Politique de Confidentialité
Privacy Policy
Version 2.4•Dernière mise à jour : Mai 2026
1. Introduction
La présente politique de confidentialité décrit comment Ekygai collecte, utilise, stocke, protège et partage les données personnelles de ses utilisateurs (athlètes, coachs, administrateurs Teams/Clubs).
Ekygai est une plateforme d'assistance à la prise de décision dans le domaine de la planification et la création de programmes et séances sportifs. Nous nous engageons à protéger vos données et à respecter les lois applicables en matière de protection des données, notamment :
- •CCPA / CPRA (California Consumer Privacy Act / California Privacy Rights Act) pour les résidents de Californie
- •RGPD (Règlement Général sur la Protection des Données) pour les résidents de l'Union Européenne
- •Lois des États americains en matière de protection des données et d'IA
- •UK GDPR et Data Protection Act 2018 pour les résidents du Royaume-Uni
En utilisant la plateforme Ekygai, vous acceptez les pratiques décrites dans cette politique.
2. Données Collectees
2.1 Données de compte
| Donnée | Obligatoire | Exemple |
|---|---|---|
| Adresse e-mail | Oui | user@example.com |
| Nom d'utilisateur | Oui | athlete123 |
| Mot de passe (hashe) | Oui | Stocke sous forme hachee PBKDF2-SHA256 |
| Nom, prénom | Non | Jean Dupont |
| Photo de profil | Non | Image uploadee |
2.2 Données biométriques et physiologiques
| Donnée | Obligatoire | Utilisation |
|---|---|---|
| Poids | Non | Calcul de la charge d'entraînement |
| Taille | Non | Calcul de l'IMC pour les algorithmes |
| Age, sexe | Non | Personnalisation des programmes |
| Fréquence cardiaque de repos | Non | Calcul des zones d'entraînement |
| Fréquence cardiaque maximale | Non | Calcul des zones d'entraînement |
| Variabilité cardiaque (HRV) | Non | Évaluation de la récupération |
Ces données sont entièrement optionnelles. Elles ne sont collectées qu'avec votre consentement explicite et servent uniquement a améliorer la precision des suggestions IA. Elles ne sont jamais utilisées à des fins d'identification biométrique.
2.3 Données d'entraînement et de performance
- •Objectifs sportifs et définitions
- •Programmes générés et historique de compliance
- •Événements du calendrier (séances planifiées et réalisées)
- •Métriques de performance : CE, FG, RPE, zones cardiaques
- •Debrief de séance : RPE, qualité du sommeil, niveau de stress, niveau de douleur
2.4 Données de localisation et capteurs externes (application mobile)
Lorsque vous démarrez manuellement une séance d'entraînement extérieure (course, vélo, randonnée) dans l'application mobile, Ekygai collecte les données suivantes :
| Donnée | Finalité | Quand |
|---|---|---|
| GPS de précision (latitude, longitude, altitude) | Tracé du parcours, distance, allure, dénivelé | UNIQUEMENT pendant une séance active |
| Localisation en arrière-plan (Android 10+) | Maintenir le suivi GPS quand l'écran est éteint ou l'app en arrière-plan pendant la séance | UNIQUEMENT pendant une séance active |
| Capteurs Bluetooth Low Energy (BLE) | Lecture de la fréquence cardiaque depuis des capteurs externes (ceinture cardiaque, montre, capteur de puissance) | UNIQUEMENT pendant une séance active, si un capteur est connecté |
La localisation en arrière-plan n'est JAMAIS utilisée en dehors d'une séance d'entraînement déclenchée explicitement par l'utilisateur. Vous pouvez arrêter la séance à tout moment via le bouton « Stop », ce qui interrompt immédiatement toute collecte de localisation et de données de capteurs. Aucune donnée de localisation n'est partagée avec des tiers. Les permissions Bluetooth utilisent le flag « neverForLocation » (Android 12+) — elles ne servent qu'à scanner et connecter des capteurs cardiaques, jamais à dériver votre localisation.
