Politique de confidentialité — Feed Athlete
Version en vigueur au 24 avril 2026
1. Notre engagement
Feed Athlete est un service construit autour d'une donnée sensible : ce que vous mangez, comment vous vous entraînez, comment votre corps réagit. Nous prenons la protection de ces informations au sérieux, pas parce que le RGPD l'exige (même s'il l'exige), mais parce que c'est la base de la relation de confiance que nous voulons construire avec vous.
Cette politique explique de façon claire quelles données nous collectons, pourquoi, avec qui nous les partageons, combien de temps nous les gardons, et quels sont vos droits.
2. Responsable de traitement
Le responsable du traitement de vos données personnelles est :
Titouan CHAIGNEPAIN — micro-entrepreneur
SIRET SIRET
Email : privacy@feed-athlete.com
Pour toute question relative à vos données, écrivez-nous à privacy@feed-athlete.com. Nous nous engageons à vous répondre sous 30 jours maximum (délai légal RGPD).
3. Quelles données nous collectons
Nous collectons strictement les données nécessaires au fonctionnement du Service. Voici la liste exhaustive :
3.1 Données de compte
- Adresse email (obligatoire, identifiant de connexion)
- Mot de passe (stocké de façon irréversiblement chiffrée, jamais en clair)
- Prénom ou pseudonyme d'affichage (facultatif)
- Fuseau horaire, langue préférée
3.2 Profil athlète
- Sexe (pour le calcul du métabolisme de base selon la formule Mifflin-St Jeor)
- Date de naissance ou tranche d'âge
- Poids, taille
- Fréquence cardiaque maximale et de repos (si renseignées manuellement ou remontées par Strava)
- VO₂max estimé (si disponible via Strava)
- Discipline principale, volume hebdomadaire d'entraînement
- Objectifs sportifs, date d'événement cible (course)
3.3 Préférences alimentaires
- Régime (omnivore, végétarien, végétalien, pescétarien, sans gluten, etc.)
- Allergènes et intolérances déclarés
- Aliments exclus par préférence personnelle
3.4 Données d'entraînement
- Sessions d'entraînement (durée, discipline, distance, fréquence cardiaque moyenne/max, puissance si dispo, TSS, calories estimées)
- Pattern de charge hebdomadaire
- Données brutes Strava/Garmin lorsque vous connectez ces comptes (nous ne stockons que ce qui est utile au calcul nutritionnel)
3.5 Interactions avec le Service
- Plans nutritionnels générés et historique
- Conversations avec le coach IA (contenu des messages, citations scientifiques référencées)
- Photos de repas soumises au module « scan photo-to-meal » (Pro uniquement, supprimées après analyse sauf sauvegarde volontaire)
- Logs techniques (horodatage, adresse IP tronquée, type de navigateur) pour sécurité et diagnostic
3.6 Données de facturation
- Nom, adresse de facturation, pays
- Historique des transactions (date, montant, statut)
- Jamais les numéros de carte : ils sont traités directement par Stripe.
3.7 Précision importante sur la nature des données
Les données relatives à votre corps et à votre alimentation traitées par Feed Athlete relèvent du bien-être sportif et non de la santé au sens de l'article 9 du RGPD. Elles ne constituent pas des données médicales : nous ne posons pas de diagnostic, nous ne traitons pas de pathologie, nous n'assurons aucune prise en charge clinique. Si vous nous renseigniez néanmoins une information de santé au sens strict (maladie, traitement médical), merci de ne pas l'intégrer dans votre profil Feed Athlete : notre Service n'est pas conçu pour héberger ce type de donnée.
4. Finalités et bases légales
Pour chaque catégorie de données, nous identifions explicitement la base légale au titre de l'article 6 du RGPD :
| Finalité | Données utilisées | Base légale |
|---|---|---|
| Créer et gérer votre compte | Email, mot de passe, profil | Exécution du contrat (CGV) |
| Générer votre plan nutritionnel | Profil athlète, préférences, sessions | Exécution du contrat |
| Facturer votre abonnement | Identité, facturation, historique de paiement | Exécution du contrat + obligation légale (comptabilité) |
| Envoyer des emails transactionnels (confirmation, rappel de plan) | Email, prénom | Exécution du contrat |
| Améliorer le Service (statistiques anonymisées, diagnostic d'erreurs) | Logs techniques agrégés | Intérêt légitime |
| Sécurité (détection d'abus, protection contre la fraude) | Logs, IP tronquée | Intérêt légitime |
| Répondre à vos sollicitations (support, réclamation) | Email, contenu du message | Intérêt légitime |
| Conserver vos données après résiliation pour obligations comptables/fiscales | Facturation uniquement | Obligation légale (10 ans, Code de commerce) |
Nous ne pratiquons aucune publicité ciblée, aucune revente de données, aucun profilage à fin publicitaire. Nous ne vous envoyons pas de newsletter marketing sans votre consentement explicite préalable.
