TOA

Le responsable du traitement des données personnelles est la Société Centauri, représentée par Victor Gravot, Gérant.

Adresse : 5 Avenue de la Brosse, 44120 Vertou, France
Contact : [email protected]
DPO : [email protected]

Dans le cadre de l'utilisation de TOA, nous collectons les catégories de données suivantes :

• Données d'identification : adresse email, mot de passe (chiffré)
• Données sportives : activités synchronisées depuis Strava et/ou Garmin Connect (distance, durée, allure, fréquence cardiaque, puissance, cadence, altitude)
• Données de santé (catégorie spéciale au sens du RGPD) : variabilité de la fréquence cardiaque (HRV), qualité du sommeil, Body Battery et stress (via Garmin), données HealthKit (via Apple Health sur iOS)
• Données de localisation : traces GPS des activités sportives (coordonnées géographiques)
• Données de configuration: objectifs sportifs, courses cibles, préférences d'entraînement, profil athlète (FC repos, FC max, poids, VO2max estimée)
• Données de préférence linguistique : langue de votre navigateur (code ISO 639-1, par exemple fr, en, es) déclarée par votre navigateur via la propriété navigator.language, ainsi qu'un identifiant utilisateur interne (UUID non significatif, ne contenant ni votre email, ni votre nom) transmis à Google Analytics lorsque vous y avez consenti, afin de relier vos sessions de mesure d'audience à votre compte.

Vos données sont traitées pour les finalités suivantes :

• Calcul du DRS (Daily Readiness Score): score quotidien de disponibilité à l'entraînement basé sur la charge d'entraînement, le sommeil, la HRV et la fatigue accumulée
• Coaching IA personnalisé: recommandations d'entraînement générées par intelligence artificielle (Google Gemini) à partir de votre historique et de votre état de forme
• Analyse de performance: calcul d'indicateurs (CTL, ATL, TSB, TRIMP, SPI, VO2max estimée, FTP) et suivi de progression
• Génération de plans d'entraînement adaptés à vos objectifs et à votre niveau
• Adapter la langue de nos communications(emails transactionnels, interface) et segmenter nos statistiques d'usage par marché linguistique.
• Mesurer le parcours d'inscription et d'utilisation de manière fiableen associant les sessions Google Analytics à votre compte (rattachement par identifiant utilisateur, soumis à votre consentement).

• Consentement explicite (article 9 du RGPD) pour le traitement des données de santé (HRV, sommeil, Body Battery, données HealthKit). Ce consentement est recueilli de manière spécifique et éclairée lors de la connexion de chaque source de données.
• Exécution du contrat(article 6.1.b du RGPD) pour les données sportives et d'identification nécessaires au fonctionnement du service.
• Exécution du contrat(article 6.1.b du RGPD) pour la collecte et l'utilisation de la langue de votre navigateur, afin de vous communiquer dans une langue que vous comprenez.
• Consentement(article 6.1.a du RGPD) pour la mesure d'audience Google Analytics et le rattachement de vos sessions à votre identifiant utilisateur ; ce consentement est recueilli via notre bandeau de gestion des cookies et peut être retiré à tout moment.

Vos données peuvent être transmises aux sous-traitants suivants, dans le strict cadre des finalités décrites :

Vos données personnelles sont conservées tant que votre compte est actif.

En cas de suppression de votre compte, l'ensemble de vos données sera irrévocablement supprimé dans un délai de 30 jours suivant la demande de suppression.

La langue du navigateur est conservée avec votre compte (mise à jour automatiquement à chaque connexion si elle change) et supprimée dans le même délai de 30 jours en cas de clôture du compte.

L'identifiant utilisateur transmis à Google Analyticsest conservé selon les paramètres de rétention GA4 (14 mois maximum) et peut être supprimé à tout moment via demande d'effacement.

Selon l'usage que vous faites de TOA (coaching sportif, analyse de performance, suivi du sommeil et de la récupération), les données suivantes peuvent être qualifiées de données concernant la santéau sens de l'article 4.15 du RGPD :

• Fréquence cardiaque au repos, fréquence cardiaque maximale, VO2max estimée
• Variabilité de la fréquence cardiaque (HRV)
• Qualité du sommeil, Body Battery et score de stress (via Garmin)
• Objectifs sportifs et données de profil athlète (poids, VO2max, FTP)
• Données HealthKit (via Apple Health sur iOS)
• Conditions de santé ou limitations physiques mentionnées dans les conversations avec le coach IA

Base légale spécifique : votre consentement explicite (article 9.2.a du RGPD), recueilli lors de la connexion de chaque source de données (Strava, Garmin, Apple Health) et confirmé à chaque modification de votre profil athlète.

Retrait du consentement : vous pouvez retirer votre consentement à tout moment depuis les paramètres de votre compte. Le retrait entraîne la déconnexion des sources concernées et la suppression des données associées ; il peut affecter le fonctionnement du service (perte des recommandations personnalisées, recalcul des scores).