2.5 Données de gouvernance et relations coach-athlète
- •Liens coach-athlète (statut, dates, mode de gouvernance)
- •Historique des changements de gouvernance (journal d'audit horodate)
- •Consentement enregistré (date, méthode) pour chaque lien
2.6 Données de conversation (EkyBot)
EkyBot est l'assistant conversationnel intelligent d'Ekygai, alimenté par un modèle de langage (LLM) tiers. Il vous permet de poser des questions sur votre entraînement, d'analyser une séance en détail, de discuter de votre programme ou de faire le bilan d'une semaine. Lorsque vous utilisez EkyBot, les données suivantes sont collectées :
| Donnée | Obligatoire | Utilisation |
|---|---|---|
| Messages envoyés | Oui (si vous utilisez le chat) | Traitement par le LLM pour générer une réponse |
| Réponses de l'assistant | Automatique | Affichage et historique de conversation |
| Contexte d'entraînement | Automatique | Permet à EkyBot de comprendre votre situation sportive pour des réponses pertinentes |
| Identifiant de conversation | Automatique | Organisation de l'historique |
| Horodatage des messages | Automatique | Traçabilité et affichage chronologique |
Le contexte d'entraînement transmis à EkyBot est un résumé de votre programme actif (objectif, discipline, semaine en cours). Il ne contient pas de données personnelles identifiantes (pas d'e-mail, pas de nom, pas de mot de passe).
2.7 Données techniques
- •Adresse IP, type de navigateur, système d'exploitation
- •Journaux de connexion et d'activité
- •Données de cookies et technologies similaires
3. Finalites du Traitement
| Finalite | Base légale | Données concernees |
|---|---|---|
| Fournir le service (programmes, calendrier, suggestions IA) | Execution du contrat | Compte, entraînement, biométriques |
| Personnaliser les recommandations IA | Consentement | Biométriques, performance, debrief |
| Assurer la sécurité de la plateforme | Interet légitime | Compte, données techniques |
| Améliorer les algorithmes | Interet légitime | Données anonymisées et agrégées |
| Gerer la relation coach-athlète | Consentement explicite | Gouvernance, liens, performance |
| Fournir l'assistant conversationnel EkyBot | Exécution du contrat | Messages, contexte d'entraînement |
| Synchroniser les séances depuis Apple Health / Health Connect | Consentement | Résumés de séance, fréquence cardiaque, échantillons GPS |
| Respecter les obligations légales | Obligation légale | Selon la loi applicable |
Bases légales (article 6, et article 9 le cas échéant, du RGPD / UK GDPR) : « Exécution du contrat » = art. 6.1.b ; « Consentement » / « Consentement explicite » = art. 6.1.a, et art. 9.2.a pour les données de santé et biométriques (catégories particulières de données) ; « Intérêt légitime » = art. 6.1.f ; « Obligation légale » = art. 6.1.c. Le consentement peut être retiré à tout moment sans affecter la licéité du traitement effectué antérieurement.
Nous ne vendons JAMAIS vos données personnelles a des tiers. Nous n'utilisons JAMAIS vos données à des fins publicitaires.
4. Partage des Données
4.1 Partage fonctionnel
- •Coach : Si vous avez accepté un lien coach-athlète, votre coach accède à vos données d'entraînement selon le mode de gouvernance choisi.
- •Club / Team : Les administrateurs accèdent aux statistiques globales, sans modification directe des entraînements.
4.2 Prestataires techniques
| Prestataire | Finalité | Localisation | Données partagées |
|---|---|---|---|
| Hébergeur (cloud, Railway) | Stockage et traitement | États-Unis | Toutes (chiffrées) |
| Anthropic (Claude) | Assistant conversationnel EkyBot | États-Unis | Messages de conversation, contexte d'entraînement |
| Dodo Payments (Merchant of Record) | Facturation web et conformité fiscale globale | Singapour | E-mail, identifiant client, pays |
| Google Play Billing | Facturation des abonnements Android | États-Unis | Jeton d'achat, identifiant d'abonnement |
| Google Sign-In | Authentification optionnelle via compte Google | États-Unis | Identifiant de compte Google, e-mail, prénom, nom, photo de profil |
| Plausible Analytics | Mesure d'audience sans cookie (agrégée, sans donnée personnelle) | Union Européenne | Pages vues agrégées ; aucun cookie, aucune donnée personnelle |
| Brevo | E-mails transactionnels (vérification, réinitialisation de mot de passe) | Union Européenne (France) | E-mail, prénom |
Les abonnements souscrits sur Android sont traités par Google Play Billing. Une fois l'abonnement actif, Ekygai ne reçoit que le jeton d'achat et l'identifiant d'abonnement transmis par Google. Les informations de paiement (carte, adresse de facturation) restent chez Google et ne sont jamais accessibles à Ekygai.
