Politique de Confidentialité
Dernière mise à jour: 1er avril 2026
INTRODUCTION
La présente Politique de confidentialité décrit comment KEEZOKU, société par actions simplifiée (SAS) au capital de 5 000,00 €, immatriculée au R.C.S. de Paris sous le numéro 847 647 054, dont le siège social est situé 60 rue François Ier, 75008 Paris, France (ci-après « Gymkee », « nous », « notre »), collecte, utilise, stocke et protège vos données à caractère personnel lorsque vous utilisez la plateforme Gymkee, comprenant le site web gymkee.com, l'application web Gymkee Coach et l'application mobile Gymkee.
Cette politique s'applique à tous les utilisateurs de Gymkee, qu'il s'agisse de coachs sportifs (utilisateurs professionnels) ou de leurs clients/athlètes (utilisateurs de l'application mobile).
Gymkee s'engage à respecter le Règlement Général sur la Protection des Données (RGPD , Règlement UE 2016/679), la Loi Informatique et Libertés du 6 janvier 1978 modifiée, ainsi que les recommandations de la Commission Nationale de l'Informatique et des Libertés (CNIL).
1. RESPONSABLE DE TRAITEMENT ET CONTACT
1.1 Responsable de traitement
KEEZOKU 60 rue François Ier, 75008 Paris, France SIREN : 847 647 054 E-mail : hello@gymkee.com
1.2 Contact vie privée
Pour toute question relative à la protection de vos données personnelles ou pour exercer vos droits :
- E-mail : hello@gymkee.com
- Adresse postale : KEEZOKU , Protection des données, 60 rue François Ier, 75008 Paris, France
2. DOUBLE RÔLE DE GYMKEE
Gymkee intervient dans deux rôles distincts au sens du RGPD :
2.1 Gymkee en tant que responsable de traitement
KEEZOKU est responsable de traitement pour :
- les données des Coachs (données de compte, données de facturation, données d'utilisation de la plateforme) ;
- les données techniques et d'utilisation de tous les utilisateurs (logs, cookies, données de navigation) ;
- les données nécessaires au fonctionnement de la plateforme et de l'application mobile.
2.2 Gymkee en tant que sous-traitant
KEEZOKU agit en tant que sous-traitant (au sens de l'article 28 du RGPD) pour le compte des Coachs en ce qui concerne les données de leurs Clients/Athlètes. Les Coachs sont les responsables de traitement pour les données de leurs Clients qu'ils collectent et utilisent dans le cadre de leur activité de coaching via Gymkee.
Les obligations respectives sont régies par notre Accord de Traitement des Données (DPA), consultable à l'adresse gymkee.com/legal/dpa.
3. DONNÉES COLLECTÉES
3.1 Données des Coachs
| Catégorie | Données | Finalité |
|---|---|---|
| Données d'identification | Nom, prénom, adresse e-mail, numéro de téléphone, photo de profil | Gestion du compte, communication |
| Données professionnelles | Nom commercial, SIRET/numéro d'entreprise, qualifications, spécialités | Identification professionnelle |
| Données de facturation | Adresse de facturation, mode de paiement (via Stripe), historique de facturation, numéro de TVA | Facturation, comptabilité |
| Données d'utilisation | Connexions, actions sur la plateforme, fonctionnalités utilisées, logs techniques | Amélioration du service, support |
| Données Gymkee Pay | Données du compte Stripe Connect, historique des transactions | Traitement des paiements |
3.2 Données des Clients/Athlètes
| Catégorie | Données | Finalité |
|---|---|---|
| Données d'identification | Nom, prénom, adresse e-mail, photo de profil | Gestion du compte |
| Données de profil | Date de naissance, sexe | Personnalisation des programmes |
| Données de santé ⚠️ | Poids, taille, mensurations corporelles, pourcentage de masse grasse, IMC | Suivi de progression |
| Données nutritionnelles ⚠️ | Apports caloriques, macronutriments, journal alimentaire, préférences alimentaires, allergies | Programme nutritionnel |
| Données d'entraînement ⚠️ | Performances (charges, répétitions, temps), fréquence cardiaque, historique des séances | Suivi de programme |
| Données d'utilisation | Connexions, navigation dans l'application, notifications | Fonctionnement du service |
⚠️ Ces données constituent des « données de santé » au sens de l'article 9 du RGPD et bénéficient d'un niveau de protection renforcé. Leur traitement repose sur votre consentement explicite, recueilli de manière séparée et spécifique.
