POLITIQUE DE CONFIDENTIALITÉ UPTIVO
Version r2605.8 — Date d'effet : 6 mai 2026
La présente Politique de Confidentialité décrit la manière dont UPTIVO S.r.l. (« UPTIVO », « nous ») collecte, utilise et protège les données à caractère personnel des utilisateurs : (i) du site www.uptivo.fit et de tout domaine associé ; (ii) des applications mobiles et web UPTIVO ; et (iii) de tout service UPTIVO. La présente Politique s'applique quel que soit le mode d'accès aux Services. Lorsque l'utilisateur accède aux Services en qualité d'utilisateur final d'un Client UPTIVO (par exemple, une salle de sport utilisant UPTIVO en vertu d'un Contrat de Services), un niveau additionnel d'arrangements contractuels s'applique entre UPTIVO et ce Client (cf. Section 11).
1. RESPONSABLE DU TRAITEMENT ET CONTACT
UPTIVO S.r.l., dont le siège social est sis Via L. Vitali 1, 20122 Milan (MI), Italie, numéro de TVA IT08849150969, courriel certifié (PEC) euvic@legalmail.it, est le Responsable du traitement des données à caractère personnel au sens de l'article 4(7) du RGPD.
Pour toute demande en matière de confidentialité (y compris l'exercice des droits prévus à la Section 6), il est possible de nous contacter à l'adresse support@uptivo.fit ou par courrier postal au siège social ci-dessus.
2. CATÉGORIES DE DONNÉES À CARACTÈRE PERSONNEL
Nous collectons et traitons les catégories de données suivantes, dans la mesure nécessaire aux finalités décrites à la Section 3.
2.1 Données d'identification et de contact : nom, prénom, pseudonyme, image de profil ; adresse e-mail ; numéro de téléphone ; adresse postale ; identifiant fiscal lorsque requis pour la facturation.
2.2 Données de compte et d'authentification : UserId ; nom d'utilisateur ; mot de passe haché et salé ; jetons d'authentification JWT ; clés API ; identifiants OAuth d'appareil.
2.3 Données démographiques et de profil : date de naissance ; sexe ; langue ; pays ; fuseau horaire ; profession.
2.4 Profil fitness et préférences : poids ; taille ; objectifs d'entraînement ; antécédents de blessures ; activités à éviter ; disponibilité hebdomadaire ; préférences de notification, classement et calendrier.
2.5 Données de club et d'abonnement : affiliation au club ; rôle (athlète ou staff) ; licences ; crédits ; réservations de cours.
2.6 Données de dispositif et de capteur : identifiant matériel ; modèle ; nom du capteur ; dispositifs bridge associés et SNAP ; identifiants applicatifs.
2.7 Intégrations avec des comptes externes : identifiants de connexion et jetons d'accès OAuth pour services tiers tels que Garmin Connect, Stripe, PayPal, Whoop et Withings.
2.8 Données d'usage et techniques : connexions ; adresse IP ; horodatage des sessions ; identifiants d'appareil ; User Agent ; journaux de diagnostic et métriques Application Insights.
2.9 Données de santé et biométriques — catégorie particulière au titre de l'article 9 du RGPD. Les Services impliquent le traitement de données concernant la santé au sens de l'article 4(15) du RGPD, à savoir : (a) métriques de fréquence cardiaque (min/max/moy/au repos), zones cardio, seuils cibles, variabilité cardiaque (HRV), SpO2 ; (b) indice de masse corporelle (IMC), puissance au seuil fonctionnel (FTP) ; (c) télémétrie d'entraînement et de performance (date et heure, durée, distance, calories, puissance, cadence, hits, géolocalisation, altitude, dénivelé) ; (d) données de santé intégrées de tiers (pas, stress, body battery, phases de sommeil, respiration, plans d'entraînement) ; (e) mesures cliniques et anthropométriques fournies par l'utilisateur ou un Client (pression artérielle, glycémie, composition corporelle, résultats de tests fitness) ; (f) retours générés par le Nate AI à partir du profil, du sommeil et de la HRV. Ces catégories constituent des catégories particulières de données au sens de l'article 9 du RGPD et sont traitées uniquement sur la base juridique décrite à la Section 4.
