← Retour

Politique de Confidentialité — Tribu

Version : privacy_v2_2026_04 Dernière mise à jour : 12 avril 2026 Langue de référence : Français

Préambule

La présente Politique de Confidentialité décrit la manière dont Tribu collecte, utilise, stocke et protège les données personnelles des Utilisateurs de sa plateforme, conformément au Règlement Général sur la Protection des Données (RGPD) UE 2016/679 et à la Loi Informatique et Libertés du 6 janvier 1978 modifiée.

Elle complète les Conditions Générales d'Utilisation et fait partie intégrante de l'accord entre toi et Tribu.

Article 1 — Responsable du traitement

Le responsable du traitement de tes données personnelles est :

Morgan Morisse exerçant sous la dénomination commerciale Tribu

  • Statut : Entrepreneur individuel (micro-entreprise)
  • SIRET : 844 026 930 00025
  • Siège social : 3 Place de la Gare, 77680 Roissy-en-Brie, France
  • Email de contact RGPD : contact@tribu.fi

Compte tenu de la taille actuelle de Tribu (moins de 250 utilisateurs actifs) et de l'absence de traitement à grande échelle de données sensibles au sens de l'article 37 du RGPD, la désignation d'un Délégué à la Protection des Données (DPO) n'est pas obligatoire. Toutes les demandes RGPD doivent être adressées directement au responsable du traitement à contact@tribu.fi.

Article 2 — Données collectées

2.1 — Données que tu nous fournis directement

Lors de ton inscription et de ton utilisation de la Plateforme, nous collectons les données que tu nous fournis :

Identification et compte :

  • Nom, prénom, pseudo
  • Email
  • Mot de passe (stocké de manière chiffrée via bcrypt côté Supabase, jamais lisible par Tribu)
  • Date de naissance (pour vérifier l'âge minimum 16 ans)
  • Photo de profil, photo de couverture
  • Genre (optionnel, pour le calcul du métabolisme de base et la personnalisation)
  • Localisation générale (ville/région, optionnelle)
  • Langue préférée (FR/EN)

Données fitness et santé :

  • Poids et historique de pesées
  • Mensurations (tour de taille, hanches, bras, jambes)
  • Photos de progression (optionnelles)
  • Exercices effectués, charges, séries, répétitions
  • Programmes d'entraînement personnalisés
  • Bilans physiques hebdomadaires (mood, fatigue, sommeil, notes libres)
  • Objectifs personnels (perte de poids, prise de muscle, etc.)

Données nutritionnelles :

  • Repas consommés, calories, macronutriments
  • Hydratation quotidienne
  • Suppléments pris
  • Recettes créées, listes de courses

Données sociales :

  • Amis, demandes d'amitié
  • Posts du feed, commentaires, réactions
  • Messages privés avec d'autres Utilisateurs ou Coachs
  • Tribus créées ou rejointes
  • Check-ins dans les salles de sport

Données coach (si tu es Coach) :

  • Bio, spécialités, certifications, années d'expérience
  • Tarif horaire, langues parlées, modes (en ligne / présentiel)
  • Code coach personnalisé
  • Identifiant Stripe Connect (acct_xxx)
  • Clients externes importés

Données de paiement (si tu achètes une offre ou es Coach) :

  • Historique des offres envoyées/reçues, payées/remboursées
  • Montants, dates, statuts
  • Les informations de carte bancaire ne sont jamais stockées par Tribu — elles sont exclusivement gérées par Stripe, conforme PCI-DSS

2.2 — Données collectées automatiquement

Données techniques :

  • Adresse IP (pour l'authentification, la détection de fraude, les logs LCEN)
  • Type d'appareil (iPhone, Android, navigateur web)
  • Version de l'app, version du système d'exploitation
  • Identifiant d'installation Expo (pour les EAS updates)
  • Horodatages de connexion et d'activité

Données de géolocalisation (uniquement avec ton consentement explicite) :

  • Position GPS lors du tracking de course (run_sessions)
  • Position à l'ouverture de la carte des salles de sport
  • Ces données ne sont pas partagées avec des tiers, sauf sous-traitants techniques nécessaires

