Hart.

Mentions

Politique de confidentialité

Quelles données Hart collecte sur vous, pourquoi, et comment exercer vos droits.

1. Responsable de traitement

Le responsable de traitement des données personnelles collectées via Hart est :

Pour les données des adhérents collectées par les box (planning, no-show, paiements, etc.), MAGNETIKS agit en sous-traitant au sens de l'article 28 du RGPD, chaque box restant responsable de traitement vis-à-vis de ses adhérents.

2. Données collectées

2.1 Pour les Owners (gérants de box)

  • Identité : prénom, nom, email professionnel
  • Box : nom commercial, ville, adresse, capacité, horaires
  • Authentification : mot de passe (hashé bcrypt cost 12)
  • Paiement : pour les Premium, données stockées chez Stripe (Hart ne stocke jamais de numéro CB)
  • Logs : actions admin, IPs anonymisées, timestamps

2.2 Pour les Adhérents

  • Identité : prénom, nom, email
  • Profil sportif (optionnel) : taille, poids, niveau
  • Historique de réservations, no-shows, PRs
  • Paiements à la box (via Stripe Connect, Hart ne stocke pas)
  • Wallet cashback (montant accumulé via marketplace)
  • Push subscription (opt-in) : endpoint navigateur + clés chiffrées

2.3 Pour les Partenaires marketplace

  • Raison sociale, contact, slug, logo
  • Webhook secret (HMAC SHA-256) pour authentifier les conversions

3. Finalités du traitement

  • Fourniture du service de réservation, gestion des box, marketplace (base juridique : exécution du contrat, art. 6.1.b RGPD)
  • Notifications transactionnelles (rappel J-1, paiement reçu, etc.) (base : intérêt légitime, art. 6.1.f)
  • Sécurité, prévention de la fraude, audit log (base : intérêt légitime + obligation légale, art. 6.1.f et 6.1.c)
  • Comptabilité et facturation (base : obligation légale, art. 6.1.c — conservation 10 ans)

4. Destinataires

Les données sont accessibles à :

  • L'équipe MAGNETIKS en tant qu'éditeur (nominal : Walter Walczak)
  • Le gérant de votre box (et coachs/managers autorisés) pour les données opérationnelles vous concernant
  • Stripe (Stripe Inc., USA / Stripe Payments Europe, Irlande) pour les paiements : politique Stripe
  • Scaleway (France) pour l'hébergement de l'infrastructure
  • Resend / Mailjet selon configuration de chaque box (envoi d'emails transactionnels) — chaque box paie son propre provider et garde le contrôle des destinataires de ses emails
  • Les autorités compétentes en cas de réquisition judiciaire

Aucune donnée n'est cédée, vendue ou louée à des tiers à des fins commerciales ou publicitaires.

5. Hébergement et localisation

Toutes les données Hart sont hébergées sur l'infrastructure Scaleway en France (datacenters Paris ou Amsterdam). Les sauvegardes quotidiennes sont conservées sur le même VPS (rétention 30 jours, voir Politique de sauvegarde technique).

Stripe peut traiter certaines données aux États-Unis, sous le cadre de l'accord-cadre EU-US Data Privacy Framework (Stripe Payments Europe Ltd. est l'entité de contrat pour les utilisateurs UE).

6. Durée de conservation

  • Comptes actifs : pendant toute la durée d'utilisation
  • Comptes supprimés (anonymisation RGPD) : identité supprimée, réservations conservées sans lien personnel pour les obligations comptables (10 ans)
  • Logs techniques : 12 mois
  • Audit log applicatif : 36 mois
  • Factures : 10 ans (obligation comptable Code de commerce)

7. Vos droits

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants :

  • Accès : obtenir copie de vos données. Pour les adhérents, accessible directement dans « Mon compte → Mes données → Exporter mes données » (export JSON immédiat).
  • Rectification : corriger des données inexactes (depuis votre profil ou par demande email).
  • Effacement : pour les owners, depuis leur compte (sous réserve de transférer la box). Pour les adhérents, uniquement via leur box (engagement contractuel) ou par demande écrite à contact@magnetiks-digital.com.
  • Portabilité : l'export JSON est conforme au format portable.
  • Opposition : aux notifications push (désactivation dans le profil).
  • Limitation du traitement : par demande écrite.
  • Réclamation CNIL : vous pouvez introduire une réclamation auprès de la CNIL si vous estimez que vos droits ne sont pas respectés (cnil.fr/fr/plaintes).

Pour exercer ces droits, contactez contact@magnetiks-digital.com en justifiant de votre identité. Réponse sous 30 jours maximum.

8. Sécurité

Mesures techniques en place :

  • HTTPS forcé sur tous les domaines (Let's Encrypt)
  • HSTS, CSP, X-Frame-Options DENY, nosniff
  • Mots de passe hashés bcrypt (cost 12) — jamais en clair
  • JWT signé HS256, expiration 60 minutes
  • Rate limiting global (auth bruteforce protection)
  • Sanitisation HTML stricte (allowlist) sur les contenus owner
  • Backups DB quotidiens 03:00 UTC, rétention 30 jours, vérif TOC intégrité
  • Logs d'accès et d'audit

9. Cookies et stockage

Voir la Politique cookies.

10. Évolution de cette politique

Cette politique peut être mise à jour. Toute évolution majeure sera notifiée par email aux owners et adhérents inscrits, au minimum 30 jours avant prise d'effet.

11. Contact

Délégué à la protection des données / questions RGPD : contact@magnetiks-digital.com

Dernière mise à jour : 30 avril 2026 · SASU MAGNETIKS