Politique de confidentialité
Dernière mise à jour : 27 mai 2026
La présente politique décrit comment AdCoach AI, exploitée par Fitness Vendor SAS, traite vos données personnelles conformément au Règlement Général sur la Protection des Données (RGPD - Règlement (UE) 2016/679) et à la loi Informatique et Libertés.
1. Responsable du traitement
Fitness Vendor SAS
- RCS Cherbourg : 921 713 418
- Capital social : 1 000 €
- Siège social : 41 Les Bertrands, 50470 Tollevast, France
- Directeur de la publication : Nils Mazeaud
- Contact : contact@fitness-vendor.com
2. Rôle de la plateforme dans le traitement des données
AdCoach AI traite deux catégories de données selon des rôles RGPD distincts :
Périmètre A - Données publicitaires Meta de l’Utilisateur
Pour la synchronisation et l’analyse des données publicitaires Meta (campagnes, insights, leads) de l’Utilisateur, AdCoach AI agit en qualité de sous-traitant au sens de l’article 4.8 du RGPD. L’Utilisateur (le club) est le responsable du traitement. AdCoach AI n’accède à ces données que sur instruction de l’Utilisateur (connexion OAuth, lancement d’une synchronisation, consultation du tableau de bord).
Périmètre B - Authentification, compte et données de service
Pour les données nécessaires au fonctionnement du service lui-même (email d’authentification, logs techniques, données de facturation), AdCoach AI agit en qualité de responsable du traitement au sens de l’article 4.7 du RGPD.
Périmètre C - Import CRM et données de prospects
Pour les données de contacts clients importées par l’Utilisateur, AdCoach AI agit en qualité de sous-traitant. L’Utilisateur reste responsable du traitement et de la licéité des données importées. Voir l’article 5.4 ci-dessous.
3. Données collectées
Données de compte (Périmètre B)
- Adresse email professionnelle (authentification via lien magique)
- Identifiant unique Supabase
- Données de facturation : informations de paiement traitées directement par Stripe (Fitness Vendor SAS ne conserve aucune donnée bancaire brute)
Données publicitaires Meta (Périmètre A)
Collectées via OAuth Meta après autorisation explicite de l’Utilisateur :
- Identifiants de comptes publicitaires, campagnes, ensembles de publicités, publicités
- Données de performance (insights) : impressions, clics, dépenses, conversions, ROAS
- Créatifs publicitaires (titres, visuels, descriptions)
- Leads (formulaires Lead Ads Meta) : nom, email, téléphone des prospects du club
Conversations IA Coach (Périmètre B)
- Messages échangés avec le Coach IA (texte brut des questions et réponses)
- Ces données sont pseudonymisées avant transmission à l’API Anthropic (aucun identifiant utilisateur direct n’est transmis à Anthropic)
Données CRM importées (Périmètre C)
- Fichiers contacts importés par l’Utilisateur : noms, emails, numéros de téléphone, données d’abonnement de leurs clients
Données techniques
- Adresses IP, user-agent, timestamps de connexion (finalité : sécurité et détection d’abus uniquement)
- Logs d’erreurs (Sentry, avec scrubbing PII automatique)
Aucune donnée sensible au sens de l’article 9 du RGPD n’est collectée (données de santé, opinions politiques, données biométriques, etc.).
4. Tableau des traitements
| Finalité | Données concernées | Base légale | Durée de conservation | Destinataires |
|---|---|---|---|---|
| Authentification et gestion du compte | Email, identifiant | Art. 6.1.b RGPD (exécution du contrat) | Durée du compte + 30 j | Supabase, Resend |
| Affichage du tableau de bord publicitaire | Données Meta (campagnes, insights) | Art. 6.1.b RGPD | 365 jours glissants | Supabase |
| Coach IA conversationnel | Messages IA (pseudonymisés) | Art. 6.1.b RGPD | 90 jours glissants | Anthropic (via integrations.fitness-vendor.com) |
| Suivi des leads et calcul ROAS | Leads Meta, données CRM | Art. 6.1.b RGPD | Durée du compte + 30 j | Supabase |
| Import CRM et analyse LTV | Contacts importés par l’Utilisateur | Art. 6.1.b RGPD (sous-traitant) | Durée du compte + 30 j | Supabase |
| Facturation et paiement | Données Stripe (tokenisées) | Art. 6.1.b RGPD + Art. 6.1.c (obligation legale) | 10 ans (conservation comptable) | Stripe |
| Emails transactionnels | Email, contenu notification | Art. 6.1.b RGPD | Durée du compte | Resend |
| Sécurité et journalisation | Logs IP, user-agent, timestamps | Art. 6.1.f RGPD (intérêt légitime) | 12 mois | Supabase, Sentry |
| Amélioration du service (données agrégées) | Données anonymisées irréversiblement | Art. 6.1.f RGPD (intérêt légitime) | Illimitée (anonyme) | Interne uniquement |
5. Traitements spécifiques
5.1. Données traitées via le Coach IA (Anthropic)
Le Coach IA est alimenté par l’API Claude d’Anthropic (États-Unis), accessible via le service backend centralisé integrations.fitness-vendor.com. Les messages transmis à Anthropic sont pseudonymisés : aucun identifiant utilisateur direct (email, nom, UUID) n’est inclus dans les requêtes API.
