Légal
Politique de confidentialité
Version 1.0 — En vigueur à compter du 1er avril 2026
Built To Protect (ci-après "Deep", "nous" ou "la Société") attache une importance fondamentale à la protection de la vie privée et des données personnelles de ses utilisateurs.
La présente Politique de confidentialité décrit comment Deep collecte, utilise, conserve et protège vos données personnelles lorsque vous utilisez l'application mobile Deep et le site internet https://www.builtbydeep.com (ci-après collectivement "le Service").
Elle a été rédigée conformément au Règlement Général sur la Protection des Données (RGPD, Règlement UE 2016/679) et à la loi française Informatique et Libertés modifiée.
Article 1 — Responsable du traitement
Le responsable du traitement de vos données personnelles est :
Built To Protect
SAS au capital de 1 000 €
1651 Avenue de la Pompignane, 34000 MONTPELLIER, FRANCE
SIREN : 994 313 146
Contact : hello@builtbydeep.com
Article 2 — Principes fondamentaux
- Licéité, loyauté, transparence : traitées de manière transparente sur une base légale valide
- Limitation des finalités : collectées pour des finalités déterminées, explicites et légitimes
- Minimisation des données : seules les données strictement nécessaires sont collectées
- Exactitude : mesures raisonnables pour assurer l'exactitude
- Limitation de la conservation : pas conservées au-delà de la durée nécessaire
- Intégrité et confidentialité : protégées par des mesures de sécurité appropriées
- Responsabilité : Deep est en mesure de démontrer sa conformité au RGPD
Article 3 — Données collectées
3.1 Données de compte et d'identification
| Donnée | Finalité | Base légale |
|---|---|---|
| Adresse e-mail | Création et gestion de compte, communications | Exécution du contrat (Art. 6(1)(b) RGPD) |
| Mot de passe (hashé) | Sécurité du compte | Exécution du contrat |
| Prénom / Nom (si fourni) | Personnalisation | Exécution du contrat |
| Date de naissance / âge | Vérification de la majorité | Obligation légale (Art. 6(1)(c)) |
3.2 Données du profil sportif et de performance
| Donnée | Finalité | Base légale |
|---|---|---|
| Sports pratiqués, fréquence d'entraînement | Génération du programme personnalisé | Exécution du contrat |
| Niveau de performance, objectifs sportifs | Personnalisation du programme | Exécution du contrat |
| Auto-évaluation des facteurs limitants (donnée de performance sportive déclarée, non qualifiable en donnée de santé) | Identification des déséquilibres, personnalisation | Exécution du contrat |
| Résultats d'analyse de mouvement | Génération du profil et du programme | Exécution du contrat + Consentement |
| Historique d'entraînement et progression | Suivi des séances, amélioration du service | Intérêt légitime (Art. 6(1)(f)) |
3.3 Vidéos de test — Traitement 100 % local sur votre appareil
L'analyse vidéo est réalisée par un outil intégré à l'application, fonctionnant entièrement en local sur votre appareil. Deep n'a aucun accès à vos vidéos : elles ne quittent jamais votre appareil, ne sont pas transmises à nos serveurs ni à des tiers, et ne sont pas stockées dans un espace cloud de Deep.
Les résultats de l'analyse (profil de déséquilibres, programmes générés) sont des données de performance sportive conservées dans votre compte. Ils ne permettent pas de reconstituer votre vidéo.
Note technique : cette architecture « on-device » a été choisie délibérément pour maximiser votre vie privée. Deep n'est pas responsable du traitement de vos vidéos au sens du RGPD pour cette étape.
3.4 Données de paiement
Les données de paiement sont traitées directement par Apple (App Store), Google (Google Play) ou Stripe (site web) et ne sont jamais stockées par Deep. Seules les informations de facturation (montant, date, référence) sont conservées pour nos obligations légales.
3.5 Données de navigation et d'utilisation
| Donnée | Finalité | Base légale |
|---|---|---|
| Adresse IP | Sécurité, lutte contre la fraude | Intérêt légitime |
| Données de navigation (pages, durée) | Amélioration du Service, analytics | Consentement (cookies) ou Intérêt légitime |
| Informations sur l'appareil (modèle, OS, version app) | Débogage, compatibilité | Intérêt légitime |
| Identifiants publicitaires mobiles (IDFA/GAID) | Uniquement avec consentement ATT/opt-in | Consentement |
Article 4 — Durées de conservation
| Type de données | Durée |
|---|---|
| Données de compte actif | Durée d'utilisation + 3 ans après désactivation |
| Profil sportif et résultats d'analyse | Durée d'utilisation + 3 ans |
| Données de facturation | 10 ans (obligation légale comptable) |
| Logs de connexion | 12 mois (obligation légale) |
| Données de cookies (analytiques) | 13 mois maximum (recommandation CNIL) |
Article 5 — Destinataires de vos données
5.1 Personnel interne
Membres de l'équipe Deep ayant besoin d'y accéder dans le cadre de leurs fonctions.