3.3 Données collectées automatiquement
Pour tous les utilisateurs, nous collectons automatiquement :
- Données techniques : adresse IP, type de navigateur, système d'exploitation, type d'appareil, identifiant d'appareil, résolution d'écran ;
- Données de navigation : pages consultées, durée de visite, actions effectuées ;
- Données de logs : horodatage des connexions, erreurs techniques.
4. BASES LÉGALES ET FINALITÉS DU TRAITEMENT
4.1 Traitements fondés sur l'exécution du contrat (Art. 6(1)(b) RGPD)
- Création et gestion des comptes utilisateurs
- Fourniture des Services (programmes, suivi, messagerie)
- Traitement des paiements et facturation
- Support client
- Notifications relatives au service (mises à jour, maintenance, changements importants)
4.2 Traitements fondés sur le consentement explicite (Art. 9(2)(a) RGPD)
- Collecte et traitement des données de santé (mensurations, données nutritionnelles, performances d'entraînement)
- Transmission des données de santé au Coach pour le suivi
- Synchronisation avec des applications de santé tierces (Apple HealthKit, Google Health Connect)
Le consentement pour les données de santé est :
- recueilli de manière séparée et distincte, non groupé avec l'acceptation des CGU ;
- spécifique à chaque catégorie de données (mensurations, nutrition, entraînement) ;
- librement donné, éclairé et univoque ;
- révocable à tout moment depuis les paramètres de l'application, sans conséquence sur la licéité du traitement antérieur.
4.3 Traitements fondés sur le consentement (Art. 6(1)(a) RGPD)
- Communications marketing et promotionnelles
- Notifications push marketing
- Cookies et traceurs non essentiels (voir notre Politique de cookies)
4.4 Traitements fondés sur l'intérêt légitime (Art. 6(1)(f) RGPD)
- Amélioration de la plateforme et analyse d'utilisation (statistiques agrégées et anonymisées)
- Détection et prévention de la fraude
- Sécurité de la plateforme
4.5 Traitements fondés sur une obligation légale (Art. 6(1)(c) RGPD)
- Conservation des données de facturation (obligations comptables et fiscales)
- Réponse aux réquisitions judiciaires
- Déclarations fiscales
5. DESTINATAIRES DES DONNÉES
5.1 Accès interne
Seuls les membres autorisés de l'équipe KEEZOKU ont accès aux données personnelles, dans la stricte mesure nécessaire à l'exercice de leurs fonctions.
5.2 Sous-traitants (sub-processors)
Nous partageons vos données avec les sous-traitants suivants, qui traitent les données en notre nom et conformément à nos instructions :
| Sous-traitant | Pays/Région | Fonction | Données concernées |
|---|---|---|---|
| Amazon Web Services (AWS) | UE , eu-west-3 (Paris) | Hébergement et infrastructure , Certifié HDS | Toutes les données |
| MongoDB Atlas (MongoDB, Inc.) | UE | Base de données | Toutes les données applicatives |
| Stripe Payments Europe, Ltd. | Irlande/UE | Traitement des paiements | Données de facturation et de paiement |
| Cloudflare, Inc. | États-Unis | Hébergement du site web (Cloudflare Pages) | Données de navigation |
| Algolia | UE | Moteur de recherche | Données alimentaires, exercices |
| Segment (Twilio) | États-Unis | Analytique (server-side) | Données d'utilisation anonymisées |
| Mixpanel | États-Unis | Analytique | Données d'utilisation anonymisées |
| Intercom | États-Unis | Support client et messagerie | Données d'identification, messages |
| Google LLC | États-Unis | Analytique (GA4, GTM) | Données de navigation anonymisées |
| Meta Platforms, Inc. | États-Unis | Mesure publicitaire (Meta Pixel) | Données de conversion anonymisées |
| FirstPromoter | Pays-Bas | Suivi d'affiliation | Données de parrainage |
| Expo (EAS) | États-Unis | Distribution de l'application mobile | Données techniques |
La liste complète et à jour de nos sous-traitants est disponible à l'adresse gymkee.com/legal/sub-processors.