2.10 Communications : demandes d'assistance et correspondance associée.
2.11 Identifiants liés au paiement : identifiants gérés par le prestataire de paiement. UPTIVO ne conserve pas les données complètes de carte bancaire ; ces données sont traitées directement par Stripe et PayPal en vertu de leurs propres politiques de confidentialité.
3. FINALITÉS DU TRAITEMENT
Nous traitons les données à caractère personnel aux fins suivantes : (a) fourniture des Services : création de compte, authentification, gestion des séances d'entraînement, tableaux de bord, classements, badges, notifications ; (b) personnalisation : calcul des zones cardio, estimation des calories, points et classement ; (c) gestion des clubs : relation entre athlètes et entraîneurs, réservations, communications opérationnelles ; (d) fonctionnalité Nate AI : génération d'évaluations et de recommandations personnalisées à partir du profil, du sommeil et de la HRV (cf. Section 5) ; (e) support client : réponse aux demandes d'assistance et gestion des réclamations ; (f) sécurité et maintenance : journaux de diagnostic, lutte contre la fraude et les abus, journaux d'audit ; (g) facturation et gestion administrative : émission de factures, gestion des paiements, comptabilité ; (h) respect d'obligations légales : obligations fiscales, conservation documentaire, réponses aux demandes légitimes des autorités ; (i) communications de marketing (uniquement avec votre consentement) : newsletters et informations sur les services UPTIVO.
Ce que nous ne faisons pas. Nous ne réalisons pas de profilage publicitaire, nous ne vendons pas de données personnelles identifiables, en ce compris les données de santé et biométriques, à des tiers pour leurs propres finalités commerciales, et nous ne partageons pas les données avec des tiers pour leurs propres finalités de marketing.
4. BASE JURIDIQUE
Les bases juridiques du traitement, au titre de l'article 6 du RGPD (et, le cas échéant, de l'article 9 du RGPD), sont les suivantes :
(a) Fourniture des Services, personnalisation, gestion des clubs, support client — article 6(1)(b) du RGPD : exécution du contrat auquel l'utilisateur est partie.
(b) Traitement des données de santé et biométriques (Section 2.9) à des fins de fitness, suivi de performance et fonctionnalité Nate AI — article 9(2)(a) du RGPD : consentement explicite, recueilli lors de l'inscription ou de l'activation des fonctionnalités correspondantes. Le consentement peut être retiré à tout moment, sans préjudice de la licité du traitement effectué antérieurement ; le retrait entraîne la cessation des fonctionnalités associées.
(c) Profilage Nate AI — articles 6(1)(a) et 9(2)(a) du RGPD : consentement explicite (cf. Section 5).
(d) Sécurité, lutte contre la fraude et les abus — article 6(1)(f) du RGPD : intérêt légitime à protéger l'intégrité des Services et des utilisateurs.
(e) Facturation, comptabilité, obligations fiscales — articles 6(1)(b) et 6(1)(c) du RGPD : contrat et obligations légales.
(f) Respect d'autres obligations légales — article 6(1)(c) du RGPD.
(g) Communications de marketing — article 6(1)(a) du RGPD : consentement, librement révocable à tout moment via le lien de désinscription présent dans les communications ou via le contact confidentialité de la Section 1.
5. DÉCISION AUTOMATISÉE ET PROFILAGE (NATE AI)
Les Services incluent la fonctionnalité Nate AI, qui utilise un modèle d'intelligence artificielle pour générer des évaluations et des recommandations personnalisées à partir des données de profil, de la variabilité cardiaque et des données de sommeil. Cette fonctionnalité constitue un profilage au sens de l'article 4(4) du RGPD.
Logique, importance et conséquences. Nate AI traite les entrées susvisées au moyen d'un modèle linguistique génératif qui produit des recommandations textuelles relatives à l'entraînement, à la récupération et à la performance. Le résultat est destiné à soutenir l'auto-évaluation de l'utilisateur et est délivré exclusivement sous forme informative.
