Politique de confidentialité

La présente politique décrit comment FormA collecte, utilise et protège vos données personnelles dans le cadre de l'utilisation de son service de coaching sportif et nutritionnel.

Elle s'applique à toute personne créant un compte sur forma.app, conformément au Règlement (UE) 2016/679 (RGPD) et à la loi française Informatique et Libertés.

Le responsable de traitement est Hugo Martines, exerçant en entreprise individuelle, SIRET 985 340 280 00017, siège 23 B rue de Wittersdorf, 68130 Walheim (France).
Contact : contact@forma.app

FormA n'a pas désigné de Délégué à la Protection des Données (DPO) car non soumise à cette obligation. Toute demande relative à vos données peut être adressée à privacy@forma.app.

Les catégories de données suivantes sont collectées :

• Données d'identification : prénom, adresse e-mail, mot de passe (chiffré).
• Données de profil et de santé : âge, sexe, taille, poids, morphologie, niveau, objectif sportif, équipement disponible, zones sensibles ou blessures (note médicale optionnelle), photos de progression. Certaines de ces données peuvent qualifier de données de santé au sens de l'article 9 du RGPD ; voir la section dédiée ci-dessous.
• Données d'activité : séances enregistrées, séries, charges, RPE, repas, hydratation, photos de progression (optionnelles), pas quotidiens (saisis manuellement ou importés).
• Données de conversation : messages échangés avec le coach IA, mémoire émotionnelle persistée pour personnaliser les futures réponses.
• Données de facturation :traitées exclusivement par Stripe (FormA n'a jamais accès aux numéros de carte). Le plan d'abonnement et l'historique des paiements sont stockés dans notre base.
• Données techniques :adresse IP, type de navigateur et de système d'exploitation, logs d'erreur, consommation d'API IA.

Vos données sont utilisées pour les finalités suivantes :

• Fournir le service (création de programme, coaching, suivi nutritionnel) · base légale : exécution du contrat.
• Personnaliser les conseils du coach IA· base légale : exécution du contrat. Les données de profil et d'activité sont transmises à Anthropic (modèle Claude) à chaque interaction.
• Gérer la facturation et les abonnements · base légale : exécution du contrat et obligation légale (comptabilité).
• Vous envoyer des communications transactionnelles (confirmation, factures, rappels du coach) · base légale : exécution du contrat.
• Améliorer le service (statistiques agrégées et anonymes) · base légale : intérêt légitime.
• Respecter nos obligations légales (lutte contre la fraude, conservation comptable) · base légale : obligation légale.

Vos données ne sont jamais utilisées à des fins publicitaires ni revendues à des tiers.

Les données suivantes peuvent, selon l'analyse stricte du RGPD, qualifier de données de santéou d'informations relatives à la condition physique :

• Poids, taille, morphologie déclarée.
• Blessures, zones sensibles, notes médicales saisies librement.
• Photos de progression (silhouette, transformations physiques).

Le traitement de ces données par FormA repose sur votre consentement explicitedonné lors de l'onboarding (étape « Consentements »), conformément à l'article 9, paragraphe 2, point a) du RGPD. Sans ce consentement, FormA ne peut pas générer de programme adapté à votre profil.

Vous pouvez retirer ce consentement à tout moment depuis Paramètres → Sécurité (« Supprimer mon compte » déclenche la cessation immédiate de tout traitement et l'effacement complet ; vous pouvez aussi écrire à privacy@forma.app pour un retrait partiel · par exemple cesser les analyses de morphologie tout en gardant le coach IA). Le retrait n'affecte pas la licéité des traitements opérés avant celui-ci.

Ces données ne sont jamais transmises à un assureur, un employeur ou un tiers à des fins autres que la prestation du service de coaching.

Pour faire fonctionner le service, FormA partage certaines données avec les sous-traitants suivants :

• Anthropic PBC(États-Unis) · traite les requêtes envoyées au coach IA (modèle Claude). Anthropic s'engage à ne pas utiliser les données pour entraîner ses modèles (politique zero data retention applicable sur l'API). Transfert encadré par les Clauses Contractuelles Types (CCT) de la Commission européenne et l'EU-U.S. Data Privacy Framework.
• Stripe Payments Europe Ltd(Irlande) · traitement des paiements et hébergement des données de facturation. Conforme PCI-DSS niveau 1. Aucun numéro de carte n'est stocké sur les serveurs de FormA.
• Hostinger International Ltd(Lituanie / UE) · hébergement du serveur applicatif (VPS région Europe) et envoi des emails transactionnels (SMTP). Données traitées dans l'Union européenne.
• Resend Inc.(États-Unis) · backend SMTP de secours en cas d'indisponibilité du SMTP principal. Activé uniquement si Hostinger est indisponible. Transfert encadré par les CCT.

La liste des sous-traitants est susceptible d'évoluer. Toute modification substantielle (ajout d'un nouveau destinataire, transfert vers un nouveau pays) sera notifiée par email avant entrée en vigueur.

Aucune donnée n'est partagée avec d'autres tiers à des fins commerciales.

Vos données personnelles sont conservées pendant toute la durée de votre compte actif. À la suppression de votre compte :

• Profil, séances, repas, conversations : effacés sous 30 jours.
• Photos de progression : effacées immédiatement à la suppression du compte.
• Données de facturation : conservées 10 ans en application des obligations comptables (article L.123-22 du Code de commerce).
• Logs techniques : conservés 12 mois pour la sécurité et le débogage.

Conformément au RGPD, vous disposez des droits suivants :

• Droit d'accès : obtenir une copie de toutes vos données.
• Droit de rectification: corriger une donnée inexacte (modifiable directement dans l'application).
• Droit à l'effacement : suppression immédiate et définitive depuis Paramètres → Sécurité → « Supprimer mon compte ». La cascade efface profil, programmes, séances, messages, photos et abonnement Stripe en une seule action. Seules les factures émises sont conservées 10 ans pour obligation comptable, hors de votre accès.
• Droit à la portabilité: téléchargement instantané d'un export JSON complet depuis Paramètres → Sécurité → « Télécharger mes données ». Aucun délai, aucune justification à fournir.
• Droit d'opposition: vous opposer à un traitement basé sur l'intérêt légitime.
• Droit à la limitation du traitement.
• Droit de définir des directives post-mortem sur le sort de vos données.

Pour exercer ces droits, écrivez à privacy@forma.app en précisant l'adresse e-mail associée à votre compte. Une réponse vous sera apportée dans un délai maximum d'un mois.

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL : cnil.fr/fr/plaintes.

FormA met en œuvre les mesures techniques et organisationnelles appropriées pour protéger vos données :

• Chiffrement TLS de toutes les communications (HTTPS).
• Mots de passe stockés chiffrés (algorithme bcrypt via Better-Auth).
• Cloisonnement strict des données : chaque utilisateur ne peut accéder qu'à ses propres données (vérification systématique via l'identifiant de session).
• Accès aux données restreint au personnel d'exploitation, tracé, et limité aux opérations indispensables.
• Sauvegardes quotidiennes chiffrées de la base de données.

FormA utilise uniquement les cookies strictement nécessaires au fonctionnement du service (authentification de session). Aucun cookie publicitaire ou de tracking n'est déposé. Voir notre politique de cookies pour le détail.

La présente politique peut être modifiée à tout moment pour refléter des évolutions techniques ou légales. Vous serez notifié par email de toute modification substantielle au moins 30 jours avant son entrée en vigueur.