Politique de confidentialité

Dernière mise à jour : 22 avril 2026

La présente politique de confidentialité (ci-après la « Politique ») décrit la manière dont Peakset SAS (en cours de formation) (ci-après « Peakset », « nous », « notre » ou « nos ») collecte, utilise, partage et protège les données à caractère personnel des utilisateurs (ci-après « vous », « votre » ou « vos ») dans le cadre de l'utilisation du site https://peakset.app (ci-après le « Site ») et de l'application mobile Peakset (ci-après l'« Application »), ensemble désignés comme les « Services ».

Cette Politique est rédigée conformément au Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (ci-après le « RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée dite « Informatique et Libertés » (ci-après la « LIL »).

1. Responsable du traitement

Le responsable du traitement au sens du RGPD est :

Peakset SAS (société en cours de formation) Adresse : [ADRESSE À COMPLÉTER] Email : [EMAIL À COMPLÉTER]

Peakset n'est pas tenue de désigner un délégué à la protection des données (DPO) au sens de l'article 37 du RGPD, mais se réserve la possibilité d'en désigner un à l'avenir. En l'absence de DPO désigné, toute demande relative à vos données personnelles peut être adressée à l'adresse email ci-dessus.

2. Portée de la présente Politique

Cette Politique couvre l'ensemble des traitements réalisés par Peakset dans le cadre :

• de la liste d'attente Early Access (inscription via le Site)
• de l'Application mobile Peakset (suivi d'entraînements sportifs)
• des interactions de support (emails, demandes d'exercice de droits)

Lorsqu'une section s'applique spécifiquement à une surface (Site uniquement, Application uniquement), cela est indiqué de manière explicite.

3. Synthèse des traitements

Le tableau ci-dessous résume les traitements réalisés par Peakset. Chaque traitement est détaillé dans la suite de la Politique.

4. Données collectées et finalités

4.1. Traitement T1 — Inscription à la liste d'attente (Site)

Données collectées :

• Adresse email
• Code d'équipe (« crew code ») — identifiant court choisi par l'utilisateur
• Opt-in feedback Early Access (booléen : « Oui, je souhaite participer au feedback produit »)
• Statut coach (booléen : « Je suis coach sportif »)
• Adresse IP de connexion (utilisée uniquement pour la limitation du nombre de requêtes, voir T4)
• Date et heure d'inscription

Finalités :

• Constitution de la liste d'attente Early Access
• Envoi d'une notification lors du lancement de l'Early Access
• Ajustement du parcours produit selon le profil (coach / non-coach)
• Association à un « crew » (équipe) identifié par le crew code

Caractère obligatoire : L'ensemble des champs est obligatoire pour valider l'inscription. Le refus de fournir ces données rend l'inscription impossible.

4.2. Traitement T2 — Communications Early Access (Site / Email)

Données traitées : Adresse email fournie lors de l'inscription (T1).

Finalités :

• Envoi d'emails d'information relatifs au lancement et aux actualités de Peakset
• Envoi d'emails d'invitation à participer au feedback Early Access (si opt-in fourni)

Fréquence : Les communications sont envoyées de manière ponctuelle, à l'occasion des jalons du projet. Aucune communication commerciale systématique n'est envoyée pendant la phase Early Access.

Chaque email comporte un lien de désinscription permettant le retrait immédiat du consentement (article 7.3 RGPD).

4.3. Traitement T3 — Préférence de langue (Site)

Données traitées : Préférence de langue (valeur fr ou en) mémorisée via un cookie et dans le stockage local du navigateur.

Finalités : Affichage du Site dans la langue préférée lors des visites ultérieures.

Ce traitement repose sur un cookie dit « strictement nécessaire » au sens de la recommandation CNIL relative aux cookies (délibération 2020-091), exempté de consentement.

4.4. Traitement T4 — Rate limiting (Site)

Données traitées : Adresse IP, horodatage des requêtes envoyées à l'API d'inscription.

Finalités : Prévention des abus (spam, attaques par déni de service, soumissions automatisées) par limitation à cinq tentatives d'inscription par IP toutes les dix minutes.

Durée : Les compteurs sont stockés en mémoire du serveur pour une durée maximale de 10 minutes glissantes, puis automatiquement purgés.