5.3 Transferts hors UE
Certains de nos sous-traitants sont situés en dehors de l'Espace Économique Européen (EEE), notamment aux États-Unis. Ces transferts sont encadrés par :
- les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne ;
- le cadre EU-US Data Privacy Framework, lorsque applicable ;
- des mesures techniques complémentaires (chiffrement des données en transit et au repos).
5.4 Transmission au Coach
Lorsque vous êtes Client/Athlète, vos données (y compris les données de santé pour lesquelles vous avez donné votre consentement) sont transmises à votre Coach via la plateforme. Le Coach est responsable de traitement pour ces données dans le cadre de sa relation de coaching avec vous.
5.5 Autres cas de partage
Nous pouvons être amenés à communiquer vos données :
- aux autorités judiciaires ou administratives, en cas de réquisition légale ;
- à un acquéreur potentiel en cas de restructuration, fusion ou cession d'activité, sous réserve du respect des obligations de confidentialité.
Nous ne vendons jamais vos données personnelles à des tiers. Nous n'utilisons pas vos données à des fins publicitaires ciblées.
6. DURÉE DE CONSERVATION
| Catégorie de données | Durée de conservation |
|---|---|
| Données de compte (actif) | Pendant toute la durée de la relation contractuelle |
| Données de compte (après suppression) | 30 jours après la demande de suppression, puis effacement |
| Données de santé | Supprimées dans les 30 jours suivant le retrait du consentement ou la suppression du compte |
| Données de facturation | 10 ans à compter de la clôture de l'exercice (obligation légale comptable , Art. L123-22 du Code de commerce) |
| Données de paiement Stripe | Conservées par Stripe conformément à sa propre politique de conservation |
| Logs de connexion | 12 mois (obligation légale , LCEN Art. 6-II) |
| Données d'analytique | Anonymisées au-delà de 26 mois |
| Données de prospection commerciale | 3 ans après le dernier contact |
| Données de consentement (preuve) | 5 ans à compter du retrait ou de l'expiration du consentement |
À l'expiration de ces durées, les données sont supprimées ou irréversiblement anonymisées.
7. SÉCURITÉ DES DONNÉES
7.1 Hébergement certifié HDS
Les données de santé traitées par Gymkee sont hébergées sur l'infrastructure Amazon Web Services (AWS) dans la région eu-west-3 (Paris, France). AWS dispose de la certification Hébergeur de Données de Santé (HDS) délivrée conformément à l'article L.1111-8 du Code de la santé publique, attestant du respect des exigences de sécurité, de confidentialité et de disponibilité applicables à l'hébergement de données de santé.
7.2 Mesures de sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles contre l'accès non autorisé, la perte, l'altération ou la divulgation, notamment :
Mesures techniques :
- Chiffrement des données en transit (TLS 1.2+) et au repos (AES-256)
- Authentification sécurisée et gestion des accès
- Sauvegardes régulières et plan de reprise d'activité
- Surveillance et détection d'intrusion
- Séparation des environnements (développement, test, production)
Mesures organisationnelles :
- Accès limité aux données selon le principe du moindre privilège
- Formation des équipes aux bonnes pratiques de protection des données
- Procédure de gestion des incidents de sécurité
- Évaluation régulière des mesures de sécurité
8. DROITS DES PERSONNES CONCERNÉES
Conformément au RGPD et à la Loi Informatique et Libertés, vous disposez des droits suivants :
8.1 Droit d'accès (Art. 15 RGPD)
Vous pouvez obtenir la confirmation que des données vous concernant sont traitées et en obtenir une copie.