5. Sécurité des Données
- •Chiffrement en transit : TLS 1.2+ pour toutes les communications
- •Chiffrement au repos : Données sensibles chiffrées en base de données
- •Hachage des mots de passe : PBKDF2-SHA256 (standard ASP.NET Identity)
- •Authentification : Tokens JWT signés (HS512) avec expiration courte (10 min)
- •Rate limiting : Protection contre les attaques par force brute
- •Sauvegardes : Automatiques et quotidiennes
- •Journaux d'audit : Traçabilité des actions sensibles (gouvernance, consentement)
6. Conservation des Données
| Type de donnée | Durée de conservation |
|---|---|
| Données de compte | Durée d'activité du compte |
| Données d'entraînement | Durée d'activité du compte |
| Données biométriques | Durée d'activité du compte |
| Conversations EkyBot | Durée d'activité du compte (suppression manuelle possible à tout moment) |
| Journaux techniques (IP, connexions) | 12 mois |
| Données de paiement / pièces comptables | 6 ans à compter de la date de la transaction (HMRC / Companies Act 2006) |
| Après suppression de compte | Toutes supprimees sous 30 jours |
| Données anonymisées | Conservation indefinie |
7. Vos Droits
7.1 Droits pour tous les utilisateurs
| Droit | Description | Comment l'exercer |
|---|---|---|
| Accès | Obtenir une copie de vos données | Paramètres ou privacy@ekygai.com |
| Rectification | Corriger des données inexactes | Modifier dans votre profil |
| Suppression | Supprimer votre compte et vos données | Paramètres > Supprimer le compte |
| Portabilite | Recevoir vos données en format JSON | privacy@ekygai.com |
| Opposition | Refuser certains traitements | privacy@ekygai.com |
| Retrait du consentement | Retirer votre consentement à tout moment | Paramètres ou privacy@ekygai.com |
Ekygai répond à toute demande dans un délai d'un mois à compter de sa réception. Ce délai peut être prolongé de deux mois supplémentaires pour les demandes complexes ou nombreuses ; vous serez alors informé de cette prolongation et de ses motifs (article 12.3 du RGPD / UK GDPR).
7.2 Residents de Californie (CCPA/CPRA)
- •Droit de connaître les categories de données collectées et les finalites.
- •Droit de supprimer vos données personnelles.
- •Droit de refuser la vente de vos données. Ekygai ne vend pas vos données.
- •Droit a la non-discrimination pour l'exercice de vos droits.
- •Droit de corriger des informations inexactes.
- •Droit de limiter l'utilisation de vos données sensibles.
7.3 Résidents de l'Union Européenne (RGPD)
- •Droit à la limitation du traitement.
- •Droit de retrait du consentement à tout moment.
- •Droit de recours auprès de l'autorité de contrôle compétente.
7.4 Résidents du Royaume-Uni (UK GDPR)
- •Droit à la limitation du traitement.
- •Droit de retrait du consentement à tout moment.
- •Droit de recours auprès de l'Information Commissioner's Office (ICO).
Pour les utilisateurs résidant au Royaume-Uni, le traitement est soumis au UK GDPR et au Data Protection Act 2018. L'autorité de contrôle compétente est l'Information Commissioner's Office (ICO), Wycliffe House, Water Lane, Wilmslow, Cheshire, SK9 5AF, Royaume-Uni — https://ico.org.uk. EKYGAI LLP est enregistré auprès de l'ICO sous le numéro ZC126055.
7.5 Données biométriques
Ekygai ne collecte pas d'identifiants biométriques au sens de BIPA (pas de reconnaissance faciale, empreintes digitales ou voix). Les données physiologiques collectées (poids, taille, FC, HRV) sont des mesures de fitness, distinctes des identifiants biométriques protégés.
9. Transparence IA
9.1 DEM — Moteur IA déterministe (programmes et entraînement)
Le DEM (Deterministic Expert Model) est le moteur de calcul d'Ekygai. Il génère les programmes et séances d'entraînement de manière déterministe :
- •Chaque discipline dispose de son propre moteur spécialisé au sein du DEM.
- •Le DEM ne fait pas appel à des modèles de langage génératifs (LLM) pour la génération de programmes.
