Politique de confidentialité
Dernière mise à jour : 14 avril 2026
1. Qui nous sommes
Aithlo exploite une plateforme d'entraînement d'endurance et un simulateur de cyclisme appelé Aithlo-Shift, basés en France. Une entité juridique est en cours de constitution et sera établie avant le lancement en production ; cette entité deviendra alors le responsable de traitement au sens du RGPD.
Contact : [email protected].
L'autorité de contrôle principale est la Commission Nationale de l'Informatique et des Libertés (CNIL), www.cnil.fr.
2. Ce que couvre cette politique
Cette politique s'applique à :
• L'application web sur app.aithlo.com et le site public www.aithlo.com
• Aithlo-Shift, le simulateur de cyclisme
• Les futures applications mobiles via l'App Store ou le Google Play Store
Âge requis : Aithlo est disponible uniquement pour les utilisateurs âgés de 16 ans ou plus. Les comptes pour des moins de 16 ans ne seront pas créés, et toute donnée collectée par inadvertance sera supprimée rapidement.
Pays : Au lancement, la disponibilité est limitée au Royaume-Uni et à la France, appliqué à l'inscription.
Note sur la bêta privée
Aithlo est actuellement en bêta privée sur invitation uniquement, avec un accès limité à 50 participants invités. Il n'y a ni inscription publique, ni disponibilité sur les stores, ni paiement accepté. Le service fonctionne avant constitution juridique.
Les utilisateurs peuvent écrire à [email protected] pour quitter la bêta et demander la suppression de leurs données.
3. Données collectées
Données de compte et d'identité
À la création du compte :
• Adresse e-mail
• Mot de passe (stocké uniquement sous forme de hash bcrypt)
• Date de naissance
• Pays
• Optionnel : prénom, nom, nom d'utilisateur, courte biographie, photo de profil
Pour la Connexion avec Google : identifiant Google, e-mail et photo de profil sont stockés.
Pour la connexion Strava : identifiant utilisateur Strava et jetons OAuth pour la lecture des activités sont stockés.
Données de santé et de fitness (catégorie particulière selon l'article 9 RGPD)
Avec consentement explicite à l'inscription :
• Mesures physiologiques : fréquence cardiaque, puissance (watts), cadence, calories, training stress score, intensity factor, puissance normalisée, température corporelle
• Flux temporels : seconde par seconde — fréquence cardiaque, puissance, cadence, température et vitesse des activités synchronisées
• Métriques corporelles et seuils : poids, fréquence cardiaque au repos, fréquence cardiaque maximale, seuil lactique (LTHR), puissance au seuil fonctionnel (FTP), vitesse critique de nage (CSS), record personnel au 5 km
• Blessures et limitations : blessures actuelles, historique de blessures, limitations à l'entraînement, notes liées à la santé
Ces données relèvent de la « catégorie particulière » selon l'article 9 du RGPD. Leur traitement requiert un consentement explicite, révocable à tout moment dans les Paramètres. Le retrait du consentement empêche l'entraînement personnalisé et entraîne la suppression des données de santé.
Données de localisation et d'itinéraires
• Traces GPS (flux latitude/longitude) depuis les imports Strava
• Coordonnées de début et de fin d'activité
• Itinéraires enregistrés ou créés dans Aithlo
• Affichage des cartes : le navigateur demande des tuiles à OpenStreetMap Foundation
Les traces GPS peuvent révéler les lieux de domicile ou de travail si l'entraînement s'y déroule. Les zones de confidentialité Strava masquent les points de départ/arrivée, ce qu'Aithlo respecte.
Préférences et objectifs d'entraînement
Questions de l'onboarding sur :
• Sport principal et niveau d'expérience
• Courses objectifs et dates cibles
• Disponibilité, horaires préférés, jours de repos, vacances
• Équipement disponible (salle de sport, home trainer, piscine, capteur de puissance, cardiofréquencemètre)
• Préférences de volume hebdomadaire d'entraînement
Conversations avec le coach IA
• Texte intégral des messages et réponses du coach
• Graphiques, séances, itinéraires et plans générés
• Requêtes SQL exécutées par le coach sur vos données
Les conversations sont conservées pendant la durée de vie du compte pour fournir du contexte. Les messages sont envoyés à OpenAI pour traitement.
Fonctionnalités de coaching et sociales
Pour le coaching :
• Relation coach–athlète et date de début
• Messages échangés
• Possibilité pour le coach de consulter les activités, plans et données de santé de l'athlète (avec accord explicite de l'athlète)
Pour les fonctionnalités sociales Aithlo-Shift :
• Connexions entre amis
• Sorties programmées créées ou rejointes
• Participants aux sorties
Pendant les sorties multijoueurs, les participants voient la position dans le monde virtuel et la télémétrie en direct (puissance, fréquence cardiaque, cadence) — pas la position GPS réelle.