Engagements Anthropic :
- Anthropic s’engage contractuellement à ne pas utiliser les données transmises via l’API pour entraîner ses modèles d’intelligence artificielle (Commercial Terms Anthropic)
- Durée maximale de conservation côté Anthropic : 30 jours selon leurs politiques
- Encadrement juridique : Clauses Contractuelles Types (CCT) + EU-US Data Privacy Framework
5.2. Import CRM - Données de vos clients
Lorsque vous importez un fichier de contacts clients (CRM), vous agissez en qualité de responsable du traitement de ces données. AdCoach AI est votre sous-traitant pour ce traitement.
En important des données, vous déclarez et garantissez :
- Disposer d’une base légale RGPD valide pour ce traitement
- Avoir informé les personnes concernées conformément aux articles 13 et 14 du RGPD
- Ne pas importer de données sensibles (article 9 RGPD) sans consentement explicite des personnes concernées
Les données CRM importées sont stockées sur le projet Supabase dédié AdCoach (région eu-west-3 Paris) et ne sont partagées avec aucun tiers au-delà des sous-traitants techniques listés.
5.3. Intégration Meta - Lecture seule
AdCoach AI accède aux données publicitaires Meta exclusivement en lecture seule via les permissions OAuth suivantes :
ads_read: lecture des performances publicitairesbusiness_management: lecture du Business Manager et des comptes publicitairesleads_retrieval: récupération des leads Lead Ads
Aucune donnée Meta n’est revendue à des tiers. Les données sont exclusivement utilisées pour leur affichage dans AdCoach AI au bénéfice de l’Utilisateur propriétaire.
Suppression des données Meta : l’Utilisateur peut demander à tout moment la suppression des données Meta synchronisées en contactant contact@fitness-vendor.com ou via Paramètres → Mes données. La suppression intervient sous 30 jours.
6. Sous-traitants et transferts hors UE
| Sous-traitant | Service | Localisation | Encadrement du transfert |
|---|---|---|---|
| Supabase Inc. | Base de données, authentification, stockage des tokens OAuth | AWS Paris (eu-west-3) - UE | DPA signé - données en UE (pas de transfert) |
| Vercel Inc. | Hébergement, CDN, fonctions serverless | Edge cdg1 (Paris, UE) - siège US | DPA + Clauses Contractuelles Types (CCT) |
| Anthropic, PBC | API Claude (Coach IA) - données pseudonymisées | États-Unis | CCT + EU-US Data Privacy Framework |
| Meta Platforms Ireland Ltd | OAuth + lecture données publicitaires | Irlande / États-Unis | CCT + adequacy (Irlande) |
| Stripe Payments Europe Ltd | Paiements, facturation | Irlande (Dublin) - UE | DPA + PCI-DSS L1 - données UE |
| Resend Inc. | Emails transactionnels | États-Unis | DPA + EU-US Data Privacy Framework |
| OVH SAS | DNS | France - UE | Données en UE (pas de transfert) |
| Sentry (Functional Software Inc.) | Monitoring d’erreurs | États-Unis | CCT + scrubbing PII automatique |
| Upstash Inc. | Cache Redis (nonce HMAC 6 min) | États-Unis / UE | CCT |
| Amazon Web Services | Infrastructure sous-jacente Supabase | EU (eu-west-3 Paris) | CCT + adequacy |
Une copie consolidée des accords de traitement (DPA) et des Clauses Contractuelles Types peut être obtenue sur demande à contact@fitness-vendor.com avec le sujet « Demande SCCs AdCoach AI ». Délai de réponse : 7 jours ouvrés.
