Politique de confidentialité

Préambule et engagement

Crux est une application mobile de coaching d'endurance assisté par intelligence artificielle. Pour personnaliser tes plans d'entraînement et adapter tes séances en continu, le service traite nécessairement des données personnelles, dont certaines catégories particulièrement sensibles (rythme cardiaque, variabilité cardiaque, sommeil). Nous avons donc choisi d'adopter une approche de privacy by design et d'appliquer aux données physiologiques les exigences renforcées de l'article 9 du RGPD.

La présente politique te détaille, pour chaque catégorie de données, la finalité poursuivie, la base légale invoquée, la durée de conservation, les destinataires éventuels et les droits dont tu disposes. Elle s'applique à toute personne physique qui crée un compte Crux, s'inscrit à la liste d'attente, navigue sur le site crux.training ou interagit avec nous par email.

Responsable de traitement

Le responsable du traitement, au sens de l'article 4.7 du RGPD, est :

Délégué à la protection des données (DPO)

Crux n'a pas désigné de Délégué à la protection des données. Cette désignation n'est en effet pas obligatoire au sens de l'article 37 du RGPD : nous ne sommes pas une autorité publique, notre activité principale ne consiste pas en un suivi régulier et systématique à grande échelle de personnes concernées, et nous ne traitons pas non plus à grande échelle des catégories particulières de données au sens de l'article 9 à ce stade de notre développement.

Nous avons toutefois mis en place une adresse de contact dédiée aux questions de protection des données : privacy@crux.training. Cette adresse est relevée et traitée directement par les associés. La désignation d'un DPO sera réévaluée à chaque évolution significative de notre périmètre d'activité.

Données collectées

Nous appliquons un principe strict de minimisation des données (article 5.1.c du RGPD) : nous ne collectons que ce qui est nécessaire à la finalité poursuivie. Les catégories de données traitées sont les suivantes :

Données d'identité et de compte

Adresse email, prénom et nom (si renseignés), mot de passe stocké sous forme hashée (jamais en clair), identifiant interne, date de création du compte. Source : formulaire de création de compte. Finalité : création et gestion de ton compte, authentification. Base légale : exécution du contrat qui te lie à Crux (article 6.1.b du RGPD).

Email collecté via la liste d'attente

Adresse email seule, collectée via le formulaire d'inscription à la liste d'attente. Source : formulaire waitlist. Finalité : t'informer du lancement du service et des étapes intermédiaires. Base légale : consentement libre, spécifique, éclairé et univoque (article 6.1.a du RGPD), retirable à tout moment via un lien de désabonnement présent dans chaque email.

Profil sportif

Âge, sexe, sport principal, sports secondaires, objectifs déclarés (course, trail, cyclisme, etc.), niveau auto-évalué, antécédents éventuels d'entraînement, contraintes (matériel, disponibilité). Source : formulaires d'onboarding et de paramétrage dans l'application. Finalité : personnaliser ton plan d'entraînement. Base légale : exécution du contrat (article 6.1.b du RGPD).

Données physiologiques (santé)

Variabilité de la fréquence cardiaque (HRV), fréquence cardiaque au repos et à l'effort, données de sommeil, charge d'entraînement, séances réalisées, allures, puissance, dénivelé, données GPS le cas échéant. Source : import depuis tes objets connectés (montres, ceintures cardio) et plateformes tierces (Apple Health, Health Connect, Garmin Connect, etc.) que tu connectes volontairement à Crux. Finalité : générer ton plan, adapter les séances en temps réel et produire les debriefs. Base légale : consentement explicite au sens de l'article 9.2.a du RGPD — voir la section dédiée ci-dessous.

Données d'usage produit

Pages consultées, écrans visités, interactions avec les fonctionnalités, identifiant pseudonyme d'appareil, type d'appareil et version du système d'exploitation. Ces données sont agrégées et pseudonymisées dès que possible. Source : outils de mesure d'audience internes. Finalité : mesurer l'audience, comprendre les usages, améliorer le produit et corriger les bugs. Base légale : intérêt légitime de Crux à améliorer son service (article 6.1.f du RGPD), équilibré par la pseudonymisation et un droit d'opposition.

Communications

Contenu des emails que tu nous envoies, échanges avec le support, statut d'ouverture des emails transactionnels, préférences de communication. Source : emails et formulaires. Finalité : traiter ta demande, t'envoyer les emails de service (confirmation, factures, notifications de séance) et, uniquement si tu y as consenti, t'envoyer la newsletter. Base légale : exécution du contrat pour les emails de service (article 6.1.b), consentement pour la newsletter (article 6.1.a).