2.3 — Données que tu ne nous fournis pas

Tribu ne collecte pas :

  • Ton numéro de téléphone (sauf si tu le fournis volontairement comme méthode de contact d'un client externe)
  • Ton numéro de sécurité sociale
  • Tes données bancaires (IBAN, RIB) — gérées par Stripe uniquement
  • Tes contacts téléphoniques
  • L'historique de navigation hors Tribu
  • Les données biométriques (empreinte digitale, FaceID) — ces données restent sur ton appareil, Tribu ne les reçoit pas

Données Apple Santé (HealthKit)

Sur iOS, Tribu propose une synchronisation optionnelle avec Apple Santé (HealthKit) pour éviter que tu aies à ressaisir manuellement tes données d'entraînement et de santé. Cette synchronisation est soumise à ton consentement explicite au sens de l'article 9.2.a du RGPD, recueilli via la boîte de dialogue native iOS lors de la première activation.

Données que Tribu LIT depuis HealthKit

Avec ton accord, Tribu peut lire les données suivantes depuis HealthKit :

  • Heart Rate (fréquence cardiaque) — utilisée pour afficher ton rythme pendant et après une séance
  • Body Mass (poids) — pour alimenter automatiquement ton historique de pesées
  • Sleep Analysis (analyse du sommeil) — pour enrichir tes bilans physiques hebdomadaires
  • Workouts (séances) — pour importer des entraînements effectués dans d'autres apps (Fitness Apple, Strava, etc.)
  • Steps (pas quotidiens) — pour calculer ta dépense énergétique réelle
  • Active Energy (énergie active) — pour affiner le calcul calorique journalier

Données que Tribu ÉCRIT dans HealthKit

Si tu l'autorises, Tribu peut écrire les données suivantes dans HealthKit pour que tes autres apps santé y aient accès :

  • Workouts (séances réalisées dans Tribu) — optionnel
  • Body Mass (pesées saisies dans Tribu) — optionnel

Où sont stockées ces données ?

Toutes les données lues depuis HealthKit ou écrites via Tribu sont stockées exclusivement sur nos serveurs Supabase situés dans l'Union européenne (région Francfort, Allemagne). Aucun transfert hors UE n'est effectué pour ces données.

Qui y a accès ?

  • Toi en priorité, via ton compte Tribu
  • Les coachs que tu as explicitement autorisés (via acceptation d'une offre de coaching ou via ton code coach), uniquement pour les données nécessaires à ton suivi
  • Aucun autre utilisateur, aucun sous-traitant autre que Supabase (hébergeur)

Usages interdits

Conformément à la politique Apple HealthKit (Developer Program License Agreement § 3.3.9 et HealthKit Terms) et à l'article 9 du RGPD, les données HealthKit NE SONT JAMAIS :

  • Utilisées à des fins de publicité, marketing, retargeting ou remarketing
  • Vendues, louées ou cédées à des tiers
  • Utilisées pour profiler des groupes de consommateurs à des fins commerciales
  • Partagées avec des régies publicitaires, brokers de données ou agrégateurs tiers

Droit de révocation

Tu peux révoquer ton consentement à tout moment, sans justification, de deux manières :

  • Dans Tribu : Réglages → Intégrations → Apple Santé → Désactiver
  • Directement dans iOS : Réglages iOS → Confidentialité et sécurité → Santé → Tribu → désactiver les autorisations (lecture et/ou écriture, individuellement)

La révocation est immédiate : Tribu cesse aussitôt toute lecture/écriture depuis/vers HealthKit. Les données déjà synchronisées et stockées sur nos serveurs peuvent être supprimées en exerçant ton droit à l'effacement (RGPD art. 17) — voir Article 6.