5. Sous-traitants (sous-processors)
Pour faire tourner le Service, nous faisons appel à des sous-traitants techniques. Nous leur transmettons strictement le minimum nécessaire et exigeons d'eux un niveau de protection équivalent au nôtre. Voici la liste exhaustive :
| Sous-traitant | Finalité | Pays d'hébergement | Mécanisme de transfert |
|---|---|---|---|
| Supabase | Base de données Postgres, authentification, stockage de fichiers | Frankfurt (Allemagne), région eu-central-1 |
Aucun transfert hors UE |
| Upstash | Cache Redis (rate limiting, sessions éphémères) | Région EU | Aucun transfert hors UE |
| Resend | Envoi d'emails transactionnels | Région EU | Aucun transfert hors UE |
| DigitalOcean | Hébergement de l'application web | Frankfurt (Allemagne), datacenter FRA1 — à confirmer selon déploiement | Aucun transfert hors UE |
| Stripe Payments Europe Limited | Traitement des paiements | Irlande, avec sous-traitance technique États-Unis (Stripe Inc.) | Clauses Contractuelles Types (CCT / SCCs) de la Commission européenne 2021/914, + Data Privacy Framework |
| Anthropic PBC | Modèles IA Claude (coach, génération de plans, vision photo) | États-Unis | Clauses Contractuelles Types (CCT / SCCs) + analyse d'impact des transferts |
| Strava Inc. | Synchronisation OAuth et récupération des activités sportives (uniquement si vous connectez votre compte Strava) | États-Unis | Clauses Contractuelles Types (CCT / SCCs) |
| Umami Cloud | Statistiques de visite anonymisées (pas de cookie, pas de profilage) | Région EU | Aucun transfert hors UE |
Transferts hors Union Européenne
Les transferts vers les États-Unis (Stripe, Anthropic, Strava) sont encadrés par les Clauses Contractuelles Types adoptées par la Commission européenne le 4 juin 2021, complétées le cas échéant par l'adhésion du sous-traitant au EU-US Data Privacy Framework. Nous avons réalisé une analyse d'impact des transferts (Transfer Impact Assessment) pour chacun de ces flux et conclu à un niveau de protection adéquat compte tenu de la nature des données transférées.
Pour toute question ou demande de copie du registre des transferts, écrivez à privacy@feed-athlete.com.
6. Durées de conservation
Nous ne gardons vos données que le temps nécessaire à la finalité pour laquelle elles ont été collectées :
| Catégorie | Durée |
|---|---|
| Compte actif | Tant que le compte est actif |
| Compte résilié | 30 jours après résiliation, puis suppression automatique (hors données comptables, voir ci-dessous) |
| Conversations coach IA | 90 jours après la dernière interaction, sauf suppression volontaire plus tôt |
| Photos de repas (module Pro) | Supprimées immédiatement après analyse, sauf sauvegarde explicite par l'Utilisateur (dans ce cas : tant que le compte est actif) |
| Données de facturation | 10 ans à compter de la clôture de l'exercice comptable (article L. 123-22 du Code de commerce) |
| Logs de sécurité | 12 mois maximum (recommandation CNIL) |
| Emails de support | 3 ans après le dernier échange (prescription civile) |
| Données de diagnostic Sentry (erreurs techniques, PII scrubbées) | 90 jours |
Vous pouvez à tout moment demander la suppression anticipée depuis vos Paramètres ou en écrivant à privacy@feed-athlete.com.
7. Vos droits
Conformément au RGPD et à la loi Informatique et Libertés modifiée, vous disposez des droits suivants :
- Droit d'accès : obtenir la copie de toutes les données que nous détenons sur vous.