- •Les algorithmes suivent des règles physiologiques documentées et sont reproductibles : mêmes entrées = mêmes résultats.
- •Aucune donnée n'est envoyée à un service tiers lors de la génération de programmes.
- •Les suggestions du DEM sont des recommandations non contraignantes. L'utilisateur conserve toujours la décision finale.
9.2 DOME — EkyBot, assistant conversationnel (LLM)
Le DOME (Domain Optimized Model Environment) est l'environnement conversationnel d'Ekygai. Il opère via EkyBot, un assistant alimenté par un modèle de langage (LLM) tiers fourni par Anthropic (Claude). Le DOME ne calcule jamais vos séances — il s'appuie sur les résultats du DEM pour vous assister et répondre à vos questions en contexte. EkyBot vous permet de :
- •Poser des questions sur votre entraînement, vos indicateurs et votre progression.
- •Analyser une séance spécifique en détail (contenu, charge, ressenti).
- •Faire le bilan d'une semaine d'entraînement et comprendre les ajustements proposés.
- •Discuter de votre programme actif, de vos objectifs et de votre stratégie.
Concernant vos données :
- •Un résumé de votre contexte d'entraînement est transmis au LLM pour personnaliser les réponses, sans données personnelles identifiantes.
- •Les conversations sont traitées via l'API d'Anthropic. Anthropic ne conserve pas vos données au-delà du traitement de la requête.
- •Vos conversations ne sont pas utilisées pour entraîner des modèles d'IA tiers.
- •Des mesures de sécurité sont appliquées pour protéger le contenu des échanges.
- •Lorsque vous interagissez avec EkyBot, vous êtes clairement informé qu'il s'agit d'un système d'intelligence artificielle et non d'un être humain.
EkyBot est un outil d'assistance et d'information. Ses réponses ne constituent pas un avis médical, un diagnostic ou une prescription. L'utilisateur conserve toujours la décision finale.
9.3 Vos droits sur les données EkyBot
- •Vous pouvez supprimer une conversation individuelle à tout moment.
- •Vous pouvez supprimer l'intégralité de votre historique de conversations (conformité RGPD).
- •Vous pouvez exporter votre historique de conversations en format JSON (droit de portabilité).
- •Vous pouvez archiver des conversations sans les supprimer.
10. Transfert International de Données
Certains prestataires sont situés hors de l'EEE et du Royaume-Uni, notamment aux États-Unis (Railway, Anthropic, Google) et à Singapour (Dodo Payments). Ces transferts vers des pays tiers sont encadrés par des garanties appropriées :
- •Transferts depuis l'UE/EEE : clauses contractuelles types de la Commission européenne (décision d'exécution (UE) 2021/914).
- •Transferts depuis le Royaume-Uni : International Data Transfer Agreement (IDTA) de l'ICO, ou UK Addendum aux CCT, en vigueur depuis le 21 mars 2022.
Ces transferts s'accompagnent de mesures techniques supplémentaires (chiffrement, pseudonymisation).
11. Protection des Mineurs
Ekygai est destiné aux utilisateurs adultes (18 ans et plus). Nous ne collectons pas sciemment de données d'utilisateurs de moins de 18 ans. Si nous apprenons avoir collecté des données d'un utilisateur de moins de 18 ans, nous les supprimerons immédiatement. Les parents ou représentants légaux qui constatent que leur enfant de moins de 18 ans nous a transmis des données personnelles peuvent nous contacter à privacy@ekygai.com.
12. Modifications de cette Politique
En cas de modification substantielle, vous serez notifie par e-mail ou notification dans la plateforme au moins 30 jours avant l'application. La poursuite de l'utilisation après la date d'application vaut acceptation.
13. Contact
Pour toute question relative à cette politique ou pour exercer vos droits :
- •E-mail : privacy@ekygai.com
- •Siège social : EKYGAI LLP (n° OC460332), 167-169 Great Portland Street, 5th Floor, London, W1W 5PF, United Kingdom
- •Site web : ekygai.com/privacy
EKYGAI LLP n'a pas désigné de Délégué à la Protection des Données (DPO) ; la nécessité d'une telle désignation au titre de l'article 37 du RGPD / UK GDPR est réévaluée périodiquement selon l'évolution des traitements. Le point de contact « protection des données », pour toute demande ou pour exercer vos droits, est : privacy@ekygai.com.