Article 3 — Finalités et bases légales du traitement

Nous traitons tes données pour les finalités suivantes, chacune associée à une base légale au sens du RGPD :

3.1 — Fourniture du service (base légale : exécution du contrat — art. 6.1.b)

  • Création et gestion de ton compte
  • Authentification et sécurité de la connexion
  • Suivi de tes entraînements, nutrition, bilans
  • Mise en relation avec des Coachs via la marketplace
  • Traitement des paiements via Stripe Connect
  • Envoi d'emails transactionnels (confirmation de paiement, notifications de coaching, invitations)

3.2 — Fonctionnalités sociales et communautaires (base légale : consentement — art. 6.1.a)

  • Publication de posts dans le feed
  • Partage avec tes amis
  • Apparition dans les classements et leaderboards
  • Fonction tribus et chat de groupe

Tu peux retirer ton consentement à tout moment en désactivant ces fonctions dans tes paramètres ou en supprimant ton compte.

3.3 — Dashboard business des Coachs (base légale : intérêt légitime du Coach — art. 6.1.f)

  • Calcul des revenus, commissions, clients actifs
  • Affichage des statistiques d'activité
  • Détection des clients à risque (14 jours sans bilan)

3.4 — Sécurité et lutte contre la fraude (base légale : intérêt légitime — art. 6.1.f)

  • Détection de comportements suspects (tentatives de contournement paiement, spam, fraude)
  • Conservation des logs techniques (LCEN — obligation légale)
  • Blocage automatique en cas d'activité anormale

3.5 — Obligations légales (base légale : obligation légale — art. 6.1.c)

  • Conservation des logs de connexion pour 12 mois minimum (LCEN art. 6-II)
  • Conservation des données de facturation pour 10 ans (Code de commerce L123-22)
  • Réponse aux réquisitions judiciaires

3.6 — Amélioration du service (base légale : intérêt légitime — art. 6.1.f)

  • Analyses statistiques anonymisées (nombre d'utilisateurs, fonctionnalités les plus utilisées)
  • Détection de bugs
  • Amélioration des performances

Tribu n'effectue aucun profilage publicitaire ni aucune prise de décision automatisée ayant un effet juridique sur toi.

Article 4 — Destinataires et sous-traitants

Tes données peuvent être communiquées aux destinataires suivants, strictement dans la limite nécessaire à l'exécution du service.

4.1 — En interne

  • Toi-même (tes propres données via ton profil)
  • Les Coachs avec lesquels tu choisis d'interagir (uniquement les données que tu leur partages volontairement : messages, bilans, mensurations si tu les leur autorises)
  • Tribu (Morgan Morisse) en tant que responsable de traitement, pour les besoins de modération, support et conformité légale

4.2 — Sous-traitants techniques

Nous utilisons les sous-traitants suivants, qui agissent exclusivement sur nos instructions et dans le respect du RGPD :

Sous-traitantRôleLocalisationGaranties RGPD
Supabase (Supabase Inc.)Base de données, authentification, stockage photosInfrastructure AWS eu-central-1 (Frankfurt, UE)DPA signé, Standard Contractual Clauses
Vercel (Vercel Inc.)Hébergement du site web app.tribu.fiUSA avec edge nodes EUClauses Contractuelles Types, Data Processing Addendum
Expo / EAS (Expo Inc.)Livraison des mises à jour de l'app mobileUSAClauses Contractuelles Types
Stripe (Stripe Payments Europe Ltd)Traitement des paiements, Stripe ConnectIrlande (UE)DPA signé, PCI-DSS Level 1, conformité RGPD Stripe
Resend (Resend Inc.)Envoi d'emails transactionnels (invitations)USAClauses Contractuelles Types, chiffrement TLS
Google (Google LLC)Authentification Google Sign-In (optionnelle)USAData Processing Framework (DPF)
SightengineModération automatique des images uploadéesFrance (UE)DPA signé
Gemini / Google AIGénération de plans nutritionnels IA (optionnel)USAClauses Contractuelles Types

Transfert hors UE : certains sous-traitants sont situés aux États-Unis. Tribu s'assure que chaque transfert est encadré par un mécanisme de transfert conforme au RGPD (Clauses Contractuelles Types de la Commission Européenne, adhésion au Data Privacy Framework EU-US).