UPTIVO considère que Nate AI n'entre pas dans le champ d'application de l'article 22(1) du RGPD, dans la mesure où les recommandations ont un caractère informatif et non contraignant, sont destinées à soutenir et non à remplacer le jugement de l'utilisateur et de professionnels qualifiés, et ne conditionnent la fourniture d'aucun Service.
L'utilisateur dispose à tout moment du droit de : (i) désactiver Nate AI dans les paramètres de son compte ; (ii) demander une intervention humaine pour la révision d'un retour de Nate AI jugé inexact ou inadéquat ; (iii) exprimer son point de vue et contester le retour. Les demandes d'intervention humaine sont traitées par un personnel qualifié dans des délais raisonnables et, en tout état de cause, dans un délai de trente (30) jours. Pour exercer ces droits, il est possible de nous contacter selon les modalités de la Section 6.
Le Nate AI ne fournit pas d'avis médical. Les Services ne constituent pas un dispositif médical au sens du Règlement (UE) 2017/745. L'utilisateur devrait consulter un professionnel de santé qualifié avant de se fier à un retour du Nate AI pour des décisions de santé.
6. DROITS DE LA PERSONNE CONCERNÉE
Au titre des articles 15 à 22 du RGPD, la personne concernée dispose des droits suivants :
(a) Droit d'accès (article 15) : obtenir confirmation du traitement et copie des données ;
(b) Droit de rectification (article 16) : corriger les données inexactes ou incomplètes ;
(c) Droit à l'effacement / droit à l'oubli (article 17) : demander la suppression des données, dans les limites prévues par la loi ;
(d) Droit à la limitation du traitement (article 18) : limiter le traitement dans certaines circonstances ;
(e) Droit à la portabilité (article 20) : recevoir les données dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable ;
(f) Droit d'opposition (article 21) au traitement fondé sur l'intérêt légitime, y compris au marketing direct ;
(g) Droit de ne pas faire l'objet d'une décision automatisée (article 22) : cf. Section 5 ;
(h) Droit de retirer le consentement (article 7(3)) à tout moment, sans préjudice de la licité du traitement antérieur.
Modalités d'exercice. Vous pouvez utiliser les fonctions de gestion du compte dans l'application lorsqu'elles sont disponibles (Paramètres > Compte > Gérer / Supprimer le compte) ou nous contacter à support@uptivo.fit. Nous pourrons vous demander des informations complémentaires pour vérifier votre identité. Nous répondrons sans retard injustifié et en tout état de cause dans un délai de trente (30) jours à compter de la réception de la demande, conformément à l'article 12 du RGPD ; ce délai peut être prorogé de deux mois supplémentaires pour les demandes complexes ou nombreuses, avec information de la personne concernée.
Suppression du compte. Sur demande de suppression, un processus automatisé supprime les identifiants, l'image de profil, les connexions aux comptes externes et toutes les données de télémétrie (fréquence cardiaque, géolocalisation, puissance, cadence et hits) dans un délai de trente (30) jours. Les sauvegardes contenant les données sont ensuite écrasées selon les cycles de rotation standard. Les données que nous sommes tenus de conserver pour des obligations de facturation, de comptabilité ou autres obligations légales sont conservées pour les durées indiquées à la Section 7 puis supprimées.
Droit d'introduire une réclamation. La personne concernée a le droit d'introduire une réclamation auprès de l'Autorité italienne de protection des données (Garante per la protezione dei dati personali, www.garanteprivacy.it) ou de l'autorité de contrôle de son lieu de résidence habituelle, de son lieu de travail ou du lieu de la violation présumée.
7. DURÉES DE CONSERVATION
Nous conservons les données uniquement pour la durée nécessaire aux finalités ci-dessus :
Données de compte utilisateur actif : durée de l'abonnement ;
Inscriptions utilisateur en attente ou non confirmées : quinze (15) jours ;
Invitations et liens d'inscription non acceptés : quinze (15) jours ;
Demandes d'enregistrement de dispositifs ou d'applications : sept (7) jours ;
Notifications applicatives in-app : soixante (60) jours ;
Journaux de diagnostic et d'erreurs : deux (2) mois ;
Journaux d'événements de sécurité (accès, authentification, détection d'anomalies) : six (6) mois ;
Documents de facturation et comptabilité : dix (10) ans à compter de l'émission, conformément à l'article 2220 du Code civil italien ;
Données relatives à une demande de suppression : télémétrie et données de compte supprimées dans un délai de trente (30) jours ; écrasement des sauvegardes selon la rotation standard.