- Droit de rectification : corriger une information inexacte ou incomplète.
- Droit à l'effacement (« droit à l'oubli ») : obtenir la suppression de vos données, sous réserve de nos obligations légales (comptabilité).
- Droit à la limitation : suspendre temporairement certains traitements.
- Droit d'opposition : refuser un traitement fondé sur notre intérêt légitime.
- Droit à la portabilité : récupérer vos données dans un format structuré, couramment utilisé et lisible par machine (JSON / CSV).
- Droit de retirer votre consentement à tout moment pour les traitements qui en dépendent.
- Droit de définir le sort de vos données après votre décès conformément à l'article 85 de la loi Informatique et Libertés.
Pour exercer ces droits : écrivez à privacy@feed-athlete.com avec mention de votre demande. Nous vous répondrons dans un délai maximum de 30 jours. Pour les demandes d'accès et de portabilité, un export direct est également disponible dans vos Paramètres > Export de données.
Réclamation auprès de la CNIL
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- 3 place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
- Site :
www.cnil.fr - Téléphone : 01 53 73 22 22
8. Cookies et traceurs
Feed Athlete n'utilise pas de cookies publicitaires ni de traceurs de mesure d'audience avec identifiant persistant.
Nous utilisons uniquement :
- un cookie de session strictement nécessaire à votre authentification, supprimé à la fermeture du navigateur ou à la déconnexion ;
- un token de sécurité CSRF éphémère protégeant vos actions contre les requêtes malveillantes.
Ces cookies relevant de la catégorie « strictement nécessaires » (article 82 de la loi Informatique et Libertés et lignes directrices CNIL), ils ne requièrent pas votre consentement préalable.
Pour nos statistiques de visite, nous utilisons Umami Cloud en configuration cookieless : les visites sont comptées de façon agrégée, sans identifiant individuel, sans empreinte numérique (fingerprint), sans croisement avec des données tierces.
9. Sécurité
Nous mettons en œuvre les mesures techniques et organisationnelles suivantes :
- Chiffrement TLS 1.3 en transit pour l'ensemble des communications
- Chiffrement au repos pour les bases de données (Supabase) et les sauvegardes
- Chiffrement AES-256-GCM des jetons OAuth tiers (Strava, Garmin) avant stockage
- Mots de passe hachés via algorithme bcrypt avec salage unique
- Isolation stricte des données par utilisateur (Row Level Security Postgres sur 100 % des tables utilisateur)
- Authentification à deux facteurs disponible (TOTP) — activation fortement recommandée
- Sauvegardes chiffrées quotidiennes, conservées 30 jours, restauration testée trimestriellement
- Limitation stricte des accès internes aux données (principe du moindre privilège) ; le fondateur est aujourd'hui le seul administrateur technique
- Journalisation (audit log) de toute action sensible sur votre compte (connexion, modification, suppression, connexion de service tiers)
- Notification en cas de violation de données conformément à l'article 33 du RGPD, dans un délai de 72 heures
Aucun système n'est invulnérable. En cas de suspicion de compromission de votre compte, changez immédiatement votre mot de passe et écrivez à privacy@feed-athlete.com.
10. Mineurs
Feed Athlete est strictement interdit aux mineurs de moins de 15 ans, conformément à l'article 7-1 de la loi Informatique et Libertés. Pour les mineurs entre 15 et 18 ans, l'inscription nécessite le recueil préalable de l'autorisation écrite d'un titulaire de l'autorité parentale.
Si nous apprenons qu'un compte a été créé par un mineur de moins de 15 ans, nous le supprimons sans délai.
Nous recommandons par ailleurs expressément à tout Utilisateur mineur de consulter un médecin ou un diététicien-nutritionniste avant de suivre les recommandations du Service.
11. Modifications de la présente politique
Nous pouvons être amenés à faire évoluer cette politique pour refléter des changements dans notre Service, nos sous-traitants ou la réglementation applicable.
Toute modification substantielle vous sera notifiée par email au moins 30 jours avant sa prise d'effet, avec un résumé clair de ce qui change et pourquoi. La version en vigueur est toujours celle accessible sur feed-athlete.com/legal/privacy.
12. Contact
- Questions relatives à vos données :
privacy@feed-athlete.com - Support général :
hello@feed-athlete.com - Courrier postal : Titouan CHAIGNEPAIN