Données techniques et de sécurité
• Adresses IP des requêtes serveur
• Tentatives de connexion échouées et état de verrouillage du compte
• Jetons de rafraîchissement pour la persistance de connexion
• Journaux web standards pour l'exploitation et la sécurité
4. Pourquoi nous utilisons vos données et sur quelle base juridique
Compte, sécurité, contrôles d'âge et de pays : contrat et obligation légale.
Profil (nom, pseudo, bio, photo) : contrat — pour personnaliser l'application et vous afficher aux coachs et amis.
Jetons OAuth Google/Strava : contrat — pour vous connecter aux services demandés.
Fréquence cardiaque, puissance, métriques corporelles, blessures, limitations : consentement explicite (art. 9 RGPD) — pour générer des plans personnalisés et fournir un coaching IA.
Traces GPS, itinéraires, lieux d'activité : contrat — pour afficher les cartes, calculer les métriques et montrer l'historique.
Préférences, objectifs, courses : contrat — pour construire des plans adaptés.
Messages de chat et historique : contrat (et consentement explicite pour les données de santé) — pour fournir les réponses du coach IA et garder du contexte.
Relations coach–athlète et messages : contrat + consentement explicite pour partager avec un coach spécifique.
Amis, sorties programmées, sessions multijoueurs : contrat — pour activer les fonctionnalités sociales et multijoueurs.
Adresses IP, tentatives de connexion, verrouillage : intérêt légitime — pour protéger les comptes.
Jetons de vérification d'e-mail et de réinitialisation : contrat — pour vérifier la propriété du compte.
Mesure d’audience du site (avec consentement) : consentement — pour mesurer et améliorer le site web public (voir section 12).
Aithlo ne fait pas : la vente de données, la publicité, le partage avec des annonceurs ou courtiers en données, ni de traitement à des fins étrangères au fonctionnement d’Aithlo. La seule mesure d’audience utilisée est celle, respectueuse de la vie privée et soumise à consentement, du site web public, décrite à la section 12 ; l’application Aithlo elle-même ne contient aucun traceur d’analyse ou de publicité.
5. Durée de conservation
Comptes actifs : les données sont conservées tant qu'elles sont utiles au service. Les comptes inactifs ne sont pas supprimés automatiquement.
Suppression du compte : toutes les données personnelles sont supprimées définitivement de la base de production le jour même, y compris activités, conversations, plans et profil. Aucune sauvegarde n'est actuellement utilisée.
Conservations limitées :
• Journaux de sécurité avec adresses IP : jusqu'à 30 jours pour la prévention de fraude
• Traces minimales de consentement : conservées comme preuve de conformité RGPD
6. À qui nous transmettons vos données
Aiven (PostgreSQL managé) — données stockées — Amsterdam, Pays-Bas (UE) — interne UE.
Hetzner (hébergement serveur) — données en transit et en traitement — Falkenstein, Allemagne (UE) — interne UE.
Render (hébergement statique) — journaux d'accès, adresses IP — États-Unis — Clauses contractuelles types.
OpenAI (coach IA) — messages du chat et données de santé discutées — États-Unis — Clauses contractuelles types ; OpenAI n'utilise pas les données d'API pour l'entraînement de ses modèles.
Strava (synchronisation des activités) — jetons OAuth et requêtes API — États-Unis/monde — Avenant Strava sur le traitement des données.
Google (Connexion avec Google) — e-mail, nom, photo de profil à la connexion — États-Unis — EU–US Data Privacy Framework.
Resend (e-mails transactionnels) — adresse e-mail et contenu des e-mails de compte — États-Unis — Clauses contractuelles types.
OpenStreetMap Foundation (tuiles cartographiques) — adresse IP, métadonnées du navigateur, coordonnées des tuiles consultées — Royaume-Uni — décision d'adéquation (UK).
Ploi (gestion des serveurs) — accès serveur ponctuel lors du support — Pays-Bas (UE) — interne UE.
Google Analytics (mesure d’audience du site, uniquement avec consentement) — données d’usage pseudonymes avec IP tronquée — Google Ireland Limited (UE), avec transfert possible vers les États-Unis sous Clauses Contractuelles Types. Voir la section 12.
Multijoueur Aithlo-Shift
Les sorties multijoueurs sont hébergées sur les serveurs d'Aithlo en Allemagne. Lorsque vous rejoignez une session, la position dans le monde virtuel, la puissance, la fréquence cardiaque et la cadence sont diffusées en direct aux autres cyclistes. La position GPS réelle n'est jamais partagée. À la fin de la session, la diffusion en direct s'arrête ; la sortie est enregistrée comme une activité normale.
7. Transferts internationaux
Les données principales d'Aithlo résident dans l'Union européenne (base de données aux Pays-Bas, serveur applicatif en Allemagne).
