Politique de confidentialité – Back On
Protection des données

Politique de confidentialité

Dernière mise à jour : 08 avril 2026 – Cette politique s’applique au site www.backonrunning.com (Landing Page) et à la webapp Back On.

1. Qui est responsable du traitement ?

Le traitement de vos données à caractère personnel dans le cadre du site www.backonrunning.com (la « Landing Page ») et de l’application web Back On (ensemble le « Service ») est effectué par :

AGENCE EBP, société par actions simplifiée, immatriculée au RCS d’Avignon sous le n° 810 336 792, dont le siège social est situé 453, route de Mazan – 84330 Modène (ci-après l’« AGENCE EBP »).

Le site www.backonrunning.com et les Services Back On sont exploités par l’AGENCE EBP.

Nous contacter Pour toute question relative au traitement de vos données personnelles dans le cadre du Service Back On, contactez le responsable de traitement :

AGENCE EBP – 453 route de Mazan, 84330 Modène
E-mail (données personnelles / RGPD) : contact@backonrunning.com
E-mail (administratif AGENCE EBP) : contact@agence-ebp.com

Pour l’exercice de vos droits RGPD, utilisez exclusivement : contact@backonrunning.com

2. Quelles données collectons-nous ?

Nous collectons uniquement les données nécessaires au fonctionnement du Service.

Données de compte

  • Nom / prénom
  • Age
  • Genre (optionnel)
  • Adresse e-mail
  • Identifiant de connexion
  • Paramètres de compte, version (webapp / premium)

Données d’usage du site et de la webapp

  • Dates et heures de connexion
  • Pages consultées / fonctionnalités utilisées (y compris sur www.backonrunning.com)
  • Échanges techniques avec le serveur

Données de ressenti

Les informations de ressenti saisies par l’Utilisateur (perception de l’effort, inconfort, douleur, sensations physiques liées à la pratique sportive) sont susceptibles d’être qualifiées de données de santé au sens de l’article 9 du Règlement (UE) 2016/679 (RGPD).

En conséquence, ces données sont traitées sur la base du consentement explicite de l’Utilisateur, recueilli lors de l’inscription ou lors de la première saisie (article 9, paragraphe 2, point a) du RGPD).

L’Utilisateur peut retirer ce consentement à tout moment depuis les paramètres de son compte ou en contactant : contact@backonrunning.com. Ce retrait n’affecte pas la licéité des traitements effectués antérieurement.

Ces données ne font l’objet d’aucune interprétation médicale ni d’aucune analyse clinique individualisée. Elles sont utilisées exclusivement à des fins d’adaptation automatisée des séances d’entraînement.

Données issues de services tiers

  • Connexion à votre compte Garmin pour recevoir les séances sur votre montre
  • Données techniques nécessaires à cette synchronisation (identifiant de compte tiers, informations nécessaires au transfert des séances)

Ces connexions restent optionnelles.

Données de communication

  • Adresse e-mail utilisée pour l’envoi de messages via Brevo
  • Historique des échanges (par exemple, demandes de support)

3. Pour quelles finalités traitons-nous vos données ?

Fourniture du Service et gestion du compte

  • Créer votre compte
  • Vous donner accès à la webapp
  • Gérer vos droits d’accès
  • Assurer le bon fonctionnement du Service

Personnalisation de l’expérience utilisateur

  • Adapter les contenus et fonctionnalités proposés
  • Proposer des séances et fonctionnalités en lien avec vos préférences

Synchronisation avec Garmin

  • Permettre la réception des séances sur votre montre
  • Assurer le fonctionnement technique de la synchronisation

Envoi d’informations liées au Service

  • E-mails de fonctionnement
  • Notifications relatives aux séances
  • Messages de sécurité ou d’information importante

Analyse et amélioration du Service

Nous pouvons analyser les données d’utilisation du Service afin de :

  • Améliorer les fonctionnalités
  • Optimiser les parcours utilisateurs
  • Affiner les mécanismes automatisés d’adaptation

Ces traitements reposent sur notre intérêt légitime à faire évoluer et sécuriser le Service, dans le respect du principe de minimisation des données.

Décisions automatisées et personnalisation

Certaines fonctionnalités du Service Back On reposent sur des mécanismes automatisés d'adaptation des séances d'entraînement en fonction des données déclaratives saisies par l'Utilisateur (ressenti, historique, préférences).

Conformément à l'article 22 du RGPD, l'Utilisateur est informé de l'existence de ces traitements automatisés et de leurs effets sur la personnalisation de son programme sportif.

L'Utilisateur dispose du droit :

  • de demander une intervention humaine dans l'analyse de ses données ;
  • d'exprimer son point de vue sur la décision automatisée ;
  • de contester toute décision automatisée le concernant.

