Retour à l'accueil

Politique de confidentialité

Tes données, simplement expliquées.

Dernière mise à jour · Mai 2026

Responsable du traitement

REPS est responsable du traitement des données collectées sur la plateforme. Pour toute question : contact.reps.coaching@gmail.com.

Données collectées

Pour les coachs (compte) :

  • email, nom ;
  • informations de profil public (photo, bio, spécialités, ville, lien Instagram) ;
  • prestations, créneaux et lieux enregistrés ;
  • mot de passe (stocké chiffré bcrypt, jamais en clair), uniquement si tu choisis ce mode de connexion ;
  • identifiant Google (sub + email vérifié + nom + photo), uniquement si tu te connectes via « Continuer avec Google » ; aucun mot de passe n'est stocké dans ce cas ;
  • identifiant Apple (sub stable + email réel ou adresse de relais privé Apple), uniquement si tu te connectes via « Continuer avec Apple » ; nous respectons ton choix « Hide My Email » sans aucune tentative d'enrichissement.

Pour les clients (réservation) :

  • nom, email, téléphone ;
  • date et détails du rendez-vous ;
  • note libre laissée au coach (facultative).

Données techniques :

  • adresse IP (anti-abus uniquement, jamais associée à un profil) ;
  • cookie de session JWT (HttpOnly, 30 jours) ;
  • cookies OAuth temporaires (10 min, supprimés après connexion).

Utilisation des données

Les données sont utilisées exclusivement pour :

  • faire fonctionner le service (authentification, prise de rendez-vous) ;
  • afficher les profils publics des coachs aux clients ;
  • envoyer les notifications liées aux réservations ;
  • prévenir les abus et signalements.

REPS ne vend, ne loue et ne partage jamais tes données avec des tiers à des fins commerciales.

Stockage, localisation et sécurité

Tes données sont stockées sur des serveurs situés dans l'Union européenne(Francfort, Allemagne) chez notre prestataire de base de données Supabase Inc.(PostgreSQL managé). Aucun transfert de données hors UE n'est réalisé pour les données de comptes et de réservations.

Les mots de passe sont chiffrés avec bcrypt (jamais en clair). Les sessions utilisent un cookie HttpOnly + Secure + SameSite=Lax pour empêcher tout accès non autorisé. Toutes les connexions sont chiffrées en HTTPS (TLS 1.3). Une triple protection anti-bot (Cloudflare Turnstile + rate-limit IP + rate-limit email) bloque les tentatives d'abus.

Sous-traitants (responsables de traitements)

REPS s'appuie sur les sous-traitants suivants, tous engagés contractuellement à respecter le RGPD :

  • Supabase Inc. (États-Unis), base de données PostgreSQL hébergée à Francfort (UE), sous DPA RGPD-compliant.
  • Vercel Inc. (États-Unis), hébergement de l'application web et stockage des images de profil (Vercel Blob), sous DPA et Standard Contractual Clauses (SCC) RGPD.
  • Stripe Payments Europe Ltd. (Irlande), traitement des paiements en ligne :
    • Stripe Subscriptions pour facturer l'abonnement REPS Pro aux coachs (24,99 € / mois).
    • Stripe Connect pour permettre aux coachs de recevoir directement les paiements de leurs clients sur leur propre IBAN, sans transit par REPS.
    Données partagées : email, nom, IBAN du coach (Connect), montant et identifiant de la transaction. Stripe est responsable de traitement indépendant pour les données de paiement (KYC, lutte anti-blanchiment).
  • Resend (Resend Inc., États-Unis), envoi des emails transactionnels (confirmations, magic-links). Données limitées à : email destinataire + contenu du message.
  • Cloudflare Inc., protection anti-bot (Turnstile) et CDN. Aucune donnée personnelle stockée.
  • Google LLC (uniquement si tu te connectes via Google), fournit ton email vérifié et ton nom. Voir la politique de confidentialité Google.
  • Apple Inc. (uniquement si tu te connectes via « Sign in with Apple »), fournit un identifiant utilisateur unique (sub) et, sur ton choix, ton email réel ou une adresse de relais privé (privaterelay.appleid.com). Apple ne nous communique aucune autre donnée. Voir la politique de confidentialité Apple.

Durée de conservation

Les données du compte coach sont conservées tant que le compte est actif, puis supprimées sous 30 jours après la demande de suppression. Les données de réservation (RDV, notes clients) sont conservées 3 ans maximum à compter de la dernière séance, à des fins de comptabilité et d'historique pour le coach. Les emails transactionnels sont conservés 90 jours maximum chez notre prestataire Resend pour traçabilité.

