Sécurité & vie privée

Vos données.
Notre obsession.

spiKto applique une posture privacy by design : zéro tracker tiers, hébergement 100 % France, chiffrement systématique. Voici, en transparence totale, comment nous protégeons vos données.

Voir notre stack sécurité → Signaler une vulnérabilité

— Sécurité GYMSPIKTO.COM · 2026

🛡️

Zéro tracker tiers

Privacy by design

🇫🇷

Hébergement France

IONOS · Sarreguemines

🔒

HTTPS & HSTS

TLS 1.3 obligatoire

🔐

Bcrypt + AES-256

Mots de passe + secrets

⚖️

DPO dédié

dpo@gymspikto.com

🔐

2FA TOTP

RFC 6238 · opt-in

Notre posture

Nous ne sommes pas un produit publicitaire.

Si le service est gratuit, ce n'est pas vous le produit. spiKto vit de ses abonnements Premium et contrats QVT entreprises — pas de la revente de vos données. Voici les conséquences concrètes.

🚫

Pas de Google Analytics

Aucun script d'audience tiers ne charge votre profil de navigation. Si nous mesurons l'audience, c'est via Plausible (cookie-less, hébergé en UE, exempté de consentement CNIL).

🚫

Pas de Meta Pixel

Le Pixel Facebook a été retiré du code le 02/05/2026. Aucun retargeting publicitaire, aucun transfert de comportement vers Meta.

🚫

Pas de bandeau cookies

Tous nos cookies sont strictement nécessaires (session, "se souvenir de moi" opt-in). Aucun consentement à demander, aucun bandeau intrusif.

🚫

Pas de revente de données

Vos données ne sont ni vendues, ni louées, ni partagées à des tiers commerciaux. Engagement contractuel inscrit en CGU et politique RGPD.

Stack technique

Les mesures concrètes en place.

Tout ce qui suit est déployé en production. Vérifiable publiquement via securityheaders.com.

Domaine	Mise en œuvre	État
HTTPS forcé	Redirect 301 HTTP→HTTPS au niveau Apache. Aucun trafic en clair toléré.	✓ Actif
HSTS	`max-age=31536000; includeSubDomains` — un an, propagé aux sous-domaines.	✓ Actif
Content-Security-Policy	CSP stricte limitant les sources de scripts/styles/images au domaine + Stripe. Bloque l'exécution de scripts injectés.	✓ Actif
Anti-clickjacking	`X-Frame-Options: SAMEORIGIN` + `frame-ancestors 'self'` dans la CSP.	✓ Actif
Isolation cross-origin	COOP `same-origin` + CORP `same-origin` — protection contre Spectre et le tracking cross-site.	✓ Actif
Mots de passe	Hashage bcrypt avec coût adapté. Jamais stockés en clair, jamais loggés.	✓ Actif
Double authentification (2FA)	TOTP RFC 6238 compatible Google Authenticator / Authy / 1Password. Recommandée pour tous, fortement encouragée pour les rôles admin / coach / manager. 8 codes de secours à usage unique.	✓ Disponible
Secrets API	Chiffrement AES-256-GCM en base de données (clés Stripe, OAuth, etc.).	✓ Actif
CSRF	Token unique par session sur tous les formulaires sensibles (auth, paiement, suppression compte).	✓ Actif
Rate-limiting auth	Limitation des tentatives de connexion et de réinitialisation de mot de passe — protection brute-force.	✓ Actif
Cookies de session	`HttpOnly · Secure · SameSite=Lax · use_strict_mode`	✓ Actif
Paiement	Stripe certifié PCI-DSS niveau 1. Aucune donnée bancaire ne transite par les serveurs spiKto. Webhooks signés HMAC.	✓ Actif
Sauvegardes	Sauvegardes quotidiennes hébergées en France (IONOS).	✓ Actif
Protection fichiers	Apache `.htaccess` protège `.env`, `.sql`, `.log`, dossiers `/storage`, `/config`, `/sql`.	✓ Actif

Conformité RGPD

Au-delà du strict minimum légal.

⚖️ DPO dédié

Délégué à la Protection des Données joignable directement à dpo@gymspikto.com. Réponse sous 1 mois (RGPD art. 12).

🌍 Transferts encadrés

Aucune donnée hors UE sauf paiement (Stripe — encadré par les CCT 2021 + Data Privacy Framework).

🧒 Mineurs protégés

Inscription dès 13 ans avec consentement parental obligatoire jusqu'à 15 ans (LIL art. 45). Pas de profilage commercial des mineurs.

🗑️ Droit à l'effacement

Suppression de compte en 1 clic depuis votre profil. Données effacées immédiatement (hors obligation comptable Stripe : 10 ans).

📤 Portabilité

Export complet de vos données au format JSON depuis votre profil. Aucun verrouillage, aucun lock-in technique.

📋 Registre tenu

Registre des traitements maintenu en interne (RGPD art. 30). AIPD synthétique partageable au CSE pour les contrats QVT entreprise.

Lire la politique RGPD complète → Politique cookies

Divulgation responsable

Vous avez trouvé une faille ?

Nous accueillons les signalements de chercheurs en sécurité agissant de bonne foi. Politique conforme à la RFC 9116.

📬 Comment nous contacter

Email : dpo@gymspikto.com (priorité au DPO pour les questions données personnelles)
Email backup : bureau@gymspikto.com
Politique : /.well-known/security.txt

🤝 Notre engagement (Safe Harbor)

Accusé de réception sous 72 h ouvrées
Tenu informé de l'avancée du correctif
Aucune poursuite contre les chercheurs agissant de bonne foi dans le cadre de cette politique

⛔ Hors périmètre

Accès, modification ou suppression de données ne vous appartenant pas
Dégradation du service (DoS, fuzzing massif)
Ingénierie sociale envers les équipes ou utilisateurs
Publication avant délai raisonnable de remédiation

En cas d'incident

Procédure de notification de violation.

Conformément aux articles 33 et 34 du RGPD, en cas de violation susceptible d'engendrer un risque pour vos droits :

Sous 72 heures : notification à la CNIL (autorité de contrôle française)
Sans délai : information directe des personnes concernées si le risque est élevé
Détail de la nature, du périmètre, des conséquences probables et des mesures prises
Contact dédié pour vos questions : dpo@gymspikto.com

Une question sur vos données ?

Notre DPO est à votre écoute — ou consultez notre politique RGPD complète.

Contacter le DPO → Politique RGPD

Vos données. Notre obsession.