À l'expiration du délai de conservation, les données sont supprimées ou anonymisées, sauf obligation légale de conservation.
8. TRANSFERTS INTERNATIONAUX
Nous traitons les données au sein de l'Espace économique européen (EEE), avec stockage primaire sur des serveurs situés aux Pays-Bas, en Irlande et en Allemagne.
Lorsque les données sont transférées hors de l'EEE en lien avec les Services (notamment via les prestataires américains listés à la Section 9), nous nous appuyons sur : (a) le EU-US Data Privacy Framework (Décision d'exécution (UE) 2023/1795 de la Commission) lorsque le destinataire est un participant certifié ; ou (b) les Clauses Contractuelles Types adoptées par la Décision d'exécution (UE) 2021/914, complétées, lorsque cela est nécessaire, par des mesures techniques et organisationnelles supplémentaires appréciées au cas par cas au moyen d'une Transfer Impact Assessment, disponible sur demande.
9. PRESTATAIRES TIERS (SOUS-TRAITANTS)
UPTIVO recourt aux prestataires tiers suivants pour la fourniture des Services. UPTIVO a signé avec chacun d'eux un accord de traitement des données au titre de l'article 28 du RGPD. La liste est mise à jour périodiquement ; la version la plus récente est disponible sur demande.
Sous-traitant | Service | Localisation / Transfert | Catégories de Données Transférées |
|---|---|---|---|
Supabase Inc. | Base de données, stockage, authentification | UE (Irlande) | Compte, profil, profil fitness, télémétrie, données de santé |
Microsoft Corporation (Azure) | Hébergement cloud, infrastructure, Application Insights | UE (Pays-Bas, Irlande, Allemagne) | Toutes les données de traitement, journaux de diagnostic |
Microsoft Corporation (M365) | Messagerie professionnelle et collaboration | UE | Communications, données de contact |
OpenAI, L.L.C. | Traitement IA / LLM (Nate AI) | États-Unis — DPF UE-USA | Profil, HRV, données de sommeil et prompts dérivés |
Google LLC (Gemini) | Traitement IA / LLM (Nate AI) | États-Unis — DPF UE-USA | Profil, HRV, données de sommeil et prompts dérivés |
Stripe Payments Europe, Ltd. | Traitement des paiements pour abonnements | UE (Irlande) | Identification, contact, identifiants de paiement (pas de données de santé) |
PayPal (Europe) S.à r.l. et Cie, S.C.A. | Traitement des paiements pour services club | UE (Luxembourg) | Identification, contact, identifiants de paiement (pas de données de santé) |
Garmin International, Inc. | Intégration wearables (Garmin Connect) | États-Unis — DPF UE-USA | Identifiants OAuth, télémétrie fitness et de santé |
WHOOP, Inc. | Intégration wearables (Whoop) | États-Unis — CCT UE | Identifiants OAuth, télémétrie fitness et de santé |
Withings SAS | Intégration wearables et dispositifs connectés de santé | UE (France) | Identifiants OAuth, mesures corporelles et données de santé |
10. COOKIES ET TECHNOLOGIES SIMILAIRES (SITE WEB)
Le site UPTIVO utilise des cookies et technologies similaires, à savoir : (a) cookies strictement nécessaires (sans consentement), pour le fonctionnement du site (gestion de session, sécurité, équilibrage de charge) ; (b) cookies analytiques (consentement requis), pour comprendre, sur une base agrégée et anonymisée, l'utilisation du site ; (c) cookies marketing (consentement requis), pour diffuser des communications UPTIVO sur les canaux, le cas échéant.
Lors de votre première visite, un bandeau cookies vous permet d'accepter ou de refuser le consentement par catégorie. Vous pouvez modifier vos préférences à tout moment via le centre de préférences cookies accessible depuis le pied de page du site.
