Bolty

Politique de confidentialité

Date d'effet : 4 mars 2026

1. Responsable du traitement

Bolty est édité par Robin Baret, personne physique.

Email de contact : [email protected]

Hébergement : Railway (serveurs situés en Europe).

2. Données collectées

Bolty collecte les données suivantes dans le cadre de la fourniture du service :

2.1 Compte utilisateur

  • Adresse email
  • Mot de passe (hashé avec bcrypt — jamais stocké en clair)
  • Identifiants Apple Sign-In ou Google Sign-In (identifiant unique fourni par le provider)

2.2 Profil coureur

  • Prénom
  • Âge
  • Poids
  • Niveau et expérience en course à pied
  • Motivations et objectif de course
  • Zones de fréquence cardiaque
  • Jours d'entraînement préférés

2.3 Activités sportives

  • Métadonnées : distance, durée, allure moyenne, fréquence cardiaque, cadence, dénivelé
  • Streams seconde par seconde : GPS, fréquence cardiaque, allure, altitude, cadence
  • Tracé GPS (polyline encodée)
  • Données de tours (laps)
  • Données de localisation GPS en temps réel (lors de l'utilisation du tracking intégré depuis le téléphone)

2.4 Ressentis post-course

  • Évaluation de l'effort perçu (RPE)
  • Sensations physiques
  • Notes libres de l'utilisateur

2.5 Plans d'entraînement

  • Plans générés par intelligence artificielle
  • Sessions planifiées et leur statut

2.6 Analyses coach IA

  • Textes et données structurées générés par l'IA
  • Historique des questions-réponses avec le coach

2.7 Données techniques

  • Tokens d'authentification Strava (chiffrés en base de données)
  • Tokens d'authentification Garmin Connect (chiffrés en base de données)
  • Token de notification push (Expo)

2.8 Données d'usage et d'analytics

  • Événements de navigation dans l'application (écrans visités, étapes de l'onboarding complétées)
  • Actions clés : souscription, connexion d'une source d'activités, consultation d'une analyse
  • Plateforme (iOS/Android) et version de l'application

Ces données sont collectées de manière pseudonymisée via PostHog (hébergé en Europe) et ne sont jamais revendues à des tiers. Elles servent uniquement à améliorer l'expérience utilisateur et identifier les points de friction dans l'application.

3. Base légale du traitement

  • Exécution du contrat (article 6.1.b du RGPD) : le traitement des données est nécessaire à la fourniture du service Bolty (analyse des courses, génération de plans, suivi de la progression).
  • Consentement (article 6.1.a du RGPD) : pour les notifications push, l'accès à la localisation GPS (tracking intégré) et la connexion à des services tiers (Strava, Garmin Connect, Apple Santé). Tu peux retirer ton consentement à tout moment.

4. Sous-traitants et tiers

Certaines données sont partagées avec les prestataires suivants, dans le cadre strict de la fourniture du service :

Fournisseur d'intelligence artificielle (USA)

Finalité : analyse IA des activités et génération de plans d'entraînement.

Données transmises : profil utilisateur et métriques agrégées. Les streams bruts GPS ne sont pas transmis.

Strava (USA)

Finalité : import d'activités via OAuth 2.0 en lecture seule (scope activity:read_all).

Données transmises vers Strava : aucune. Bolty importe uniquement les données depuis Strava.

Données importées : activités de course (métadonnées, streams GPS/FC/allure/altitude/cadence, identifiant athlète Strava, tracés GPS, laps).

La connexion est révocable à tout moment depuis l'application Bolty ou depuis les paramètres Strava.

Garmin Connect (USA)

Finalité : import d'activités via OAuth 2.0. Bolty accède aux activités de course en lecture seule.

Données transmises vers Garmin : aucune. Bolty importe uniquement les données depuis Garmin Connect.

Données importées : activités de course (métadonnées, streams GPS/FC/allure/altitude/cadence, tracés GPS, laps).

La connexion est révocable à tout moment depuis l'application Bolty ou depuis les paramètres Garmin Connect.

Apple / Google (USA)

Finalité : authentification uniquement (vérification des tokens d'identité).

Expo / EAS (USA)

Finalité : service de notifications push.

Données transmises : push token et contenu de la notification.

RevenueCat (USA)

Finalité : gestion des abonnements in-app.

Données transmises : identifiant utilisateur anonymisé. Aucune donnée bancaire n'est partagée avec RevenueCat ni stockée par Bolty.

PostHog (Europe)

Finalité : analytics produit pour comprendre l'utilisation de l'application et améliorer l'expérience utilisateur.

