Politique de confidentialité

La présente politique régit les renseignements personnels collectés par ChedlyFit, entreprise individuelle exploitée par Chedly Ayari, dont le siège est situé à Montréal, Québec, Canada.

En conformité avec l'article 8.1 de la Loi sur la protection des renseignements personnels dans le secteur privé (Loi 25), le Responsable de la protection des renseignements personnels (RPRP) est :

Chedly Ayari
Courriel : contact@chedlyfit.com
Réservation d'appel : calendly.com/chedly100ayari/30min
Adresse : Montréal, Québec, Canada

Tout citoyen peut communiquer directement avec le RPRP pour exercer ses droits ou signaler un incident relatif à ses renseignements personnels.

Nous collectons uniquement les renseignements nécessaires aux finalités déclarées :

• Nom, prénom, adresse courriel, numéro de téléphone (formulaire de contact, inscription au coaching).
• Informations de paiement via Stripe (carte bancaire) et Apple StoreKit (abonnements iOS) — nous ne stockons aucune donnée de carte de crédit.
• Mesures corporelles, photos de progression et historique d'entraînement fournis volontairement dans le cadre du coaching.
• Adresse IP brute (et empreinte SHA-256), géolocalisation approximative (pays, ville), type d'appareil, navigateur, pages consultées. Stockés à des fins de sécurité (anti-fraude, détection de connexions suspectes) et de statistiques d'audience.
• Identifiant de session anonyme (UUID éphémère, expire à la fermeture de votre navigateur) pour mesurer les visites uniques sans cookie persistant.

Vos renseignements sont utilisés uniquement pour les finalités suivantes, comme l'exige l'article 12 de la Loi 25 :

• Fourniture du service de coaching personnel (programmes, suivi, ajustements).
• Traitement des paiements et gestion des abonnements.
• Communication directe relative à votre programme (messagerie coach, courriel, app dédiée, Calendly).
• Amélioration du site web et mesure d'audience (si consentement).
• Obligations légales, comptables et fiscales (conservation 6 ans selon la loi québécoise).

Aucune utilisation secondaire ne sera faite sans votre consentement explicite et distinct.

Nous respectons l'article 8.3 de la Loi 25 qui exige un consentement préalable, libre, éclairé et spécifique pour tout témoin non strictement essentiel.

Trois catégories de témoins sont utilisées :

• Témoins essentiels — activés par défaut, nécessaires au fonctionnement du site (préférences linguistiques, sécurité).
• Témoins d'analyse — Google Analytics 4 (anonymisé, IP masquée) pour mesurer l'audience. Activés uniquement avec votre consentement.
• Témoins marketing — Meta Pixel (Facebook/Instagram) pour le retargeting. Activés uniquement avec votre consentement explicite.

Vous pouvez à tout moment modifier vos préférences en effaçant vos témoins dans votre navigateur ou en nous écrivant à contact@chedlyfit.com.

ChedlyFit utilise ses propres outils internes de mesure d'audience, dits « first-party analytics », qui ne déposent aucun témoin (cookie) sur votre appareil et ne partagent aucune donnée avec un tiers. Cette approche est équivalente à des outils respectueux de la vie privée comme Plausible ou Fathom.

Pour les visiteurs anonymes du site (sans compte) :

• À chaque page consultée, nous enregistrons : URL visitée, page d'origine (referrer), paramètres UTM, type d'appareil, pays et ville approximative déduits de l'adresse IP.
• Un identifiant de session (UUID) est généré et stocké dans la mémoire de session du navigateur. Il expire automatiquement à la fermeture de l'onglet — ce n'est ni un cookie ni un identifiant persistant.
• Si votre navigateur envoie l'en-tête « Do Not Track » (DNT=1), aucune mesure n'est effectuée.
• Les données sont stockées sur nos serveurs (Supabase, Irlande) et automatiquement supprimées après 90 jours.