4.3 — Pas de revente à des tiers

Tribu ne vend, ne loue, ni ne monétise en aucune façon tes données personnelles auprès de tiers commerciaux, annonceurs, data brokers ou courtiers en données.

4.4 — Autorités publiques

Tes données peuvent être communiquées aux autorités administratives ou judiciaires uniquement en cas de :

  • Réquisition judiciaire en bonne et due forme
  • Demande de la CNIL, DGCCRF, services fiscaux, URSSAF
  • Obligation de signalement (LCEN art. 6-I-5, contenus manifestement illicites)

Article 5 — Durée de conservation

Nous conservons tes données pour les durées minimales nécessaires aux finalités du traitement, puis les supprimons ou les archivons de manière anonyme :

Catégorie de donnéesDurée de conservation
Compte actifPendant toute la durée du compte + 30 jours après suppression (pour récupération éventuelle)
Données fitness / nutritionTant que tu utilises le service, supprimées 30 jours après fermeture du compte
Messages privésJusqu'à suppression manuelle ou fermeture du compte (30j)
Historique de paiements10 ans (obligation comptable — Code commerce L123-22)
Logs de connexion (IP, timestamps)12 mois (LCEN art. 6-II)
Acceptations CGU (legal_acceptances)5 ans après fermeture du compte (preuve de consentement)
Cookies techniquesJusqu'à expiration ou effacement par l'Utilisateur
Photos de profilSupprimées 30 jours après fermeture du compte
Données coach (Stripe Connect ID)10 ans (obligation comptable)
Avis laissés sur un coachConservés sur le profil du coach même après ta fermeture de compte (anonymisation du pseudo)

Après les durées ci-dessus, tes données sont soit supprimées définitivement, soit anonymisées (impossibilité de te ré-identifier) pour les besoins statistiques internes.

5.1 — Durées de conservation détaillées & bases légales

Le tableau ci-dessous précise, pour chaque catégorie, la base légale de la durée et la politique de suppression automatique :

Type de donnéeDuréeBase légale
Compte actifIndéfinie tant qu'actifExécution du contrat
Compte inactif 2 ansSuppression auto avec préavis 30jProportionnalité RGPD
Logs de connexion12 moisLCEN art. L34-1
Factures Stripe10 ansObligation comptable
DM / conversations5 ans après suppression comptePreuve litige
Photos progrèsSupprimées avec le compteProportionnalité
Backups Supabase30 joursStandard

5.2 — Purge automatique des comptes inactifs

Conformément au principe de proportionnalité et de minimisation (art. 5.1.c et 5.1.e RGPD), Tribu déclenche une purge automatique des comptes inutilisés :

  • Un scan mensuel identifie les comptes dont la dernière activité remonte à plus de 2 ans
  • Un email de préavis J-30 est envoyé à l'adresse enregistrée
  • Si aucune reconnexion n'intervient dans les 30 jours, le compte et les données associées sont supprimés définitivement (hors données soumises à obligation légale : comptabilité 10 ans, logs 12 mois)
  • Une simple reconnexion pendant la période de préavis réinitialise automatiquement le compteur d'inactivité

Les suppressions sont tracées dans un registre interne (account_deletions) avec mention du motif (reason = 'inactivity'), sans conservation des données personnelles de l'utilisateur supprimé.

Article 6 — Tes droits RGPD

Conformément aux articles 15 à 22 du RGPD, tu disposes des droits suivants sur tes données personnelles. Tous ces droits peuvent être exercés gratuitement en envoyant un email à contact@tribu.fi.

6.1 — Droit d'accès (art. 15)

Tu peux obtenir confirmation que tes données sont traitées et en obtenir une copie. Nous te fournirons un export dans un délai de 1 mois (prolongeable de 2 mois en cas de demande complexe).

6.2 — Droit de rectification (art. 16)

Tu peux corriger tes données inexactes ou incomplètes directement depuis ton profil, ou nous les demander par email.

