Politique de confidentialité

Dernière mise à jour : 7 juillet 2025

1. Introduction

Chez ShadowFit, nous nous engageons à protéger votre vie privée et à assurer la sécurité de vos informations personnelles. Cette Politique de Confidentialité explique comment nous collectons, utilisons et protégeons vos informations lorsque vous utilisez notre plateforme et lorsque vous connectez votre compte Strava.

En utilisant ShadowFit, vous consentez à l'utilisation des données décrites dans cette politique. Si vous n'êtes pas d'accord, veuillez ne pas utiliser le service et déconnecter votre compte Strava.

2. Informations que nous collectons

2.1 Informations personnelles
  • Informations de compte (e-mail, mot de passe — haché avec un algorithme unidirectionnel fort ; nous ne stockons jamais les mots de passe en texte clair).
  • Informations de profil (nom, localisation).
  • Informations de paiement (traitées de manière sécurisée par Stripe ; nous ne stockons jamais les numéros de carte).
  • Préférences (unités, paramètres de notification).
2.2 Données d'intégration Strava
  • Votre ID d'athlète Strava et profil de base.
  • Données d'activité strictement nécessaires pour synchroniser les activités que vous commandez.
  • Jetons d'accès et de rafraîchissement OAuth (stockés chiffrés ; renouvelés et révocables à tout moment dans les paramètres Strava).
Note : Nous ne demandons pas votre mot de passe Strava et nous n'utilisons vos données pour entraîner des modèles d'IA.
2.3 Catégories spéciales

Nous ne collectons pas de catégories spéciales de données (par ex., données de santé au-delà de ce que Strava expose pour les activités). Vous devriez éviter de partager des informations sensibles en texte libre dans les formulaires ou tickets de support.

3. Bases légales de traitement (RGPD)

  • Exécution de contrat (Art. 6(1)(b)) pour la gestion de compte, le traitement des commandes et la synchronisation des activités vers votre compte Strava.
  • Intérêts légitimes (Art. 6(1)(f)) pour la sécurité, la prévention de fraude, l'amélioration du service et l'analyse agrégée (équilibrés avec vos droits).
  • Consentement (Art. 6(1)(a)) pour la connexion Strava, les communications marketing et les cookies optionnels. Vous pouvez retirer votre consentement à tout moment (déconnecter Strava ; vous désabonner ; ajuster les paramètres cookies).
  • Obligation légale (Art. 6(1)(c)) pour les taxes, la comptabilité et la conformité.

4. Comment nous utilisons vos informations

Nous utilisons les informations collectées aux fins suivantes :

Fourniture de service
  • Créer et gérer votre compte.
  • Traiter les paiements et transactions.
  • Créer les activités et itinéraires sur mesure
  • Synchroniser votre compte Strava selon vos demandes.
Amélioration
  • Analyser les modèles d'utilisation.
  • Améliorer nos services et fonctionnalités.
  • Développer du nouveau contenu premium.
  • Optimiser l'expérience utilisateur.
Communication
  • Envoyer des notifications de service.
  • Fournir un support client.
  • Partager des mises à jour importantes.
  • Envoyer du contenu promotionnel (avec consentement).
Sécurité
  • Protéger contre la fraude et les abus.
  • Assurer la sécurité et l'intégrité de la plateforme.
  • Respecter les obligations légales.
  • Faire respecter nos conditions de service.

5. Conformité et restrictions de l'API Strava

  • Nous utilisons le flux OAuth officiel de Strava et uniquement les portées minimales nécessaires. Nous ne demandons jamais et ne stockons jamais votre mot de passe Strava.
  • Nous accédons et affichons les données Strava uniquement à l’utilisateur authentifié auquel elles appartiennent. Nous ne partageons pas les données Strava des utilisateurs avec d’autres utilisateurs ou applications tierces.
  • Nous n’utilisons pas les données Strava pour entraîner des modèles IA/ML. Les données sont utilisées uniquement pour fournir les fonctionnalités du service que vous demandez.
  • Vous pouvez révoquer à tout moment l’accès de ShadowFit depuis les paramètres de votre compte Strava. La révocation invalide immédiatement nos jetons.
  • Nous respectons les limites de taux et les politiques développeur de Strava, et nous supprimons les données si Strava ou vous-même l’exigez.

6. Gestion des jetons et contrôles de sécurité

  • Les jetons OAuth (accès/rafraîchissement) sont stockés côté serveur, chiffrés (AES-256) et ne sont jamais exposés au client.
  • Toutes les données en transit sont protégées par TLS (HTTPS).
  • Les jetons sont rafraîchis automatiquement et peuvent être révoqués à tout moment via Strava ; une déconnexion manuelle est aussi possible dans les paramètres ShadowFit.
  • Les clés API et identifiants sont stockés dans un gestionnaire sécurisé ; l’accès est restreint via un contrôle RBAC (role-based access control) et journalisé.
  • L’accès interne aux données de production est limité au personnel autorisé et uniquement pour des usages définis.