Ces droits peuvent être exercés à contact@backonrunning.com.

4. Bases juridiques des traitements

Les traitements mis en œuvre reposent selon les cas sur :

  • l’exécution du contrat (fonctionnement du compte, accès au Service, e-mails fonctionnels) ;
  • l’intérêt légitime de l’AGENCE EBP (amélioration du Service, sécurité, statistiques), sous réserve de ne pas porter atteinte aux droits et libertés fondamentaux des personnes concernées ;
  • le consentement de l’Utilisateur lorsque requis (notamment pour certaines fonctionnalités optionnelles ou traceurs).

5. Données anonymisées

Certaines données peuvent être transformées de manière irréversible en données anonymisées, ne permettant plus l’identification de l’Utilisateur.

Ces données anonymisées peuvent être utilisées sans limitation pour des finalités statistiques, d’analyse, de recherche et d’amélioration du Service.

Tant que les données ne sont pas encore anonymisées (par exemple en phase de préparation), le traitement repose sur l’intérêt légitime d’amélioration du Service.

6. Qui a accès à vos données ?

Dans le cadre de la fourniture du Service, le Responsable de traitement peut être amené à faire appel à des prestataires techniques agissant en qualité de sous-traitants au sens de l’article 28 du RGPD. Ces derniers traitent les données personnelles uniquement sur instruction documentée et dans le respect des obligations légales applicables.

6.1 Hébergement et infrastructure

OVH SAS
Hébergement du site et de la webapp
Localisation : France (Union européenne)
Base légale : exécution du contrat (article 6, §1, b) RGPD

Supabase Inc.
Hébergement de la base de données, gestion des données applicatives et outils d’analyse interne
Localisation : Stockholm (Union européenne)
Garanties : clauses contractuelles types (décision 2021/914)
Base légale : exécution du contrat (article 6, §1, b) RGPD

Les mesures d’audience sont réalisées exclusivement en interne via Supabase. Aucun outil tiers de type Google Analytics n’est utilisé.

6.2 Paiement

Stripe Inc.
Gestion des paiements (création de sessions de paiement, traitement des transactions, webhooks)
Localisation : États-Unis
Garanties : participation au EU-US Data Privacy Framework et clauses contractuelles types
Base légale : exécution du contrat (article 6, §1, b) RGPD

6.3 Notifications et communications

Google Ireland Ltd / Google LLC (Firebase Cloud Messaging)
Envoi de notifications push
Localisation : Union européenne / États-Unis
Garanties : participation au EU-US Data Privacy Framework et clauses contractuelles types
Base légale : exécution du contrat (article 6, §1, b) RGPD — les notifications push constituent une fonctionnalité inhérente au Service souscrit.

Brevo SAS
Envoi d’e-mails transactionnels
Localisation : France (Union européenne)
Base légale : exécution du contrat (article 6, §1, b) RGPD

6.4 Fonctionnalités intelligentes (chatbot)

Google LLC (Gemini API)
Fourniture du chatbot et génération de réponses automatisées
Localisation : États-Unis
Garanties : participation au EU-US Data Privacy Framework et clauses contractuelles types
Base légale : exécution du contrat (article 6, §1, b) RGPD

Les données transmises sont strictement limitées à celles nécessaires au traitement de la demande. Les données de ressenti ne sont jamais transmises à l’API Gemini. Seules des données génériques (type de séance, question générale sur la course) transitent.

6.5 Intégrations tierces

Garmin Ltd
Synchronisation des séances sportives
Localisation : Suisse et/ou Union européenne
Base légale : consentement (article 6, §1, a) RGPD)

7. Localisation et transferts

Les données sont principalement hébergées au sein de l’Union européenne.

Lorsque certains de nos prestataires impliquent un transfert de données en dehors de l’Union européenne, nous veillons à ce qu’un mécanisme de protection approprié soit mis en place, conformément aux articles 44 et suivants du RGPD.

En particulier :

  • Supabase Inc. (États-Unis) : le transfert est encadré par les clauses contractuelles types (CCT) adoptées par la Commission européenne (décision d’exécution (UE) 2021/914). Un accord de sous-traitance (DPA) conforme à l’article 28 du RGPD est en place.
  • Stripe Inc. (États-Unis) : le transfert est encadré par la participation au EU-US Data Privacy Framework, ainsi que par des clauses contractuelles types (CCT), le cas échéant.
  • Google LLC (États-Unis – Firebase Cloud Messaging, Gemini API) : le transfert est encadré par la participation au EU-US Data Privacy Framework, ainsi que par des clauses contractuelles types (CCT), le cas échéant.

L’Utilisateur peut obtenir une copie des garanties mises en place en contactant : contact@backonrunning.com.