Tes droits (RGPD)

Conformément au Règlement Général sur la Protection des Données (RGPD), tu disposes des droits suivants :

  • Accès : obtenir une copie de toutes tes données ;
  • Rectification : corriger des données inexactes ;
  • Suppression (« droit à l'oubli ») : demander l'effacement définitif de ton compte et de toutes les données associées ;
  • Opposition : t'opposer à un traitement spécifique ;
  • Portabilité : récupérer tes données dans un format structuré, lisible par machine (JSON ou CSV).

Pour exercer un droit, écris-nous à contact.reps.coaching@gmail.com en précisant la nature de ta demande. Délai de réponse : 30 jours maximum (réduit à 72h pour une demande de suppression urgente).

Si tu n'es pas satisfait·e du traitement de ta demande, tu peux introduire une réclamation auprès de la CNIL : cnil.fr/fr/plaintes.

Export de tes données

Tu peux à tout moment demander l'export complet de tes données personnelles en envoyant un email à contact.reps.coaching@gmail.com avec pour objet « Demande d'export RGPD ». Tu recevras dans les 7 jours un fichier JSON contenant : ton profil coach, l'intégralité de tes réservations, tes lieux, tes types de RDV, tes templates et tes cours collectifs. Cet export est gratuit.

Violation de données, procédure

En cas de violation de données personnelles susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, REPS s'engage à :

  • notifier la CNIL dans les 72 heures suivant la prise de connaissance de la violation (article 33 du RGPD) ;
  • informer les utilisateurs concernés sans délai injustifié par email lorsque la violation présente un risque élevé (article 34 du RGPD), avec description claire de la nature de la violation, mesures prises et conséquences potentielles ;
  • documenter chaque violation dans un registre interne dédié, conservé pendant 5 ans pour audit ;
  • mettre en œuvre immédiatement les mesures correctives (révocation des accès compromis, renforcement des protections, communication transparente).

Pour signaler une faille de sécurité ou un comportement suspect, écris-nous à contact.reps.coaching@gmail.com. Toute déclaration responsable est traitée en priorité.

Application iOS (REPS sur iPhone)

REPS est également disponible en tant qu'application native iOS, distribuée via l'App Store d'Apple. Cette application utilise les fonctionnalités natives suivantes, et uniquement avec ton consentement explicite :

  • Notifications push (APNs) : ton identifiant d'appareil (device token) est généré par Apple et transmis à REPS pour que tu reçoives une notification dès qu'un client réserve ou annule un rendez-vous. Ce token est lié à ton compte coach et stocké de façon sécurisée sur nos serveurs. Il n'est jamais partagé avec des tiers et il est automatiquement supprimé si tu désinstalles l'application ou désactives les notifications dans les réglages iOS.
  • Calendrier Apple : sur ta demande explicite (en appuyant sur « Ajouter au calendrier »), REPS écrit un événement dans ton calendrier iPhone via EventKit. REPS n'a accès qu'à l'écriture (permission « calendars-write-only ») et ne lit jamais les autres événements de ton calendrier. Un identifiant local d'événement est stocké uniquement sur ton appareil (dans le stockage local du WebView) afin que la fonction « Nettoyer le calendrier » puisse retirer les événements correspondant à des rendez-vous annulés. Ces identifiants ne sont jamais transmis à nos serveurs.
  • Caméra / Photothèque : sur ta demande explicite (lors du choix d'une photo de profil coach), REPS accède à l'appareil photo ou à ta galerie. Seule la photo que tu sélectionnes est uploadée. REPS ne parcourt jamais ta galerie sans action de ta part.

Aucun pistage : l'application iOS ne contient ni IDFA, ni SDK publicitaire, ni outil d'attribution (AppsFlyer, Adjust, Branch, Facebook SDK, etc.). Conformément aux exigences d'Apple, un fichier de manifeste de confidentialité (PrivacyInfo.xcprivacy) accompagne chaque version de l'application et déclare exhaustivement les données et API utilisées.

Tu peux à tout moment révoquer ces permissions depuis Réglages iOS → REPS, sans perte de fonctionnalité de l'app (seules les fonctions natives correspondantes seront désactivées).

Cookies

REPS utilise uniquement des cookies techniques strictement nécessaires au fonctionnement du service (cookie de session JWT, cookies temporaires OAuth de 10 minutes lorsque tu te connectes via Google). Aucun cookie publicitaire, aucun cookie de tracking tiers (Google Analytics, Meta Pixel, etc.) n'est déployé. Conformément à la directive ePrivacy, aucun consentement préalable n'est requis pour ces cookies techniques.

Modifications

Cette politique peut être mise à jour. En cas de changement significatif, les utilisateurs actifs seront informés par email au moins 30 jours avant l'entrée en vigueur des modifications. La date de dernière mise à jour est affichée en haut de cette page.