7. Partage et divulgation des informations

Nous ne vendons, n’échangeons ni ne transférons vos informations personnelles à des tiers, sauf dans les cas suivants :

Fournisseurs de services
  • Stripe — traitement des paiements (nous ne stockons pas les numéros complets de carte).
  • Hébergement cloud & bases de données — infrastructure et stockage (chiffrés).
  • Analytique — amélioration du service (agrégé ou anonymisé lorsque possible).
Exigences légales
  • Respecter les procédures légales ou demandes gouvernementales.
  • Protéger nos droits, nos biens ou notre sécurité, ainsi que ceux de nos utilisateurs.
  • Enquêter sur d’éventuelles violations de nos conditions.

8. Sécurité des données

Nous mettons en œuvre des mesures de sécurité multicouches pour protéger vos informations personnelles :

Chiffrement
Données chiffrées en transit (TLS) et au repos.
Infrastructure sécurisée
Environnements renforcés, sauvegardes et surveillance.
Contrôle d’accès
RBAC, moindre privilège et journaux d’audit.
  • Les mots de passe sont hachés avec des algorithmes de chiffrement et des sels uniques par utilisateur.
  • Mises à jour de sécurité régulières, gestion des dépendances et analyse des vulnérabilités.
  • Plan de réponse aux incidents ; en cas de violation de données affectant vos droits, nous vous informerons ainsi que l’autorité compétente (ex. CNIL) conformément au RGPD.
Note : Bien que nous nous efforcions de protéger vos informations, aucune méthode de transmission sur internet n’est totalement sécurisée. Nous ne pouvons pas garantir une sécurité absolue.

9. Risques de confidentialité et contrôles utilisateur (Strava)

La publication d’activités GPS peut révéler des lieux sensibles (par ex., domicile/travail). Nous vous recommandons de configurer vos paramètres de confidentialité Strava (zones de confidentialité, visibilité des activités) pour limiter l’exposition. Vous pouvez également choisir des téléchargements privés par défaut.

10. Vos droits et choix

Sous le RGPD et la loi française, vous disposez des droits suivants :

Accès

Demander une copie des informations personnelles que nous détenons à votre sujet.

Correction

Mettre à jour ou corriger des informations personnelles inexactes.

Suppression

Demander la suppression de vos informations personnelles (sous réserve d’exigences légales).

Portabilité

Demander vos données dans un format portable.

  • Droit de s’opposer et de restreindre le traitement dans certains cas.
  • Droit de retirer votre consentement à tout moment (par ex., déconnecter Strava).

Pour exercer ces droits, contactez-nous à privacy@shadowfit.com. Nous répondons dans un délai d’un mois, prolongeable dans les cas complexes.

11. Cookies et suivi

  • Cookies essentiels : requis pour les fonctionnalités de base.
  • Performance/Analytique : analyse d’usage agrégée ; IPs anonymisées quand c’est compatible.
  • Fonctionnels : se souvenir de vos préférences.

12. Conservation des données

  • Données de compte/profil : conservées tant que votre compte est actif ; supprimées ou anonymisées dans les 30 jours après suppression du compte (sauf si une durée plus longue est requise par la loi).
  • Jetons Strava : supprimés immédiatement lors de la déconnexion ou révocation ; sinon renouvelés selon la politique Strava.
  • Enregistrements d’activité et historique de commandes : conservés pour les obligations contractuelles/comptables (typiquement 10 ans pour les factures) ; les métadonnées d’activité peuvent être anonymisées plus tôt.
  • Journaux et enregistrements de sécurité : conservés pour une période limitée nécessaire à la sécurité et à l’audit (typiquement 90–180 jours), sauf si requis pour des enquêtes.

13. Transferts internationaux de données

Vos informations peuvent être traitées et transférées vers des pays en dehors de votre pays de résidence, y compris en dehors de l'EEE/Royaume-Uni. Lorsque de tels transferts ont lieu, nous mettons en œuvre des garanties appropriées telles que les Clauses Contractuelles Types (CCT) de la Commission Européenne et des mesures techniques supplémentaires (chiffrement, contrôles d’accès).

14. Confidentialité des enfants

ShadowFit n'est pas destiné aux enfants de moins de 15 ans en France. Si vous avez entre 15 et 18 ans, vous devriez demander l'avis de vos parents pour comprendre vos droits. Nous ne collectons pas sciemment des informations personnelles auprès d'enfants de moins de 15 ans ; si nous apprenons que nous l'avons fait, nous les supprimerons immédiatement.

16. Modifications de cette politique

Nous pouvons mettre à jour cette politique de confidentialité de temps en temps. Nous vous informerons de tout changement important en publiant la politique mise à jour sur notre site web et, le cas échéant, par email ou notification dans l'application. La date d'entrée en vigueur apparaît en haut de cette page.

Retour