Données transmises : événements d'usage pseudonymisés (étapes de l'onboarding, actions clés), plateforme et version de l'app. Aucune donnée personnelle sensible n'est transmise.

Hébergement : instance européenne (eu.posthog.com). Les données ne quittent pas l'Europe.

Railway (Europe)

Finalité : hébergement du backend et de la base de données PostgreSQL. Les serveurs sont situés en Europe.

5. Apple Santé (HealthKit), Garmin Connect et tracking GPS intégré

Bolty peut accéder aux données de course via Apple Santé (HealthKit) sur iOS. Cet accès est local : les données sont lues directement depuis l'appareil après autorisation explicite de l'utilisateur via le système de permissions iOS.

Les données importées depuis Apple Santé (courses, fréquence cardiaque, cadence, dénivelé) sont traitées de la même manière que les données importées depuis Strava.

Bolty permet également de connecter un compte Garmin Connect pour importer automatiquement les activités enregistrées sur une montre Garmin. Cette connexion utilise le protocole OAuth 2.0 et est révocable à tout moment.

Enfin, Bolty propose un tracking GPS intégré permettant d'enregistrer une course directement depuis le téléphone. Cette fonctionnalité nécessite l'accès à la localisation de l'appareil, accordé via les permissions du système d'exploitation. Les données de localisation sont utilisées exclusivement pour enregistrer le tracé de la course et ne sont jamais partagées à des fins publicitaires.

6. Transferts internationaux

Certains sous-traitants sont basés aux États-Unis. Ces entreprises sont certifiées dans le cadre du EU-US Data Privacy Framework (DPF), qui garantit un niveau de protection adéquat reconnu par la Commission européenne.

7. Durée de conservation

Tes données sont conservées pendant toute la durée d'existence de ton compte.

Lors de la suppression de ton compte, toutes les données associées sont supprimées de manière complète et irréversible (suppression en cascade de l'ensemble des activités, analyses, plans, profil et tokens).

8. Tes droits (RGPD)

Conformément au Règlement Général sur la Protection des Données (RGPD), tu disposes des droits suivants :

  • Droit d'accès : obtenir une copie de tes données personnelles.
  • Droit de rectification : corriger des données inexactes ou incomplètes.
  • Droit de suppression : demander l'effacement de tes données. La suppression du compte est disponible directement dans l'app (Profil > Supprimer mon compte).
  • Droit à la portabilité : recevoir tes données dans un format structuré et lisible.
  • Droit d'opposition : t'opposer au traitement de tes données.
  • Droit à la limitation : demander la limitation du traitement.

Pour exercer ces droits, contacte-nous à [email protected].

9. Droits spécifiques pour la Californie (CCPA)

Si tu résides en Californie, tu bénéficies des droits suivants en vertu du California Consumer Privacy Act (CCPA) :

  • Droit de savoir : connaître les catégories et les éléments spécifiques de données personnelles collectées.
  • Droit de suppression : demander la suppression de tes données personnelles.
  • Droit de non-discrimination : ne pas être traité différemment pour avoir exercé tes droits.

Bolty ne vend pas de données personnelles.

10. Sécurité

Nous mettons en place les mesures suivantes pour protéger tes données :

  • Chiffrement HTTPS pour toutes les communications
  • Mots de passe hashés avec bcrypt (jamais stockés en clair)
  • Tokens Strava chiffrés en base de données
  • Authentification par tokens à durée de vie limitée

11. Âge minimum

Bolty s'adresse aux personnes de 16 ans et plus. Nous ne collectons pas sciemment les données personnelles de mineurs de moins de 16 ans. Si tu es parent ou tuteur et que tu penses que ton enfant nous a fourni des données personnelles, contacte-nous pour que nous puissions les supprimer.

12. Cookies et analytics

La landing page Bolty (bolty.run) n'utilise pas de cookies de tracking ni d'outils d'analytics tiers. Seuls des cookies techniques strictement nécessaires au fonctionnement peuvent être utilisés.

L'application mobile Bolty utilise PostHog (instance européenne) pour collecter des événements d'usage anonymisés. Ces données servent exclusivement à améliorer le produit. Aucun cookie n'est utilisé dans l'application mobile — PostHog fonctionne via le SDK intégré à l'application.

13. Modifications de cette politique

Nous nous réservons le droit de modifier cette politique de confidentialité. En cas de modifications substantielles, tu seras informé par notification dans l'application ou par email.

14. Contact

Pour toute question relative à cette politique de confidentialité ou à tes données personnelles, contacte-nous à [email protected].