5.2 Sous-traitants
| Prestataire | Pays | Finalité | Garanties |
|---|---|---|---|
| Google Ireland Limited (Firebase / GCP) | Irlande | Hébergement de l'application et des données | Clauses contractuelles types UE |
| Apple Inc. (App Store) | États-Unis | Distribution iOS et paiements in-app | Clauses contractuelles types |
| Google LLC (Google Play) | États-Unis | Distribution Android et paiements in-app | Clauses contractuelles types |
| Stripe | États-Unis | Paiements sur le site web | PCI-DSS, Clauses contractuelles types |
| PostHog (EU Cloud) | Allemagne | Analytics (app et site web) | Consentement / Clauses contractuelles types |
| Brevo (Sendinblue) | France | Envoi d'e-mails transactionnels | Clauses contractuelles types |
Liste complète disponible sur demande à hello@builtbydeep.com.
5.3 Transferts hors UE
Encadrés par des clauses contractuelles types approuvées par la Commission européenne ou des décisions d'adéquation.
5.4 Autorités compétentes
Nous pouvons communiquer vos données aux autorités compétentes (CNIL, autorités judiciaires) si la loi l'exige.
5.5 Pas de vente de données
Deep ne vend pas, ne loue pas et ne cède pas vos données personnelles à des tiers à des fins commerciales ou publicitaires.
Article 6 — Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Accès (Art. 15) : obtenir une copie de vos données
- Rectification (Art. 16) : corriger des données inexactes
- Effacement (Art. 17) : demander la suppression de vos données
- Limitation (Art. 18) : limiter le traitement dans certains cas
- Portabilité (Art. 20) : recevoir vos données dans un format structuré
- Opposition (Art. 21) : vous opposer aux traitements fondés sur l'intérêt légitime
- Retrait du consentement : pour les traitements fondés sur votre consentement
Pour exercer vos droits : hello@builtbydeep.com ou Built To Protect, À l'attention du référent protection des données, 1651 Avenue de la Pompignane, 34000 MONTPELLIER, FRANCE. Réponse sous 30 jours.
Vous pouvez également introduire une réclamation auprès de la CNIL — 3 Place de Fontenoy, 75334 PARIS CEDEX 07 — https://www.cnil.fr.
Article 7 — Sécurité des données
- Chiffrement des données en transit (TLS/HTTPS)
- Chiffrement des données sensibles au repos
- Accès restreint selon le principe du moindre privilège
- Authentification renforcée pour les systèmes internes
- Procédures de sauvegarde et de récupération
- Formation des collaborateurs à la protection des données
En cas de violation susceptible d'engendrer un risque, Deep notifie la CNIL dans les 72 heures.
Article 8 — Mineurs
Le Service est destiné aux personnes d'au moins 18 ans. Deep ne collecte pas sciemment de données de mineurs. Contact : hello@builtbydeep.com.
Article 9 — Cookies et traceurs
Pour le site web, des cookies peuvent être déposés. Consultez notre Politique de cookies. L'application mobile peut utiliser des identifiants techniques ; les utilisateurs iOS sont soumis au mécanisme ATT d'Apple.
Article 10 — Droits spécifiques hors Union Européenne
10.1 Utilisateurs en Californie — CCPA/CPRA
Cette section s'adresse aux résidents de Californie (États-Unis), conformément au CCPA tel qu'amendé par le CPRA (en vigueur depuis le 1er janvier 2023).
A. Catégories de données collectées
| Catégorie CCPA | Exemples chez Deep | Collectée |
|---|---|---|
| Identifiers | E-mail, identifiant de compte, IP, IDFA/GAID | Oui |
| Internet / network activity | Pages visitées, durée, interactions | Oui |
| Commercial information | Abonnement, historique de transactions | Oui |
| Inferences | Profil de déséquilibres, programme personnalisé | Oui |
| Sensitive Personal Information (SPI) | Auto-évaluation sportive avec références physiques | Oui — voir B |
| Photos / Videos | Vidéos de test de mouvement | Non collectées — local uniquement |
B. Informations personnelles sensibles (SPI)
Les réponses décrivant des facteurs physiques limitants peuvent être qualifiées de SPI au sens du CPRA. Deep les utilise uniquement pour personnaliser votre programme sportif. Vous pouvez limiter leur utilisation aux finalités strictement nécessaires au service.
C. Vos droits CCPA/CPRA
| Droit | Ce que cela signifie |
|---|---|
| Right to Know | Quelles données ont été collectées, utilisées ou partagées sur les 12 derniers mois |
| Right to Delete | Suppression de vos données (sous réserve d'exceptions légales) |
| Right to Correct | Correction de données inexactes |
| Right to Opt-Out of Sale/Sharing | Deep ne vend pas vos données. Opposition possible au partage analytique |
| Right to Limit Use of SPI | Limiter l'utilisation des SPI aux finalités strictement nécessaires |
| Right to Non-Discrimination | Aucune pénalité pour avoir exercé vos droits |
D. Do Not Sell or Share
Deep ne vend pas vos données. Pour vous opposer au partage analytique, écrivez à hello@builtbydeep.com — Objet : Do Not Share — California. Réponse sous 45 jours.
10.2 Utilisateurs au Canada
Les résidents canadiens bénéficient de droits en vertu de la LPRPDE. Contact : hello@builtbydeep.com.
Article 11 — Modifications
En cas de modification substantielle, nous vous informerons par e-mail et/ou notification dans l'application au moins 15 jours avant l'entrée en vigueur.
Article 12 — Contact
- Email : hello@builtbydeep.com
- Courrier : Built To Protect, À l'attention du Référent Protection des Données, 1651 Avenue de la Pompignane, 34000 MONTPELLIER, FRANCE
Dernière mise à jour : 1er avril 2026 — Built To Protect, SIREN 994 313 146