8.2 Droit de rectification (Art. 16 RGPD)
Vous pouvez demander la correction de données inexactes ou incomplètes.
8.3 Droit à l'effacement (Art. 17 RGPD)
Vous pouvez demander la suppression de vos données dans les cas prévus par le RGPD. La suppression intervient dans un délai d'un (1) mois suivant la demande, sous réserve des obligations légales de conservation.
8.4 Droit à la portabilité (Art. 20 RGPD)
Vous pouvez recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON ou CSV).
8.5 Droit à la limitation du traitement (Art. 18 RGPD)
Vous pouvez demander la limitation du traitement dans certains cas (contestation de l'exactitude, traitement illicite, etc.).
8.6 Droit d'opposition (Art. 21 RGPD)
Vous pouvez vous opposer au traitement fondé sur l'intérêt légitime pour des raisons tenant à votre situation particulière.
8.7 Droit de retrait du consentement
Pour les traitements fondés sur le consentement (notamment les données de santé), vous pouvez retirer votre consentement à tout moment :
- depuis les paramètres de votre compte (application ou web) ;
- en nous contactant à hello@gymkee.com. Le retrait du consentement n'affecte pas la licéité du traitement effectué avant le retrait.
8.8 Directives post-mortem
Conformément à la Loi Informatique et Libertés, vous pouvez définir des directives relatives à la conservation, à l'effacement et à la communication de vos données après votre décès.
8.9 Exercice des droits
Pour exercer vos droits :
- E-mail : hello@gymkee.com
- Courrier : KEEZOKU , Protection des données, 60 rue François Ier, 75008 Paris, France
Nous répondons à toute demande dans un délai d'un (1) mois. Ce délai peut être prolongé de deux (2) mois en cas de complexité ou de nombre élevé de demandes. Nous vous informerons de toute prolongation.
Nous pourrons vous demander de justifier de votre identité avant de traiter votre demande.
8.10 Réclamation auprès de la CNIL
Si vous estimez que le traitement de vos données n'est pas conforme à la réglementation, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- Site web : https://www.cnil.fr
- Adresse : CNIL, 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
9. COOKIES ET TRACEURS
Gymkee utilise des cookies et traceurs. Pour des informations détaillées sur les cookies utilisés, leurs finalités, et vos options de paramétrage, veuillez consulter notre Politique de cookies.
10. DONNÉES DES MINEURS
Gymkee n'est pas destinée aux personnes de moins de 16 ans. Nous ne collectons pas sciemment les données de personnes de moins de 16 ans. Les personnes âgées de 16 à 18 ans doivent obtenir l'autorisation de leur représentant légal pour utiliser Gymkee.
Si nous prenons connaissance qu'un mineur de moins de 16 ans a fourni des données personnelles, nous supprimerons ces données dans les meilleurs délais.
11. NOTIFICATION DE VIOLATION DE DONNÉES
En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour vos droits et libertés, nous notifierons la CNIL dans les 72 heures conformément à l'article 33 du RGPD.
Si la violation est susceptible d'engendrer un risque élevé pour vos droits et libertés, nous vous en informerons directement dans les meilleurs délais, conformément à l'article 34 du RGPD, en précisant la nature de la violation, les conséquences probables et les mesures prises ou envisagées.
12. MODIFICATION DE LA POLITIQUE
Nous pouvons modifier la présente Politique de confidentialité à tout moment. En cas de modification substantielle, nous vous en informerons par e-mail ou via l'application au moins quinze (15) jours avant l'entrée en vigueur.
La date de dernière mise à jour est indiquée en haut de cette page. Nous vous encourageons à consulter régulièrement cette politique.
13. CONTACT
Pour toute question relative à la protection de vos données :
KEEZOKU , Protection des données 60 rue François Ier, 75008 Paris, France E-mail : hello@gymkee.com