4.5. Traitement T5 — Profil et entraînements (Application)

Données collectées :

• Pseudonyme (3 à 20 caractères)
• Date de naissance (donnée de santé indirecte)
• Sexe / genre (homme, femme, non précisé) (donnée de santé)
• Taille (en centimètres) (donnée de santé)
• Poids (en kilogrammes) (donnée de santé)
• Langue de l'application

Données d'entraînement collectées au fil de l'utilisation :

• Sessions d'entraînement (date, durée, titre)
• Exercices réalisés (type, équipement, posture, prise, muscle ciblé principal et secondaires) (données de santé)
• Séries, répétitions réalisées, charges soulevées, temps de repos, tempo (données de santé)
• Templates d'entraînement créés par l'utilisateur

Données de santé — consentement explicite (article 9.2.a RGPD) :

Les données listées ci-dessus relèvent de la catégorie des « données de santé » au sens de l'article 4.15 du RGPD (toute donnée révélant des informations sur l'état de santé physique ou mental d'une personne). Leur traitement est interdit en principe et n'est autorisé que sur la base d'un consentement explicite donné par vous dans l'Application lors de la première ouverture (écran d'onboarding). Ce consentement peut être retiré à tout moment depuis l'écran « Paramètres » de l'Application, ce qui entraîne la suppression immédiate de l'ensemble de vos données.

Stockage : Ces données sont stockées localement sur votre appareil (base de données SQLite chiffrée via les mécanismes natifs iOS/Android, et stockage des préférences utilisateur dans l'espace de stockage sécurisé de l'application). Elles ne sont pas transmises à nos serveurs par défaut.

Finalités :

• Affichage du profil utilisateur
• Enregistrement et consultation de vos sessions d'entraînement
• Création et réutilisation de templates d'entraînement
• Calcul d'indicateurs de progression personnels

4.6. Traitement T6 — Amélioration de la base d'exercices (Application)

Données collectées et transmises à Supabase :

• Événements de sélection d'exercice dans le « picker » : identifiant de l'exercice avant/après, dimension modifiée (équipement, posture, prise, etc.), horodatage, source (cascade, choix manuel)

Finalité : Identification des exercices mal classés ou manquants dans la base de données Peakset, afin d'améliorer la pertinence du catalogue proposé à tous les utilisateurs.

Anonymisation : Les événements transmis ne contiennent aucune donnée directement identifiante (pas de pseudonyme, pas d'email, pas de date de naissance). Ils sont associés à un identifiant technique anonyme généré localement.

Base légale : Intérêt légitime de Peakset (article 6.1.f RGPD) à améliorer la qualité du Service. Vous pouvez vous opposer à ce traitement à tout moment via l'écran « Paramètres » de l'Application.

4.7. Traitement T7 — Rapports utilisateurs (Application)

Données collectées : Description libre rédigée par l'utilisateur, type de rapport (bug, demande de fonctionnalité, amélioration, problème de données, autre), indication de criticité, plateforme détectée (iOS, Android).

Finalité : Traitement des signalements et améliorations du Service.

Base légale : Exécution du contrat d'utilisation (article 6.1.b RGPD) s'agissant de la fourniture du support produit.

4.8. Traitement T8 — Analyse comportementale via Microsoft Clarity (Application)

Données collectées via Microsoft Clarity :

• Interactions avec l'interface (clics, défilements, durées d'affichage)
• Parcours de navigation dans l'Application
• Informations techniques relatives à l'appareil (modèle, système d'exploitation, taille d'écran)
• Adresse IP (masquée par Microsoft Clarity à des fins de géolocalisation approximative)

Finalité : Compréhension de l'usage de l'Application (parcours, points de friction) afin d'améliorer l'expérience utilisateur.

Base légale : Consentement explicite (article 6.1.a RGPD). Vous êtes invité(e) à accepter ou refuser l'activation de Microsoft Clarity lors de la première ouverture de l'Application. Votre choix peut être modifié à tout moment depuis l'écran « Paramètres » de l'Application.

Données non collectées par Clarity :

Peakset a configuré Microsoft Clarity de manière à exclure de la capture les champs sensibles (profil utilisateur, valeurs numériques de poids et taille, dates de naissance). Microsoft Clarity applique par défaut un masquage des saisies textuelles et des données potentiellement sensibles.

