Politique de confidentialité & RGPD

Dernière mise à jour : 23/04/2026

1. Responsable de traitement

Le responsable du traitement des données à caractère personnel est la société SPIKTO, SAS au capital de 56 285 €, immatriculée au RCS Paris sous le numéro 991 124 157, dont le siège social est situé 58 rue de Monceau, CS 48756, 75380 Paris 8e CEDEX 08, représentée par Monsieur Patrick Laterrot, Président.

Contact : bureau@gymspikto.com

2. Données que nous collectons

2.1 Données fournies par vous

• Inscription : nom, prénom, adresse email, mot de passe (stocké haché — jamais en clair)
• Profil : ville, code postal, pays (optionnel, pour géolocaliser les coachs)
• Connexion sociale : identifiant Google ou Facebook (si vous utilisez ces options)
• Contact : contenu de vos messages envoyés via le formulaire

2.2 Données générées par votre utilisation

• Scores, erreurs et durées de vos parties
• Préférences cognitives renseignées lors du onboarding
• Historique de défis et de messages
• Dates et IP de connexion (sécurité — conservées 12 mois)

2.3 Données de paiement

Les informations de carte bancaire sont traitées exclusivement par Stripe (PCI-DSS). spiKto ne reçoit que l'identifiant client Stripe et les métadonnées de l'abonnement.

3. Finalités & bases légales du traitement

4. Destinataires de vos données

• Équipe spiKto : administrateurs et managers (accès restreint selon le rôle)
• Vos coachs : si vous consultez un coach, il voit vos statistiques de progression
• IONOS (hébergement, mail) — sous-traitant conforme RGPD
• Stripe (paiement) — sous-traitant conforme RGPD + PCI-DSS
• Meta (Facebook) — uniquement si vous avez consenti aux cookies de mesure

Vos données ne sont ni vendues, ni louées à des tiers.

5. Durée de conservation

• Compte actif : durée de votre inscription + 3 ans d'inactivité (puis anonymisation ou suppression)
• Factures : 10 ans (obligation comptable)
• IP et logs de connexion : 12 mois
• Messages de contact : 3 ans
• Cookies : 13 mois maximum

6. Vos droits

En application des articles 15 à 22 du RGPD, vous disposez des droits suivants :

• Accès — obtenir une copie de vos données (bouton "Exporter mes données" dans le profil)
• Rectification — modifier vos données directement depuis votre profil
• Effacement ("droit à l'oubli") — bouton "Supprimer mon compte" dans le profil
• Limitation — restreindre certains traitements
• Portabilité — récupérer vos données dans un format structuré (JSON)
• Opposition — vous opposer à un traitement fondé sur l'intérêt légitime
• Retrait du consentement à tout moment (cookies, newsletter)

Pour exercer ces droits : bureau@gymspikto.com. Réponse sous 1 mois (prolongeable de 2 mois si demande complexe).

7. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles pour protéger vos données :

• Mots de passe hachés (bcrypt) — jamais stockés en clair
• Chiffrement des secrets sensibles (clés API) via AES-256-GCM
• HTTPS sur toutes les pages
• Protection CSRF sur tous les formulaires sensibles
• Rate-limiting sur l'authentification (protection force brute)
• Sauvegardes régulières hébergées en France

8. Transferts hors Union européenne

Les données sont hébergées en France (IONOS). Seul Stripe (paiement) et Meta (Pixel, si consenti) peuvent transférer certaines données hors UE, sous clauses contractuelles types ou décision d'adéquation de la Commission européenne.

9. Protection des mineurs

L'inscription est autorisée à partir de 13 ans. Entre 13 et 15 ans, elle requiert le consentement du représentant légal. Les données des mineurs sont traitées avec des mesures renforcées.

10. Contact & droit de réclamation

Pour toute question sur vos données : bureau@gymspikto.com.

Vous pouvez également introduire une réclamation auprès de la CNIL :
Commission Nationale de l'Informatique et des Libertés
3 place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
www.cnil.fr/fr/plaintes