Hébergement :ces données sont hébergées sur Vercel (États-Unis, transferts encadrés par les Clauses Contractuelles Types et le Data Privacy Framework UE-USA) pour la partie applicative web, et sur Supabase (self-hosted en France, UE) pour la base de données. TOA ne nécessite pas de certification HDS (Hébergeur de Données de Santé) car le service ne traite pas de données de santé issues d'une activité de soin au sens de l'article L.1111-8 du Code de la santé publique.

Conformément au Règlement Général sur la Protection des Données (RGPD), vous disposez des droits suivants :

• Droit d'accès (article 15) : obtenir une copie de vos données personnelles
• Droit de rectification (article 16) : corriger des données inexactes
• Droit à l'effacement(article 17) : supprimer vos données. Un bouton « Supprimer mon compte » est disponible directement dans les paramètres de l'application.
• Droit à la limitation du traitement(article 18 RGPD) : vous pouvez demander la limitation temporaire du traitement de vos données dans certaines situations prévues par le règlement (contestation de l'exactitude des données, traitement illicite, opposition en cours, etc.).
• Droit à la portabilité(article 20) : exporter vos données dans un format structuré. Un bouton « Exporter mes données » est disponible dans les paramètres de l'application.
• Droit d'opposition (article 21) : vous opposer au traitement de vos données
• Droit de retirer votre consentement à tout moment pour le traitement des données de santé

Concernant la mesure d'audience Google Analytics, vous pouvez à tout moment retirer votre consentement via le bandeau de gestion des cookies. Le retrait interrompt immédiatement le rattachement de votre identifiant utilisateur à Google Analytics, sans effet rétroactif sur les mesures déjà collectées avant le retrait.

Pour exercer ces droits, contactez-nous à : [email protected]

Vous disposez également du droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr).

TOA n'utilise aucun cookie publicitaire.

Un cookie de session d'authentification, strictement nécessaire au fonctionnement du service, est utilisé sans consentement requis (article 82 de la loi Informatique et Libertés).

Avec votre consentement explicite recueilli via notre bandeau de gestion des cookies (Tarteaucitron), nous utilisons également Google Analytics 4pour mesurer l'audience du service et relier de manière fiable vos sessions à votre compte (rattachement par identifiant utilisateur). En l'absence de consentement, aucune mesure Google Analytics n'est effectuée. Vous pouvez modifier votre choix à tout moment via le lien « Gérer mes cookies ».

Choix multi-terminaux :si vous gérez votre consentement aux cookies via votre compte TOA, vos choix s'appliquent à tous les appareils sur lesquels vous êtes connecté. Le retrait du consentement est aussi simple que son acceptation et peut être effectué à tout moment depuis vos paramètres ou notre centre de préférences cookies.

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données : chiffrement en transit (TLS), chiffrement au repos, authentification sécurisée, accès restreint aux données selon le principe du moindre privilège.

En cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, SARL CENTAURI s'engage à :

• Notifier la CNIL dans les 72 heuressuivant la prise de connaissance de l'incident
• Vous informer dans les meilleurs délais lorsque la violation présente un risque élevé, par email à l'adresse associée à votre compte
• Documenter toute violation, ses effets et les mesures prises pour y remédier

SARL CENTAURI ne pratique aucune prise de décision entièrement automatisée produisant des effets juridiques au sens de l'article 22 du RGPD. Les recommandations et messages générés par le coach IA TOA constituent une aide à la décision et ne se substituent pas à votre libre arbitre ni à un avis professionnel (médical, sportif, psychologique).

Vous pouvez à tout moment vous opposer à ces recommandations algorithmiques en désactivant le coach IA dans vos paramètres.

Certains sous-traitants (Google Gemini, Strava, Garmin) peuvent traiter des données en dehors de l'Union européenne, principalement aux États-Unis.

Ces transferts sont encadrés par les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne, garantissant un niveau de protection adéquat conformément aux articles 46 et 49 du RGPD.

Supabase (base de données) est hébergé en self-hosted sur un serveur situé en France. Les données de santé ne quittent jamais l'UE pour le stockage.

Le transfert vers Google LLCpour la mesure d'audience Google Analytics est encadré par les Clauses Contractuelles Types et par l'adhésion de Google au Data Privacy Framework (DPF) UE-USA, garantissant un niveau de protection adéquat conformément à l'article 45 du RGPD.

TOA est destiné à un public majeur (18 ans et plus). Nous ne collectons pas sciemment de données personnelles concernant des mineurs.

Conformément à l'article 8 du RGPD, les mineurs de moins de 16 ans ne peuvent créer un compte sans l'accord vérifiable de leurs représentants légaux. Si un mineur de moins de 16 ans vous est connu comme ayant créé un compte sans cet accord, merci de nous le signaler à [email protected].

Si nous découvrons qu'un mineur s'est inscrit sans le consentement de son représentant légal, nous supprimerons ses données dans les meilleurs délais.

Nous nous réservons le droit de modifier la présente politique de confidentialité. Toute modification substantielle vous sera notifiée par email ou via l'application. La date de dernière mise à jour est indiquée en haut de cette page.