8. Durées de conservation

Les données personnelles sont conservées pour la durée strictement nécessaire aux finalités poursuivies, et conformément aux obligations légales applicables.

À l’issue, elles sont supprimées ou anonymisées.

À titre indicatif :

  • Données de compte : pendant la durée d’utilisation du Service
  • Données d’usage et séances : pendant l’utilisation puis jusqu’à 12 mois après la dernière activité, sauf obligation légale contraire
  • Logs techniques : conservés pendant une durée maximale de 12 mois à compter de leur collecte, conformément aux recommandations de la CNIL et aux obligations légales applicables en matière de sécurité informatique.
  • Données de compte après résiliation : supprimées ou anonymisées dans un délai de 30 jours suivant la clôture du compte, sauf obligation légale de conservation plus longue (ex. : données de facturation conservées 10 ans au titre des obligations comptables, conformément à l’art. L123-22 du Code de commerce).
  • Données de ressenti et séances : conservées pendant la durée d'utilisation active du Service, puis archivées 12 mois, puis supprimées.
  • Données anonymisées : conservées sans limitation liée au RGPD

9. Vos droits

Vous disposez des droits suivants :

  • Droit d’accès
  • Droit de rectification
  • Droit d’effacement
  • Droit à la limitation du traitement
  • Droit d’opposition (lorsque le traitement repose sur l’intérêt légitime)
  • Droit de retirer à tout moment votre consentement (notamment pour la connexion Garmin)
  • Droit à la portabilité, lorsque applicable

Pour exercer vos droits :

Vous pouvez également déposer une réclamation auprès de la CNIL : www.cnil.fr.

10. Sécurité des données

AGENCE EBP met en œuvre des mesures techniques et organisationnelles appropriées afin de protéger les données personnelles contre l’accès non autorisé, la perte, l’altération ou la divulgation.

Ces mesures comprennent notamment :

  • Hébergement sécurisé
  • Contrôle d’accès
  • Journalisation
  • Chiffrement des échanges
  • Sauvegardes et procédures internes

Malgré ces mesures, aucun système ne peut garantir une sécurité absolue.

11. Cookies et mécanismes de stockage

Le site www.backonrunning.com ainsi que la webapp app.backonrunning.com utilisent des cookies et des mécanismes de stockage local (localStorage, sessionStorage).

Conformément à l’article 82 de la loi Informatique et Libertés et aux recommandations de la CNIL, les traceurs utilisés sont détaillés ci-dessous.

11.1 Traceurs strictement nécessaires (exemptés de consentement)

Ces traceurs sont indispensables au fonctionnement technique du Service et ne nécessitent pas le consentement de l’Utilisateur.

Traceur Émetteur Finalité Durée
sb-*-auth-token (cookie) Supabase (first-party) Authentification et maintien de session Session / 7 jours
sidebar:state (cookie) Back On (first-party) Mémorisation de l’état de l’interface 7 jours
supabase.auth.token (localStorage) Supabase (first-party) Persistance de la session d’authentification Jusqu’à déconnexion
rememberMe (localStorage) Back On (first-party) Préférence de connexion persistante Jusqu’à déconnexion
backon_language (localStorage) Back On (first-party) Préférence de langue Indéterminée
garmin_* (localStorage) Back On (first-party) Contexte temporaire lors de la connexion Garmin (OAuth) Supprimé après utilisation

11.2 Mesure d’audience interne (exemptée de consentement)

Traceur Émetteur Finalité Durée
analytics_session_id (sessionStorage) Back On (first-party) Identifiant de session pour la mesure d’audience interne Session navigateur

Les données de mesure d’audience sont collectées et stockées exclusivement au sein de notre propre infrastructure (Supabase). Aucune donnée n’est transmise à un service tiers d’analyse.

Conformément aux recommandations de la CNIL relatives aux solutions de mesure d’audience exemptées de consentement, ce traceur ne nécessite pas de consentement préalable.

11.3 Cookies tiers

À la date de dernière mise à jour de la présente politique, aucun cookie tiers à finalité analytique ou publicitaire n’est déposé via le Service.

En cas d’évolution, cette section sera mise à jour et un mécanisme de recueil du consentement sera mis en place conformément à la réglementation applicable.

12. Mises à jour

Toute modification substantielle de la présente politique (nouvelle finalité, nouveau sous-traitant, changement de base légale, modification des droits) est notifiée à l’Utilisateur par e-mail au moins 30 jours avant son entrée en vigueur.

L’Utilisateur dispose de ce délai pour, le cas échéant, retirer son consentement ou exercer ses droits avant application des modifications.

Les corrections mineures (typographiques, clarifications sans impact sur les droits) sont mises à jour sans notification préalable.