Politique de confidentialité
Cette politique décrit, conformément aux articles 13 et 14 du Règlement (UE) 2016/679 (RGPD), comment Swing AI collecte et traite vos données personnelles.
1. Responsable de traitement
Le responsable de traitement est À compléter — dénomination sociale ou nom de l’entrepreneur individuel, dont les coordonnées figurent dans les mentions légales. Pour toute question relative à vos données, écrivez à À compléter — email dédié aux demandes RGPD (peut être identique au contact général).
2. Données collectées et finalités
Nous limitons les données collectées à ce qui est nécessaire pour fournir le service. Les principaux traitements sont les suivants :
| Finalité | Données | Base légale | Conservation |
|---|---|---|---|
| Création et gestion du compte utilisateur | Adresse email, mot de passe haché, nom (facultatif), métadonnées d’authentification (Google OAuth lorsque utilisé). | Exécution du contrat (article 6.1.b RGPD) | Durée de la relation contractuelle, puis suppression à la demande ou inactivité prolongée (3 ans), sous réserve des obligations légales. |
| Fourniture du service d’analyse de swing | Vidéos téléversées, métadonnées techniques (durée, format), résultats d’analyse générés par l’IA, historique des analyses, conversations avec l’assistant. | Exécution du contrat (article 6.1.b RGPD) | Conservation tant que le compte est actif. Suppression possible à tout moment depuis l’interface ; suppression effective sous 30 jours après demande. |
| Paiement et gestion des abonnements Pro / Elite | Identifiant client Stripe, identifiant d’abonnement, plan, dates de période, statut de paiement. Les données de carte bancaire ne transitent jamais par nos serveurs : elles sont collectées directement par Stripe. | Exécution du contrat (article 6.1.b RGPD) et obligation légale comptable (article 6.1.c RGPD) | Données de facturation conservées 10 ans (obligation comptable, art. L.123-22 du Code de commerce). |
| Sécurité du service et lutte contre la fraude | Journaux de connexion, adresse IP (lors de l’authentification ou d’événements de sécurité), événements applicatifs. | Intérêt légitime (article 6.1.f RGPD) à protéger le service et ses utilisateurs. | 12 mois maximum pour les journaux techniques. |
| Communication relative au service | Email, contenu du message envoyé à l’éditeur. | Exécution du contrat ou intérêt légitime à répondre à une demande. | Durée nécessaire au traitement de la demande, puis archivage 3 ans pour preuve. |
3. Vidéos de swing et analyse par IA
Lorsque vous téléversez une vidéo de swing, celle-ci est transmise à notre prestataire d’analyse IA (Google, via l’API Gemini) pour être analysée puis renvoyée sous forme de rapport. La vidéo et les métadonnées sont conservées dans votre espace personnel afin que vous puissiez consulter l’historique de vos séances et suivre votre progression.
- Les vidéos ne servent pas à entraîner de modèles d’IA, sauf mention contraire explicite et consentement préalable.
- Vous pouvez à tout moment supprimer une vidéo et son rapport associé depuis l’interface ; la suppression est répercutée chez nos sous-traitants conformément à leurs propres délais contractuels.
- L’analyse produit une assistance pédagogique : elle ne constitue pas un avis médical et ne se substitue pas à un coach professionnel ou à un médecin du sport.
4. Destinataires et sous-traitants
Nous faisons appel aux sous-traitants suivants, chacun encadré par un Data Processing Agreement (DPA) :
| Sous-traitant | Rôle | Localisation | Garantie transfert |
|---|---|---|---|
| Supabase, Inc. | Authentification, base de données PostgreSQL, stockage de fichiers | États-Unis (avec présence en UE) | Clauses contractuelles types (CCT) de la Commission européenne |
| Stripe Payments Europe, Ltd. | Paiement par carte, gestion des abonnements et facturation | Irlande (UE), avec transferts vers Stripe Inc. (États-Unis) | Clauses contractuelles types (CCT) — DPA Stripe |
| Google Ireland Ltd. (Gemini API / Google OAuth) | Analyse vidéo et coaching par IA, connexion via compte Google | Irlande (UE), avec transferts vers Google LLC (États-Unis) | Clauses contractuelles types (CCT) — DPA Google Cloud |
| Vercel Inc. | Hébergement de l’application web et des fonctions serveur | États-Unis (CDN mondial) | Clauses contractuelles types (CCT) — DPA Vercel |
Lorsqu’un transfert intervient hors Espace économique européen, nous nous appuyons sur les Clauses contractuelles types adoptées par la Commission européenne (décision 2021/914), complétées le cas échéant par des mesures techniques supplémentaires (chiffrement, pseudonymisation).
5. Sécurité
Les mots de passe sont stockés sous forme hachée par Supabase Auth. Les communications sont chiffrées en transit (TLS). L’accès à la base de données est encadré par Row Level Security (RLS) de manière à ce qu’un utilisateur ne puisse jamais accéder aux données d’un autre. Les paiements transitent exclusivement par l’infrastructure PCI-DSS de Stripe.
6. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez d’un droit d’accès, de rectification, d’effacement, de limitation, d’opposition, de portabilité, et du droit de retirer à tout moment votre consentement lorsque le traitement repose sur celui-ci.
Pour exercer ces droits, écrivez à À compléter — email dédié aux demandes RGPD (peut être identique au contact général) en précisant l’objet de votre demande. Une preuve d’identité pourra vous être demandée en cas de doute raisonnable. Une réponse vous sera apportée dans un délai d’un mois (prorogeable de deux mois pour les demandes complexes).
Vous avez également le droit d’introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés (CNIL).
7. Décision automatisée
Les analyses sont générées automatiquement par un système d’IA mais ne produisent pas d’effets juridiques ni d’effets significatifs comparables au sens de l’article 22 du RGPD. Elles constituent une aide pédagogique : vous restez libre de leur donner suite ou non.
8. Cookies
La gestion des cookies fait l’objet d’une politique dédiée.
9. Modifications
La présente politique peut évoluer pour suivre les évolutions réglementaires ou techniques. Toute modification substantielle sera portée à votre connaissance par un message dans l’application ou par email. La date de dernière mise à jour figure au bas de cette page.