Traitement spécifique des données de santé

Les données physiologiques importées depuis tes objets connectés — HRV, sommeil, fréquence cardiaque, charge — sont considérées par Crux comme des données concernant la santé au sens des articles 4.15 et 9 du RGPD. Cette qualification est une décision de prudence : prise isolément, une mesure de HRV ou de sommeil n'est pas toujours une donnée de santé, mais combinée et exploitée dans le cadre d'un coaching personnalisé, elle révèle de manière indirecte des informations sur ton état physiologique et ton niveau de récupération.

En conséquence, le traitement de ces données ne repose pas sur l'exécution du contrat ou l'intérêt légitime, mais sur ton consentement explicite au sens de l'article 9.2.a du RGPD. Concrètement :

Aucune de ces données n'est utilisée à des fins de diagnostic médical, ni transmise à des tiers à des fins commerciales, ni utilisée pour entraîner des modèles d'IA partagés avec d'autres utilisateurs sans pseudonymisation préalable.

Finalités du traitement

Tes données sont traitées pour les finalités suivantes, chacune associée à une base légale précise au sens des articles 6 et 9 du RGPD :

• Délivrer le service Crux — création du compte, génération du plan, adaptation des séances, debriefs, notifications. Base légale : exécution du contrat (art. 6.1.b) et, pour les données physiologiques, consentement explicite (art. 9.2.a).
• Améliorer le produit — analyses agrégées des usages, correction des bugs, optimisation des fonctionnalités. Base légale : intérêt légitime (art. 6.1.f), avec pseudonymisation et droit d'opposition.
• Communiquer avec toi — emails de service (transactionnels), réponses au support, et — uniquement avec ton consentement — newsletter produit. Base légale : exécution du contrat (art. 6.1.b) ou consentement (art. 6.1.a).
• Sécuriser le service — journalisation des connexions, détection des tentatives de fraude, sauvegardes. Base légale : intérêt légitime à protéger nos utilisateurs et notre infrastructure (art. 6.1.f) et obligation légale de sécurité (art. 32 RGPD).
• Respecter nos obligations légales — conservation des factures, déclarations TVA, réponses aux réquisitions judiciaires régulières. Base légale : obligation légale (art. 6.1.c).

Durées de conservation

Conformément au principe de limitation de la conservation (article 5.1.e du RGPD), nous conservons tes données uniquement le temps nécessaire aux finalités poursuivies :

• Données de compte et profil sportif — pendant toute la durée de vie de ton compte. En cas de suppression du compte, effacement sous 30 jours, sauf obligations légales contraires.
• Données physiologiques (santé) — pendant toute la durée de vie de ton compte ou jusqu'au retrait de ton consentement. Effacement immédiat sur retrait, sous réserve d'une éventuelle pseudonymisation pour fins statistiques.
• Email de la liste d'attente — jusqu'au retrait du consentement (désabonnement) ou, à défaut, après une période d'inactivité de 3 ans.
• Logs techniques et journaux de sécurité — 12 mois maximum, conformément aux recommandations de l'APD belge.
• Factures et pièces comptables — 7 ans à compter de la clôture de l'exercice, en application de l'article III.86 du Code de droit économique belge.
• Données fiscales liées à la TVA — 7 ans, en application du Code de la TVA belge.
• Données traitées dans le cadre d'un litige — pendant toute la durée nécessaire à la défense de nos droits, dans la limite des prescriptions applicables.

Destinataires

Tes données sont accessibles, sur la base du strict besoin d'en connaître, uniquement aux associés de Crux (Mathis BURY et Nathan DE SPRINGER) ainsi qu'aux éventuels collaborateurs internes habilités, soumis à des obligations contractuelles de confidentialité.

Aucune donnée n'est revendue, louée ou échangée à des fins commerciales. Tes données peuvent toutefois être communiquées à nos sous-traitants techniques (voir section suivante), à nos conseils (avocats, comptables) lorsque c'est strictement nécessaire, ou aux autorités compétentes en cas de réquisition judiciaire régulière.

