← Retour à l'accueil

Politique de confidentialité

Entrée en vigueur : avril 2026 — Version 1.0

Evolya s'engage à protéger la vie privée de ses utilisateurs. La présente politique explique quelles données nous collectons, pourquoi, comment nous les utilisons et les droits dont vous disposez, conformément au Règlement Général sur la Protection des Données (RGPD — UE 2016/679) et à la loi Informatique et Libertés (n° 78-17 du 6 janvier 1978).

1. Responsable du traitement

Dénomination : Evolya

Représentant légal : Kenzo Amara

Statut : Auto-entrepreneur / Micro-entreprise — France

Contact RGPD : contact.evolya.pro@gmail.com

Aucun Délégué à la Protection des Données (DPO) n'est désigné à ce stade (entreprise de moins de 250 salariés ne traitant pas de données sensibles à grande échelle). La CNIL sera notifiée en cas d'incident grave (Art. 33 RGPD).

2. Données collectées

A. Données des coachs (utilisateurs B2B)

• Nom complet et adresse email (création de compte)

• Mot de passe (haché via bcrypt par Supabase Auth — jamais stocké en clair)

• Type de coaching sélectionné (fitness, yoga, musculation, etc.)

• Informations d'abonnement (plan, date fin d'essai, statut)

• Identifiants Stripe (customer_id, subscription_id — sans données bancaires directes)

• Code de parrainage et historique de parrainage

• Date de dernière activité (last_seen_at)

• Tickets de support et messages associés

B. Données des clients des coachs (utilisateurs finaux)

• Nom complet et adresse email (optionnelle)

• Jeton d'accès magique (UUID, valable 1 an) — pas de mot de passe requis

• Réponses aux check-ins hebdomadaires (3 questions libres + score d'énergie 1-10)

• Objectifs de coaching (titre, statut, date cible)

• Données de complétion quotidienne des objectifs

• Notes de séances (contenu rédigé par le coach)

• Notes personnelles du client

• Jours de repos (préférence hebdomadaire)

• Date du dernier check-in

C. Données techniques

• Logs d'audit (actions INSERT/UPDATE/DELETE sur les données clés)

• Logs d'envoi d'emails (type, destinataire, date)

• Événements Stripe (type, montant, statut)

• Jetons de session (supprimés automatiquement à expiration)

Données sensibles : Evolya ne collecte pas de données de santé au sens médical (diagnostic, traitement, dossier médical). Les check-ins (score d'énergie, questions de bien-être) sont des données de suivi personnel de coaching sportif, traitées sur la base contractuelle.

3. Bases légales des traitements (Art. 6 RGPD)

DonnéesBase légaleDurée
Compte coach (nom, email)Contrat (Art. 6.1.b)Durée du contrat + 3 ans
Données de coaching clientContrat (Art. 6.1.b)Durée du suivi + 1 an
Paiements StripeContrat + Obligation légale (Art. 6.1.b + 6.1.c)6 ans (Code de Commerce)
Logs d'audit sécuritéIntérêt légitime (Art. 6.1.f)13 mois (purge automatique)
Événements StripeObligation légale (Art. 6.1.c)6 ans (Code de Commerce)
Emails transactionnelsIntérêt légitime (Art. 6.1.f)Durée du service
Consentement marketingConsentement (Art. 6.1.a)Jusqu'au retrait du consentement

4. Sous-traitants et transferts internationaux

Les sous-traitants suivants peuvent être amenés à traiter vos données dans le cadre de la fourniture du service. Chaque contrat inclut des Clauses Contractuelles Types (SCC) de la Commission Européenne pour les transferts hors UE.

PrestataireRôleLocalisationMécanisme
Supabase Inc.Base de données, AuthUE (eu-west)Accord DPA (données UE)
Vercel Inc.Hébergement app & APIÉtats-UnisSCC — Décision 2021/914/UE
Stripe Inc.Paiement en ligneÉtats-Unis / IrlandeSCC + Adequacy Ireland (DPA signé)
Resend Inc.Emails transactionnelsÉtats-UnisSCC — Décision 2021/914/UE
OpenAI Inc.Génération de programmes d'entraînement (IA)États-UnisSCC + Data Processing Addendum (API)

Les données de carte bancaire ne sont jamais stockées sur nos serveurs. Seuls les identifiants Stripe (customer_id, subscription_id) sont conservés. Le traitement des paiements est entièrement délégué à Stripe, certifié PCI DSS niveau 1.