L'application mobile UPTIVO n'utilise pas de cookies ; elle utilise le stockage local spécifique à la plateforme nécessaire au fonctionnement de l'application.
11. UTILISATEURS FINAUX ACCÉDANT VIA UN CLIENT
Lorsque l'utilisateur accède aux Services en qualité d'utilisateur final d'un Client UPTIVO (par exemple, en tant que membre d'une salle de sport utilisant UPTIVO en vertu d'un Contrat de Services), le Client est le Responsable du traitement des données et UPTIVO est le Sous-traitant au sens de l'article 28 du RGPD. Le traitement est régi par un accord de traitement des données (DPA) signé entre le Client et UPTIVO.
Dans ce scénario : (i) le personnel autorisé du Client (par exemple, entraîneurs, managers) peut consulter et modifier le profil de l'utilisateur (e-mail, âge, zones cardio) et suivre la progression des entraînements ; (ii) le Client est responsable de l'exactitude et de la licité d'usage des données qu'il modifie ; (iii) l'utilisateur peut interrompre à tout moment le partage en supprimant l'association au club dans l'application ; (iv) pour les demandes relatives aux données, l'utilisateur peut s'adresser directement au Client ou contacter UPTIVO au contact confidentialité de la Section 1, et UPTIVO assistera le Client dans sa réponse.
Pour la fonctionnalité Nate AI, le consentement au traitement des données de santé au titre de l'article 9(2)(a) du RGPD est recueilli directement par UPTIVO auprès de l'utilisateur final, qui agit en tant que personne concernée autonome pour cette finalité spécifique.
12. MINEURS
Les Services ne sont pas destinés aux mineurs de moins de quatorze (14) ans. Au titre de l'article 8 du RGPD et du Décret législatif italien 196/2003 tel que modifié, les mineurs de quatorze (14) ans ne peuvent pas utiliser les Services sans le consentement et la supervision d'un parent ou d'une personne exerçant l'autorité parentale. Si nous apprenons avoir collecté des données d'un mineur de quatorze (14) ans sans consentement parental vérifié, nous procéderons à la suppression sans retard injustifié. Lorsque les Services sont utilisés par des personnes résidant dans des juridictions fixant un âge minimum différent pour le consentement numérique en vertu de la loi applicable, cet âge s'applique en lieu et place du seuil ci-dessus.
13. SÉCURITÉ
UPTIVO met en œuvre des mesures techniques et organisationnelles appropriées au risque, conformément à l'article 32 du RGPD : chiffrement des données en transit (TLS 1.2 ou supérieur) et au repos (AES-256 ou équivalent) ; contrôle d'accès basé sur les rôles et authentification multi-facteurs pour les accès administratifs et privilégiés ; segmentation réseau et contrôles pare-feu ; mises à jour régulières des systèmes et applications ; sauvegardes automatiques avec réplication hors site ; procédures documentées de reprise après sinistre et de continuité d'activité ; journalisation et surveillance des événements de sécurité pertinents ; engagements de confidentialité pour le personnel ; surveillance périodique des vulnérabilités et revue de sécurité des modifications.
En cas de Violation de Données, UPTIVO notifiera l'autorité de contrôle compétente conformément à l'article 33 du RGPD lorsque cela est requis. Lorsque la violation est susceptible d'engendrer un risque élevé pour les droits et libertés de la personne concernée, nous l'en informerons sans retard injustifié conformément à l'article 34 du RGPD.
14. MODIFICATIONS DE LA PRÉSENTE POLITIQUE
Nous pouvons mettre à jour la présente Politique de temps à autre. La version courante est identifiée par le numéro de version et la date d'effet figurant en pied de page. Pour les modifications substantielles, nous vous en informerons via les Services ou par e-mail au moins trente (30) jours avant leur entrée en vigueur.
15. CONTACTS
Demandes en matière de confidentialité : support@uptivo.fit
Courriel certifié (PEC) : euvic@legalmail.it
Adresse postale : UPTIVO S.r.l., Via L. Vitali 1, 20122 Milan (MI), Italie
Autorité italienne de protection des données : www.garanteprivacy.it