Sous-traitants

Pour fournir le service, nous faisons appel à un nombre limité de sous-traitants au sens de l'article 28 du RGPD. Chacun est lié par un contrat de sous-traitance imposant les garanties prévues par le RGPD :

Hetzner Online GmbH (hébergement)

Industriestr. 25, 91710 Gunzenhausen, Allemagne. Hébergement applicatif via la solution Coolify, sur des datacenters situés à Falkenstein et Nürnberg (Allemagne, Union européenne). Finalité : mise à disposition de l'infrastructure serveur. Localisation : Union européenne. Garanties : contrat de sous-traitance (DPA) Hetzner conforme à l'article 28 RGPD ; aucun transfert hors UE.

Supabase, Inc. (base de données et authentification)

970 Toa Payoh North, Singapour, et 1209 Orange Street, Wilmington, Delaware, États-Unis. Finalité : base de données PostgreSQL managée, authentification utilisateur, stockage de fichiers. Localisation : instance configurée en région Union européenne (Francfort, Allemagne). Garanties : DPA Supabase, clauses contractuelles types (SCC) de la Commission européenne de juin 2021 pour encadrer les éventuels accès depuis les États-Unis, certification au Data Privacy Framework UE-États-Unis.

Resend (emails transactionnels)

Resend, Inc., 2261 Market Street #5039, San Francisco, CA 94114, États-Unis. Finalité : envoi des emails transactionnels (confirmation d'inscription waitlist, notifications de service). Localisation : configuration région UE privilégiée lorsque disponible ; à défaut, transfert encadré. Garanties : DPA Resend, clauses contractuelles types (SCC) UE-États-Unis de juin 2021, et engagement de Resend au titre du Data Privacy Framework.

Apple App Store et Google Play

Apple Distribution International Ltd. (Irlande) et Google Ireland Ltd. (Irlande). Finalité : distribution de l'application mobile Crux et gestion des paiements in-app. Garanties : ces acteurs agissent en qualité de responsables de traitement indépendants pour ce qui concerne la distribution et le paiement ; leurs propres politiques de confidentialité s'appliquent à ces traitements (apple.com/legal/privacy et policies.google.com/privacy).

Une liste actualisée des sous-traitants peut être obtenue sur simple demande à privacy@crux.training. Nous t'informons préalablement de tout changement substantiel.

Transferts hors Union européenne

L'hébergement principal de Crux est réalisé en Allemagne (Hetzner) et la base de données opérationnelle est hébergée en région Union européenne (Supabase Francfort). Aucun transfert de tes données hors de l'Espace économique européen n'a lieu de manière structurelle.

Certains de nos sous-traitants (Supabase, Resend) sont toutefois des sociétés de droit américain. Pour les éventuels accès depuis les États-Unis (support technique, maintenance), les transferts sont encadrés par les clauses contractuelles types adoptées par la Commission européenne le 4 juin 2021, complétées par les mesures techniques (chiffrement, pseudonymisation) et organisationnelles requises. Lorsque ces sous-traitants sont certifiés au Data Privacy Framework UE-États-Unis (décision d'adéquation de la Commission européenne du 10 juillet 2023), cette certification constitue une garantie supplémentaire au sens de l'article 45 du RGPD.

Sécurité des données

Conformément à l'article 32 du RGPD, nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque :

• Chiffrement en transit — toutes les communications entre ton appareil et nos serveurs sont chiffrées via TLS 1.3.
• Chiffrement au repos — les sauvegardes de la base de données sont chiffrées.
• Mots de passe — stockés exclusivement sous forme hashée à l'aide d'algorithmes robustes (argon2 ou bcrypt), jamais en clair.
• Contrôle d'accès — accès aux données de production restreint aux seuls administrateurs, journalisé, avec authentification multifacteur (MFA) obligatoire.
• Sauvegardes — sauvegardes régulières, chiffrées et testées.
• Journalisation — traçabilité des accès administratifs et des opérations sensibles.
• Mises à jour — application régulière des correctifs de sécurité sur l'ensemble de notre stack.