5. Vos droits (Art. 12–22 RGPD)

Vous disposez des droits suivants sur vos données personnelles. Pour les exercer, écrivez à contact.evolya.pro@gmail.com. Nous vous répondrons dans un délai maximum de 30 jours.

Droit d'accès (Art. 15)

Obtenir une copie de toutes vos données personnelles que nous détenons, dans un format structuré (JSON ou CSV).

Droit de rectification (Art. 16)

Corriger toute donnée inexacte ou incomplète vous concernant (modifiable directement dans vos paramètres de compte).

Droit à l'effacement (Art. 17)

Demander la suppression définitive de vos données. Délai d'exécution : 30 jours. Exceptions légales : données de facturation (6 ans), logs de sécurité (13 mois).

Droit à la limitation (Art. 18)

Suspendre le traitement de vos données en cas de contestation d'exactitude ou traitement illicite.

Droit à la portabilité (Art. 20)

Récupérer vos données dans un format exploitable pour les transférer à un autre service.

Droit d'opposition (Art. 21)

Vous opposer au traitement de vos données fondé sur l'intérêt légitime (notamment emails de rappel).

Réclamation auprès de la CNIL : Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr — 3 Place de Fontenoy, 75007 Paris.

6. Sécurité des données

Evolya met en œuvre les mesures techniques et organisationnelles suivantes pour protéger vos données :

  • Chiffrement en transit : TLS 1.3 (HTTPS obligatoire)
  • Chiffrement au repos : AES-256 (base de données Supabase)
  • Mots de passe : hachage bcrypt (jamais stockés en clair)
  • Accès restreints par politique RLS (Row Level Security) au niveau base de données
  • Jetons d'accès client à durée limitée (expiration automatique)
  • Clés API isolées par environnement (production / développement)

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, Evolya s'engage à notifier la CNIL dans un délai de 72 heures (Art. 33 RGPD) et les personnes concernées dans les meilleurs délais.

7. Procédure en cas de violation de données (Art. 33–34 RGPD)

En cas de violation de sécurité susceptible d'engendrer un risque pour les droits et libertés des personnes, Evolya s'engage à respecter la procédure suivante :

1

Détection et qualification (H+0 à H+4)

Identification de la nature et de l'étendue de la violation. Classification du risque (faible / moyen / élevé).

2

Notification CNIL (H+72 max)

Si le risque est avéré, déclaration sur le portail CNIL (notifications.cnil.fr) dans un délai de 72 heures (Art. 33 RGPD). Contenu : nature de la violation, catégories et nombre approximatif de personnes concernées, mesures prises.

3

Notification des personnes concernées (sans délai inutile)

Si le risque est élevé, email individuel à chaque utilisateur concerné décrivant : la nature de la violation, les données exposées, les mesures correctives prises et les recommandations de protection.

4

Documentation interne

Consignation de l'incident dans le registre de violations avec : date, description, mesures correctives, notifications effectuées (Art. 33.5 RGPD).

Contact urgence sécurité : contact.evolya.pro@gmail.com — mentionnez « VIOLATION DONNÉES » en objet.

8. Cookies

Evolya n'utilise que des cookies strictement nécessaires au fonctionnement du service :

  • sb-access-token : jeton d'authentification Supabase — durée de session
  • sb-refresh-token : renouvellement de session — 7 jours

Aucun cookie publicitaire, de tracking ou analytique tiers n'est déposé. Aucune donnée n'est partagée avec Google Analytics, Facebook, ou toute autre régie publicitaire.

9. Modification de la présente politique

Evolya se réserve le droit de modifier la présente politique à tout moment. Les utilisateurs actifs seront notifiés par email au moins 14 jours avant l'entrée en vigueur des modifications substantielles. La poursuite de l'utilisation du service vaut acceptation de la nouvelle politique.

AccueilMentions légalesCGU