Transfert hors UE : Les données collectées via Microsoft Clarity sont transférées et traitées par Microsoft Corporation aux États-Unis. Ce transfert est encadré par l'EU-U.S. Data Privacy Framework (décision d'adéquation de la Commission européenne du 10 juillet 2023), auquel Microsoft adhère. Voir la section 9 relative aux transferts hors UE.

Conséquences du refus : Refuser Microsoft Clarity n'a aucune conséquence sur votre capacité à utiliser l'Application. L'ensemble des fonctionnalités reste accessible.

5. Bases légales

Conformément à l'article 6 du RGPD, chaque traitement est fondé sur une base légale explicite. Vous trouverez la base légale applicable dans le tableau de synthèse au point 3 et dans le détail de chaque traitement au point 4.

Pour les données de santé (poids, taille, date de naissance, sexe, performances sportives) traitées dans l'Application, Peakset s'appuie cumulativement sur :

• une base légale de l'article 6 RGPD (consentement, exécution du contrat) ;
• la dérogation de l'article 9.2.a du RGPD : consentement explicite de la personne concernée pour le traitement de catégories particulières de données.

6. Destinataires des données

6.1. Personnel interne de Peakset

Les données sont accessibles aux membres de l'équipe Peakset strictement en charge du développement, de l'exploitation et du support du Service, sur la base du principe du moindre privilège.

6.2. Sous-traitants

Peakset fait appel à des sous-traitants au sens de l'article 28 du RGPD, avec lesquels sont conclus des contrats de sous-traitance (DPA — Data Processing Agreement) conformes à l'article 28.3 RGPD.

6.3. Tiers non sous-traitants

Peakset ne vend pas, ne loue pas et ne cède pas vos données à des tiers à des fins commerciales.

Peakset peut être amenée à communiquer vos données à des autorités compétentes en réponse à une obligation légale (injonction judiciaire, réquisition administrative, etc.).

7. Durées de conservation

Conformément au principe de limitation de la conservation (article 5.1.e RGPD), les données sont conservées uniquement pendant la durée nécessaire aux finalités pour lesquelles elles sont traitées :

À l'échéance de ces durées, les données sont supprimées ou anonymisées de manière irréversible.

8. Vos droits

Conformément aux articles 15 à 22 du RGPD et aux articles 39 et suivants de la LIL, vous disposez des droits suivants sur vos données à caractère personnel :

• Droit d'accès (article 15 RGPD) : obtenir la confirmation que vos données sont traitées et en recevoir une copie
• Droit de rectification (article 16 RGPD) : corriger vos données inexactes ou incomplètes
• Droit à l'effacement (article 17 RGPD), dit « droit à l'oubli »
• Droit à la limitation du traitement (article 18 RGPD)
• Droit à la portabilité (article 20 RGPD) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (ex. : CSV, JSON), ou demander leur transmission directe à un autre responsable de traitement
• Droit d'opposition (article 21 RGPD) : vous opposer au traitement, notamment lorsqu'il est fondé sur l'intérêt légitime
• Droit de retirer votre consentement (article 7.3 RGPD) à tout moment, lorsque le traitement repose sur cette base légale
• Droit de définir des directives relatives au sort de vos données après votre décès (article 85 LIL)
• Droit de déposer une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL) : www.cnil.fr

Comment exercer vos droits

Vous pouvez exercer vos droits par email à l'adresse : [EMAIL À COMPLÉTER]

Dans l'Application, un écran dédié « Mes données » vous permet :

• d'exporter vos données personnelles au format CSV (droit à la portabilité)
• de réinitialiser l'ensemble de vos données localement (droit à l'effacement pour les données locales)

Justification d'identité : Peakset pouvant ne pas disposer d'éléments d'identification directe (absence de compte utilisateur dans l'Application), il pourra vous être demandé de justifier votre identité par tout moyen (par exemple en fournissant le crew code utilisé lors de l'inscription sur le Site, le pseudonyme utilisé dans l'Application, ou une copie d'une pièce d'identité dont les informations non pertinentes peuvent être occultées).

Délai de réponse : Peakset s'engage à répondre à votre demande dans un délai maximal d'un mois à compter de sa réception, prolongeable de deux mois si la complexité ou le nombre de demandes le justifient (article 12.3 RGPD). Une information sur la prolongation vous sera alors communiquée.

