pas une donnée parce qu'elle pourrait servir un jour.

  • Compte actif : les données restent tant que le compte existe.
  • Compte supprimé : tout est effacé dans les 30 jours suivant la demande de suppression.
  • Client supprimé : ses bilans, sa diète, ses messages et ses photos sont supprimés avec lui.
  • Photos : elles ne survivent jamais à la fiche du client à laquelle elles appartiennent.
  • Données de facturation : conservées 7 ans, parce que la loi comptable belge l'exige. Cette conservation ne peut pas être écartée.

Comment nous protégeons les données

Les mesures ci-dessous sont celles qui sont réellement en place. Nous ne revendiquons aucune certification que nous n'avons pas, et Moveat n'utilise pas de chiffrement de bout en bout.

  • Tout le trafic entre votre appareil et Moveat passe en HTTPS.
  • Les mots de passe ne sont jamais stockés en clair. Ils sont hachés par Supabase Auth.
  • Les données au repos sont chiffrées par l'infrastructure Supabase.
  • Des règles d'isolation (RLS) séparent chaque coach et chaque client au niveau de la base de données. Un coach ne peut pas lire les clients d'un autre coach, même si une anomalie atteignait la base.
  • Les photos sont dans un espace privé, servies uniquement par des liens signés à durée limitée.
  • Toute écriture passe par une route serveur qui valide les données et vérifie qui demande. Le navigateur n'écrit jamais directement en base.
  • Les routes API sont soumises à une limitation de débit pour freiner les abus.

Cookies

Moveat n'utilise que des cookies essentiels. Il y en a deux.

Le premier est le cookie de session d'authentification déposé par Supabase, qui vous garde connecté. Sans lui, l'application ne peut pas savoir qui vous êtes.

Le second conserve votre préférence de langue, pour que l'interface s'ouvre dans la bonne langue.

Il n'y a aucun cookie de mesure d'audience, aucun cookie publicitaire, aucun traceur, et aucun outil d'analyse tiers. C'est pour cette raison que Moveat n'affiche pas de bandeau cookies : aucun consentement n'est requis pour des cookies strictement nécessaires.

Notifications push

Les notifications push sont facultatives et désactivées par défaut. Rien n'est envoyé tant que vous ne les avez pas activées explicitement et que votre navigateur ou votre téléphone ne vous a pas demandé de confirmer.

Si vous les activez, nous conservons l'abonnement transmis par votre navigateur, qui identifie l'appareil à notifier. Il sert uniquement à envoyer les notifications de Moveat, par exemple à l'arrivée d'un bilan ou à la mise à jour d'une diète.

Vous pouvez désactiver les notifications à tout moment, dans l'application ou dans les réglages de votre navigateur ou de votre téléphone.

Vos droits

Le RGPD vous reconnaît les droits suivants. Leur exercice est gratuit, et nous répondons dans un délai d'un mois.

  • Accès : obtenir une copie des données que nous détenons sur vous.
  • Rectification : corriger une donnée inexacte ou périmée.
  • Effacement : faire supprimer vos données, sous réserve de notre obligation légale de conserver les pièces de facturation.
  • Limitation : demander le gel du traitement le temps qu'un point soit tranché.
  • Portabilité : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine.
  • Opposition : vous opposer à un traitement fondé sur l'intérêt légitime.
  • Retrait du consentement : retirer votre consentement à tout moment, sans remettre en cause ce qui a été fait licitement avant ce retrait.

Comment exercer vos droits

Si vous êtes coach, écrivez à contact@wemoveat.app. Nous sommes responsables du traitement de votre compte, nous traitons donc votre demande nous mêmes.

Si vous êtes client, votre coach est responsable du traitement. Adressez vous à lui : il dispose dans l'application des outils pour corriger ou supprimer vos données. S'il ne répond pas, ou s'il refuse sans motif, écrivez à contact@wemoveat.app et nous agirons pour rendre votre droit effectif.

Nous pouvons demander une preuve d'identité raisonnable avant d'agir, afin que personne d'autre ne puisse obtenir ou supprimer vos données en votre nom.

Réclamations

Si vous estimez que vos données sont traitées de façon illicite, vous pouvez introduire une réclamation auprès de l'autorité de contrôle belge : Autorité de protection des données, Rue de la Presse 35, 1000 Bruxelles, Belgique. Son site est autoriteprotectiondonnees.be.

Vous pouvez également saisir l'autorité de contrôle du pays dans lequel vous résidez.

Nous préférons que vous nous en parliez d'abord. Écrivez à contact@wemoveat.app, nous chercherons à régler le problème.

Modification de cette politique

Si nous modifions cette politique sur un point important, par exemple en ajoutant un sous-traitant ultérieur ou une nouvelle finalité, nous en informons les coachs par email avant que la modification ne prenne effet.

La date affichée en haut de cette page indique toujours la version en vigueur.