Certains services tiers (OpenAI, Strava, Google, Resend, Render) sont basés aux États-Unis. Les données qui leur sont transférées le sont via l'EU–US Data Privacy Framework (Google) ou des Clauses contractuelles types (OpenAI, Strava, Resend, Render). Les accords sont disponibles sur demande.
8. Vos droits
Selon le RGPD, vous disposez des droits suivants :
• Droit d'accès — demander une copie de toutes les données vous concernant
• Droit de rectification — demander la correction des erreurs
• Droit à l'effacement (« droit à l'oubli ») — demander la suppression ; traitée le jour même
• Droit à la limitation — demander la suspension du traitement en cas de contestation
• Droit à la portabilité — demander un export lisible par machine
• Droit d'opposition — vous opposer au traitement fondé sur l'intérêt légitime
• Droit de retrait du consentement — révoquer tout consentement à tout moment, sans pénalité
• Droit de réclamation — saisir la CNIL en cas de mauvaise gestion
Pour exercer ces droits, écrivez à [email protected]. Réponse sous 30 jours. Aucun frais ne s'applique.
9. Coaching, fonctions sociales et ce que voient les autres
• Relations coach–athlète : le coach accepté peut voir les activités, le plan, le profil, les métriques corporelles et les messages. La relation peut être terminée à tout moment dans les Paramètres, ce qui révoque immédiatement l'accès.
• Amis Aithlo-Shift : les amis peuvent voir l'historique d'activité Shift, le profil et les sorties programmées.
• Sorties multijoueurs : les participants voient la position dans le jeu en direct ainsi que la puissance, la fréquence cardiaque et la cadence en direct.
Rien de cela ne se fait automatiquement ; vous choisissez vos coachs, amis et participation aux sorties.
10. Contenu généré par IA et avertissement médical
Le coach IA génère des plans d'entraînement, des séances, des graphiques et des conseils. Ces sorties sont produites par un grand modèle de langage (OpenAI) et peuvent être erronées. Ne vous appuyez pas sur elles comme avis médical, diagnostic ou traitement.
Aithlo n'est pas un dispositif médical, pas un service médical et ne remplace pas un médecin, un kinésithérapeute ou un médecin du sport qualifié. Lisez l'intégralité de l'Avertissement santé et entraînement. En cas de douleur, de symptômes inhabituels ou de tout signe inquiétant pendant l'exercice, arrêtez et consultez un professionnel de santé.
11. Comment nous protégeons vos données
Mesures de sécurité incluant :
• Mots de passe stockés en hash bcrypt — la récupération du mot de passe est impossible
• Chiffrement de transport (HTTPS/TLS) pour toutes les communications appareil-serveur
• Limitation de fréquence sur les endpoints de connexion et d'inscription
• Verrouillage du compte après tentatives répétées
• Sessions JWT avec rotation des jetons de rafraîchissement
• Chiffrement de la base au repos fourni par l'hébergeur
• Accès strict à la base réservé aux opérateurs Aithlo
Aucun service en ligne n'est sûr à 100 %. Toute violation affectant des données personnelles entraîne notification aux utilisateurs et à la CNIL conformément au RGPD.
12. Cookies et mesure d’audience du site
Notre site web public, à l’adresse www.aithlo.com, utilise des cookies. Les cookies strictement nécessaires assurent le fonctionnement du site et mémorisent votre langue, votre thème et vos choix en matière de cookies. Avec votre consentement, nous utilisons également Google Analytics 4 (fourni par Google Ireland Limited) pour mesurer l’utilisation du site et l’améliorer.
Les cookies de mesure d’audience ne sont déposés qu’après votre acceptation dans la bannière. Nous utilisons le mode Consentement de Google (Consent Mode) ainsi que la réduction de l’adresse IP ; aucune donnée d’audience n’est envoyée à Google tant que vous n’y consentez pas. La base juridique est votre consentement (article 6(1)(a) du RGPD et règles ePrivacy/PECR) ; vous pouvez le modifier ou le retirer à tout moment via « Préférences relatives aux cookies » dans le pied de page du site. Google peut traiter ces données sur des serveurs situés hors de l’UE/du Royaume-Uni sous Clauses Contractuelles Types.
Cette mesure d’audience du site est distincte des données in-app décrites ailleurs dans cette politique. Nous n’utilisons aucun cookie d’analyse ou de publicité au sein de l’application Aithlo. Pour la liste complète des cookies et de leur durée, consultez notre Politique relative aux cookies.
13. Modifications de cette politique
Cette politique évolue avec Aithlo. Les modifications importantes affectant vos droits ou les données collectées déclenchent une notification par e-mail et une nouvelle acceptation à la prochaine connexion. La date en haut reflète la version la plus récente.
14. Contact
Pour toute question sur cette politique, vos données ou vos droits :
[email protected]. Réponse sous quelques jours, toujours sous 30 jours selon le RGPD.