Engagement analytique : AdCoach AI n’utilise aucun outil de tracking publicitaire tiers (pas de Google Analytics, pas de Meta Pixel, pas de Hotjar, pas de Microsoft Clarity, pas de Mixpanel, pas de Segment). L’éventuelle mesure d’audience est réalisée via des solutions cookieless conformes RGPD.
7. Durée de conservation
| Donnée | Durée de conservation |
|---|---|
| Données de compte (email, identifiant) | Durée du compte + 30 jours |
| Insights Meta quotidiens | 365 jours glissants |
| Tokens OAuth Meta | Jusqu’à révocation par l’Utilisateur ou expiration Meta (60 jours) |
| Leads Meta | Durée du compte + 30 jours |
| Conversations Coach IA | 90 jours glissants |
| Données CRM importées | Durée du compte + 30 jours |
| Logs techniques (sécurité) | 12 mois |
| Données de facturation | 10 ans (obligation comptable légale) |
| Données agrégées anonymisées | Illimitée (aucune donnée personnelle) |
8. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Droit d’accès (Art. 15) : obtenir une copie de vos données personnelles
- Droit de rectification (Art. 16) : corriger des données inexactes
- Droit à l’effacement (Art. 17) : supprimer votre compte depuis Paramètres → Mes données
- Droit à la portabilité (Art. 20) : exporter vos données au format CSV/JSON depuis Paramètres
- Droit d’opposition (Art. 21) : vous opposer à certains traitements fondés sur l’intérêt légitime
- Droit à la limitation (Art. 18) : demander la limitation du traitement
Délai de réponse : 30 jours. Contact : contact@fitness-vendor.com
Pour les demandes d’exercice de droits relatives aux données CRM importées, adressez-vous directement au club responsable du traitement.
9. Sécurité
Fitness Vendor SAS met en oeuvre les mesures techniques et organisationnelles suivantes conformément à l’article 32 du RGPD :
- Chiffrement au repos : tokens OAuth Meta chiffrés dans Supabase Vault (AES-256)
- Chiffrement en transit : TLS 1.3 sur toutes les communications
- Isolement des données : Row-Level Security (RLS) Postgres - chaque utilisateur n’accède qu’à ses propres données
- Authentification : lien magique (magic link) sans mot de passe, jetons à usage unique
- Surveillance : monitoring d’erreurs Sentry avec scrubbing PII automatique
- Hébergement EU : données personnelles stockées en région AWS eu-west-3 Paris
- Nonces HMAC : cache Upstash Redis 6 minutes pour prévenir les attaques par rejeu
- Accès restreint : accès aux données de production limité au personnel technique autorisé
Notification de violation de données (Articles 33-34 RGPD)
En cas de violation de données personnelles, Fitness Vendor SAS s’engage à :
- Notifier la CNIL sous 72 heures après la prise de connaissance de la violation, conformément à l’article 33 du RGPD, sauf si la violation n’est pas susceptible d’engendrer de risque pour les droits et libertés des personnes concernées ;
- Notifier les Utilisateurs affectés sans délai injustifié lorsque la violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés, conformément à l’article 34 du RGPD ;
- Documenter toute violation (faits, effets, mesures correctives) dans un registre interne pour audit CNIL éventuel.
10. Conformité AI Act
Conformément à l’article 50 du Règlement (UE) 2024/1689 (AI Act), AdCoach AI informe ses Utilisateurs que :
- Le Coach IA est un système d’intelligence artificielle générative (Claude, Anthropic)
- Les réponses sont générées automatiquement et peuvent contenir des erreurs
- L’interface identifie clairement les contenus générés par IA
- Un bouton « Signaler » permet de signaler toute réponse problématique
11. Cookies
Voir notre Politique de cookies dédiée.
12. Modifications de la politique
Toute modification substantielle de la présente politique est notifiée par email au moins 30 jours avant son entrée en vigueur. La version en vigueur est toujours celle publiée sur ce site.
13. Réclamation
En cas de désaccord sur la manière dont vos données sont traitées, vous pouvez saisir la Commission Nationale de l’Informatique et des Libertés (CNIL) :
- Site : www.cnil.fr
- Adresse : 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
- Téléphone : +33 (0)1 53 73 22 22