Politique de confidentialité & RGPD
Sommaire
1. Responsable de traitement
Le responsable du traitement des données à caractère personnel est la société SPIKTO, SAS au capital de 56 285 €, immatriculée au RCS Paris sous le numéro 991 124 157, dont le siège social est situé 58 rue de Monceau, CS 48756, 75380 Paris 8e CEDEX 08, représentée par Monsieur Patrick Laterrot, Président.
Contact général : bureau@gymspikto.com
Délégué à la Protection des Données (DPO) : dpo@gymspikto.com — toute question relative à vos données personnelles, à l'exercice de vos droits ou à un incident de sécurité.
2. Données que nous collectons
2.1 Données fournies par vous
- Inscription : nom, prénom, adresse email, mot de passe (stocké haché — jamais en clair)
- Profil : ville, code postal, pays (optionnel, pour géolocaliser les coachs)
- Connexion sociale : identifiant Google ou Facebook (si vous utilisez ces options)
- Contact : contenu de vos messages envoyés via le formulaire
2.2 Données générées par votre utilisation
- Scores, erreurs et durées de vos parties
- Préférences cognitives renseignées lors du onboarding
- Historique de défis et de messages
- Dates et IP de connexion (sécurité — conservées 12 mois)
2.3 Données de paiement
Les informations de carte bancaire sont traitées exclusivement par Stripe (PCI-DSS). spiKto ne reçoit que l'identifiant client Stripe et les métadonnées de l'abonnement.
3. Finalités & bases légales du traitement
| Finalité | Base légale |
|---|---|
| Création et gestion du compte | Exécution du contrat |
| Fourniture du service (jeux, suivi, défis) | Exécution du contrat |
| Paiement et facturation | Exécution du contrat + obligation légale |
| Statistiques anonymes d'usage | Intérêt légitime |
| Sécurité (prévention fraude, rate-limit) | Intérêt légitime |
| Réponse au formulaire de contact | Intérêt légitime |
4. Destinataires de vos données
- Équipe spiKto : administrateurs et managers (accès restreint selon le rôle)
- Vos coachs : si vous consultez un coach, il voit vos statistiques de progression
- IONOS (hébergement, mail) — sous-traitant conforme RGPD, données en France
- Stripe (paiement) — sous-traitant conforme RGPD + PCI-DSS
Vos données ne sont ni vendues, ni louées à des tiers. Le seul traceur publicitaire est le Meta Pixel (Meta Platforms), utilisé pour la mesure de nos campagnes — il n'est chargé qu'après votre consentement explicite (bandeau présenté à la première visite, choix révocable à tout moment depuis la page Cookies). En l'absence de consentement, aucun cookie Meta n'est déposé et aucune donnée n'est transmise à Meta. Aucun autre traceur de profilage (ex. Google Analytics) n'est utilisé.
5. Durée de conservation
- Compte actif : durée de votre inscription + 3 ans d'inactivité (puis anonymisation ou suppression)
- Factures : 10 ans (obligation comptable)
- IP et logs de connexion : 12 mois
- Messages de contact : 3 ans
- Cookies : 13 mois maximum
6. Vos droits
En application des articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Accès — obtenir une copie de vos données (bouton "Exporter mes données" dans le profil)
- Rectification — modifier vos données directement depuis votre profil
- Effacement ("droit à l'oubli") — bouton "Supprimer mon compte" dans le profil
- Limitation — restreindre certains traitements
- Portabilité — récupérer vos données dans un format structuré (JSON)
- Opposition — vous opposer à un traitement fondé sur l'intérêt légitime
- Retrait du consentement à tout moment (cookies, newsletter)
Pour exercer ces droits : dpo@gymspikto.com (ou bureau@gymspikto.com). Réponse sous 1 mois (prolongeable de 2 mois si demande complexe).
7. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles pour protéger vos données :
- Mots de passe hachés (bcrypt) — jamais stockés en clair
- Chiffrement des secrets sensibles (clés API) via AES-256-GCM
- HTTPS sur toutes les pages
- Protection CSRF sur tous les formulaires sensibles
- Rate-limiting sur l'authentification (protection force brute)
- Sauvegardes régulières hébergées en France
8. Transferts hors Union européenne
Les données sont hébergées en France (IONOS, Sarreguemines). Un seul sous-traitant peut faire transiter certaines données vers les États-Unis :
- Stripe Payments Europe Ltd (paiement) — entité européenne fournissant le service ; transferts éventuels vers Stripe Inc. (USA) encadrés par les Clauses Contractuelles Types adoptées par la Commission européenne le 4 juin 2021 (décision 2021/914) et la certification Data Privacy Framework (DPF) UE-USA.
- Meta Platforms Ireland Ltd (Meta Pixel, mesure publicitaire) — activé uniquement après votre consentement ; transferts vers Meta Platforms Inc. (USA) encadrés par les Clauses Contractuelles Types et le Data Privacy Framework (DPF) UE-USA. En l'absence de consentement, aucune donnée n'est transmise à Meta.
Une analyse d'impact du transfert (Transfer Impact Assessment, lignes directrices EDPB 01/2020) est documentée en interne et révisée annuellement.
Hors Stripe (paiement) et Meta Pixel (soumis à consentement), aucun autre transfert hors UE n'a lieu : pas de Google Analytics, pas d'autre tracker publicitaire tiers.
9. Protection des mineurs
Conformément à l'article 8 du RGPD et à l'article 45 de la loi Informatique et Libertés modifiée :
- L'inscription est ouverte à partir de 13 ans ;
- Entre 13 et 15 ans, le consentement conjoint du mineur et du titulaire de l'autorité parentale est requis (le seuil de consentement autonome en France est fixé à 15 ans) ;
- À partir de 15 ans, le mineur peut consentir seul ;
- Les données des mineurs font l'objet de mesures renforcées : pas de profilage commercial, suppression facilitée, communication adaptée.
10. Contact & droit de réclamation
Pour toute question sur vos données ou pour exercer vos droits : DPO — dpo@gymspikto.com
Contact général : bureau@gymspikto.com.
Vous pouvez également introduire une réclamation auprès de la CNIL :
Commission Nationale de l'Informatique et des Libertés
3 place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
www.cnil.fr/fr/plaintes