9. Transferts hors Union européenne

Certains sous-traitants sont susceptibles de transférer vos données en dehors de l'Union européenne :

• Microsoft Corporation (Microsoft Clarity) — États-Unis. Ce transfert est encadré par la décision d'adéquation de la Commission européenne du 10 juillet 2023 relative à l'EU-U.S. Data Privacy Framework, Microsoft étant adhérent à ce cadre. Voir la liste DPF.
• Supabase Inc. — la société mère est établie aux États-Unis, mais la région serveur utilisée pour vos données est située dans l'Union européenne. Des clauses contractuelles types (CCT) adoptées par la Commission européenne en 2021 encadrent tout éventuel accès support depuis les États-Unis.

Pour tout autre transfert hors UE, Peakset s'engage à mettre en œuvre les garanties appropriées prévues par le chapitre V du RGPD (décision d'adéquation, clauses contractuelles types, règles d'entreprise contraignantes, ou dérogations spécifiques).

10. Sécurité

Peakset met en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD :

• Chiffrement des communications (HTTPS/TLS) entre les terminaux et les serveurs
• Stockage chiffré des bases de données (Supabase et SQLite local)
• Authentification par clé de service Supabase avec principe du moindre privilège
• Limitation du nombre de tentatives d'inscription (rate limiting)
• Journalisation des accès aux données sensibles
• Séparation stricte des environnements de développement et de production
• Mise à jour régulière des dépendances logicielles

En cas de violation de données à caractère personnel susceptible d'engendrer un risque élevé pour vos droits et libertés, Peakset vous en informera individuellement dans les meilleurs délais, conformément à l'article 34 du RGPD, et notifiera la CNIL dans un délai de 72 heures après en avoir eu connaissance (article 33 RGPD).

11. Cookies et traceurs

L'utilisation de cookies et de traceurs sur le Site fait l'objet d'une Politique de cookies dédiée.

12. Données concernant les mineurs

L'utilisation des Services Peakset est réservée aux personnes âgées d'au moins 15 ans, conformément à l'article 7-1 de la loi Informatique et Libertés, qui fixe en France l'âge du consentement numérique à 15 ans.

Si vous êtes âgé(e) de moins de 15 ans, vous ne devez pas utiliser les Services ni fournir de données personnelles à Peakset sans le consentement préalable de la ou des personnes titulaires de l'autorité parentale.

En cas de signalement portant à notre connaissance qu'un utilisateur a moins de 15 ans et a fourni des données sans consentement parental, Peakset procédera à la suppression de l'intégralité des données concernées dans les meilleurs délais.

13. Prise de décision automatisée et profilage

Peakset ne procède à aucune prise de décision entièrement automatisée produisant des effets juridiques à votre égard ou vous affectant de manière significative, au sens de l'article 22 du RGPD.

Les indicateurs de progression affichés dans l'Application résultent de calculs statistiques à partir de vos propres données et ne constituent pas des décisions automatisées au sens précité.

14. Peakset n'est pas un dispositif médical

Les Services Peakset sont destinés à un usage personnel de suivi d'activité sportive. Ils ne constituent pas un dispositif médical au sens du règlement (UE) 2017/745 relatif aux dispositifs médicaux et ne sont pas destinés à diagnostiquer, prévenir, surveiller, prédire, traiter ou atténuer une maladie.

Les informations présentées dans l'Application ne remplacent pas un avis médical. Avant d'entreprendre une activité physique intensive, il est recommandé de consulter un professionnel de santé.

15. Modifications de la Politique

Peakset se réserve le droit de modifier la présente Politique afin de la tenir à jour avec l'évolution des traitements, de la législation ou de la jurisprudence. La date de dernière mise à jour figure en tête de document.

En cas de modification substantielle, vous en serez informé(e) par tout moyen approprié (email, notification dans l'Application, bandeau sur le Site). Votre consentement pourra être à nouveau sollicité lorsque la modification le requiert.

16. Contact

Pour toute question relative à cette Politique ou au traitement de vos données :

Email : [EMAIL À COMPLÉTER] Adresse postale : [ADRESSE À COMPLÉTER]

Vous pouvez également adresser une réclamation à la Commission nationale de l'informatique et des libertés (CNIL) :

Commission nationale de l'informatique et des libertés (CNIL) 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07 Téléphone : 01 53 73 22 22 www.cnil.fr