Pour les utilisateurs connectés (clients et utilisateurs de l'application mobile) :

• À chaque connexion, nous enregistrons : date, heure, adresse IP brute, empreinte SHA-256 de l'IP, source (web ou mobile), version de l'application, pays et ville approximative.
• Ces informations servent à détecter des connexions suspectes (changement soudain de pays, activité anormale) et à protéger votre compte contre l'usurpation.
• La géolocalisation de votre dernière connexion est associée à votre profil pour affiner le suivi marketing et la communication par zone géographique.
• Les événements de connexion sont automatiquement purgés après 90 jours.

Aucune donnée de tracking n'est transmise à Google, Meta ou tout autre acteur publicitaire tiers sans votre consentement explicite (cf. section 4).

Conformément à l'article 17 de la Loi 25, nous vous informons que certaines données peuvent être traitées hors du Québec par nos sous-traitants soumis à des engagements contractuels garantissant une protection équivalente :

• Stripe (États-Unis / Irlande) — traitement des paiements par carte bancaire.
• Apple Inc. (États-Unis / Irlande) — traitement des abonnements via App Store (StoreKit IAP).
• Google (États-Unis) — mesure d'audience anonymisée (GA4).
• Meta (États-Unis) — retargeting publicitaire (si consenti).
• Hetzner Online GmbH (Allemagne / Union européenne) — hébergement du site web et des bases de données applicatives.
• Supabase (Irlande / États-Unis) — base de données client et authentification.
• Resend (États-Unis) — envoi des emails transactionnels.

Une évaluation des facteurs relatifs à la vie privée a été effectuée conformément à la Loi 25. Les sous-traitants sont liés par des clauses contractuelles types et des engagements de confidentialité.

Nous conservons vos renseignements uniquement pendant la durée nécessaire :

• Données de coaching actif : pendant la durée de votre programme + 12 mois (historique de suivi).
• Données de facturation : 6 ans après la fin du programme (obligation légale québécoise).
• Données marketing : 3 ans après le dernier contact.
• Événements de connexion (login_events) et visites anonymes (visitor_events) : 90 jours maximum, purgés automatiquement par tâche planifiée.
• Témoins analytiques tiers : 14 mois maximum (standard GA4).

À l'expiration des délais, les données sont définitivement détruites ou anonymisées.

Conformément à la Loi 25, au RGPD (pour nos clients européens) et à la LPRPDE, vous disposez :

• Droit d'accès : obtenir une copie de vos données.
• Droit de rectification : corriger toute information inexacte.
• Droit à l'effacement : demander la suppression définitive (sous réserve d'obligations légales).
• Droit à la portabilité : recevoir vos données dans un format structuré et lisible par machine.
• Droit à la désindexation : demander le retrait d'un lien hypertexte pointant vers vos données (Loi 25 art. 28.1).
• Droit d'opposition à tout traitement fondé sur votre consentement ou un intérêt légitime.
• Droit de retirer votre consentement à tout moment, sans affecter le traitement effectué avant le retrait.

Délai de réponse : nous répondons à toute demande dans un délai maximum de 30 jours conformément à la Loi 25.

Nous mettons en place des mesures de sécurité techniques et organisationnelles adaptées à la sensibilité des données : chiffrement TLS 1.3 en transit, chiffrement au repos chez nos sous-traitants, authentification à deux facteurs pour tous les accès administrateurs, et audits de sécurité réguliers.

En cas d'incident de confidentialité présentant un risque de préjudice sérieux, nous aviserons la Commission d'accès à l'information du Québec (CAI) et les personnes concernées sans délai, comme l'exige l'article 3.5 de la Loi 25.

Si vous estimez que le traitement de vos renseignements personnels n'est pas conforme, vous pouvez déposer une plainte auprès de :

Commission d'accès à l'information du Québec
Site : www.cai.gouv.qc.ca
Téléphone : 1 888 528-7741

Pour les résidents européens : autorité de protection des données de votre pays (CNIL pour la France, INPDP pour la Tunisie).

Cette politique peut être mise à jour pour refléter des changements légaux ou opérationnels. Toute modification substantielle sera notifiée par courriel aux clients actifs et/ou par une bannière sur le site. La date en haut de page reflète toujours la version en vigueur.