Tes droits

Tu disposes, en application des articles 15 à 22 du RGPD, des droits suivants sur tes données personnelles :

• Droit d'accès (art. 15) — obtenir la confirmation que tes données sont ou non traitées et, le cas échéant, en obtenir une copie.
• Droit de rectification (art. 16) — faire corriger des données inexactes ou incomplètes.
• Droit à l'effacement ou « droit à l'oubli » (art. 17) — demander la suppression de tes données, sous réserve des obligations légales de conservation.
• Droit à la limitation du traitement (art. 18) — demander la suspension temporaire du traitement dans certains cas.
• Droit à la portabilité (art. 20) — recevoir tes données dans un format structuré, couramment utilisé et lisible par machine (export JSON), ou demander leur transmission directe à un autre responsable de traitement.
• Droit d'opposition (art. 21) — t'opposer, pour des raisons tenant à ta situation particulière, à un traitement fondé sur l'intérêt légitime.
• Droit de retirer ton consentement (art. 7.3) — à tout moment et aussi facilement qu'il a été donné, notamment pour les données de santé (art. 9) et la newsletter. Le retrait n'affecte pas la licéité du traitement antérieur.
• Droit de ne pas faire l'objet d'une décision automatisée (art. 22) — voir la section dédiée ci-dessous.
• Droit de définir des directives relatives au sort de tes données après ton décès, conformément à la loi belge du 30 juillet 2018.

Décisions automatisées et profilage

Crux étant un service de coaching assisté par intelligence artificielle, il met en œuvre des opérations de profilage au sens de l'article 4.4 du RGPD : nos algorithmes analysent automatiquement tes données physiologiques et tes performances pour adapter les séances proposées, ajuster les charges et générer les debriefs.

Ce profilage n'a pas d'effet juridique te concernant et ne produit pas d'effet significatif similaire au sens de l'article 22.1 du RGPD : il s'agit d'un outil d'aide à la décision sportive, dont les recommandations restent purement consultatives. Tu conserves à tout instant la possibilité de ne pas suivre une séance proposée, d'en demander une modification ou de désactiver les recommandations.

Tu disposes par ailleurs des garanties suivantes : droit d'obtenir une intervention humaine de notre part pour comprendre une recommandation, droit d'exprimer ton point de vue et droit de contester une décision automatisée en écrivant à privacy@crux.training.

Mineurs

Crux n'est pas destiné aux personnes de moins de 16 ans. Ce seuil correspond à l'âge à partir duquel un mineur peut valablement consentir à un service de la société de l'information sans accord parental, en application de l'article 8 du RGPD tel que transposé en droit belge par l'article 7 de la loi du 30 juillet 2018.

Nous ne collectons pas sciemment de données concernant des mineurs de moins de 16 ans. Si tu constates qu'un mineur de moins de 16 ans a créé un compte ou nous a communiqué des données, contacte-nous à privacy@crux.training : nous procéderons à la suppression immédiate du compte et des données associées.

Cookies et traceurs

Le site crux.training utilise un nombre limité de cookies, dont le détail, la finalité et les modalités de gestion sont décrits dans notre Politique cookies. Aucun cookie publicitaire tiers n'est déposé.

Violation de données

En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour tes droits et libertés, nous nous engageons à notifier la violation à l'Autorité de protection des données belge dans les 72 heures suivant la prise de connaissance, conformément à l'article 33 du RGPD.

Lorsque la violation est susceptible d'engendrer un risque élevé pour tes droits et libertés, nous t'en informerons également directement et dans les meilleurs délais, conformément à l'article 34 du RGPD, en t'indiquant la nature de la violation, ses conséquences probables et les mesures que nous avons prises pour y remédier.

Modifications de la présente politique

Cette politique peut être amenée à évoluer pour refléter les évolutions de notre service, du cadre légal ou de nos sous-traitants. La date de mise à jour est indiquée en tête de document.

En cas de modification substantielle — notamment un nouveau type de traitement, un nouveau sous-traitant majeur ou une modification des bases légales — nous t'en informerons par email au moins 30 jours avant son entrée en vigueur, afin que tu puisses, le cas échéant, exercer tes droits.

Réclamation auprès d'une autorité de contrôle

Si tu estimes que le traitement de tes données viole le RGPD, tu disposes du droit d'introduire une réclamation auprès d'une autorité de contrôle, conformément à l'article 77 du RGPD. L'autorité belge est :

Si tu résides dans un autre État membre de l'Union européenne, tu peux également saisir l'autorité de contrôle de ton pays de résidence ou de ton lieu de travail, conformément au mécanisme de guichet unique prévu par le RGPD.

Nous t'invitons toutefois, dans la mesure du possible, à nous contacter au préalable à privacy@crux.training afin que nous puissions tenter de résoudre ta demande directement.

Contact

Pour toute question relative à la présente politique ou à l'exercice de tes droits :