6.3 — Droit à l'effacement / droit à l'oubli (art. 17)

Tu peux demander la suppression de tes données :

  • Directement en supprimant ton compte depuis les paramètres
  • Par email pour une suppression partielle ou en cas de difficulté technique

Exceptions : nous conservons certaines données malgré ta demande si leur conservation est nécessaire :

  • À l'exécution d'une obligation légale (comptabilité 10 ans, logs LCEN 12 mois)
  • À la constatation, l'exercice ou la défense de droits en justice
  • À l'intérêt public (obligations de signalement)

6.4 — Droit à la limitation du traitement (art. 18)

Tu peux demander que tes données ne soient plus traitées que pour leur conservation (suspension temporaire) en cas de contestation de leur exactitude, d'usage illicite, ou de procédure en cours.

6.5 — Droit à la portabilité (art. 20)

Tu peux demander la récupération de tes données dans un format structuré, couramment utilisé et lisible par machine (JSON ou CSV) pour les transférer à un autre service. Ce droit s'applique uniquement aux données que tu nous as fournies directement.

6.6 — Droit d'opposition (art. 21)

Tu peux t'opposer au traitement de tes données pour un motif tenant à ta situation particulière, notamment pour les traitements fondés sur l'intérêt légitime (analyses statistiques, sécurité).

6.7 — Droit de retirer ton consentement (art. 7.3)

Pour les traitements fondés sur ton consentement (fonctions sociales, communautés), tu peux retirer ton consentement à tout moment depuis les paramètres ou en nous contactant.

6.8 — Droit de ne pas faire l'objet d'une décision automatisée (art. 22)

Tribu n'effectue aucune décision automatisée ayant des effets juridiques à ton égard. Tu es systématiquement notifié(e) et peux contester toute mesure (suspension, blocage de paiement) prise par Tribu.

6.9 — Droit de plainte auprès de la CNIL

Si tu estimes, après nous avoir contactés, que tes droits ne sont pas respectés, tu as le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés :

CNIL 3 place de Fontenoy — TSA 80715 75334 PARIS CEDEX 07 Téléphone : +33 1 53 73 22 22 Site : www.cnil.fr/fr/plaintes

6.10 — Délais de réponse

Tribu s'engage à répondre à toute demande RGPD dans un délai maximum de 1 mois, prorogeable de 2 mois en cas de complexité avec information préalable.

Article 7 — Sécurité des données

Tribu met en œuvre des mesures techniques et organisationnelles pour protéger tes données contre l'accès non autorisé, la perte, la destruction ou l'altération :

7.1 — Mesures techniques

  • Chiffrement en transit : toutes les communications entre ton appareil et la Plateforme sont chiffrées en HTTPS/TLS 1.2+
  • Chiffrement au repos : les données stockées chez Supabase sont chiffrées AES-256 au niveau du disque
  • Mots de passe : stockés en bcrypt (jamais en clair)
  • Authentification : OAuth2, tokens JWT à durée limitée
  • Row Level Security (RLS) : chaque table de la base de données impose des règles d'accès au niveau ligne (un utilisateur ne peut lire que ses propres données)
  • Isolation des environnements : séparation stricte entre développement et production
  • Mises à jour de sécurité : suivies activement sur toutes les dépendances

7.2 — Mesures organisationnelles

  • Accès limité : seul le responsable du traitement (Morgan Morisse) a accès aux données d'administration de la base de données
  • Journalisation : toutes les actions d'administration sont tracées
  • Sauvegardes : sauvegardes automatiques quotidiennes de la base de données (rétention 7 jours par Supabase)
  • Modération : détection proactive des contenus inappropriés via Sightengine

7.3 — Notification en cas de violation

En cas de violation de données à caractère personnel susceptible d'engendrer un risque élevé pour tes droits et libertés, Tribu s'engage à :

  • Notifier la CNIL dans les 72 heures après avoir pris connaissance de la violation (art. 33 RGPD)
  • T'informer directement par email dans un délai raisonnable si la violation te concerne personnellement (art. 34 RGPD)
  • Prendre toutes les mesures correctives nécessaires (révocation de tokens, réinitialisation forcée des mots de passe, etc.)

Article 8 — Cookies et traceurs

La Plateforme utilise un nombre limité de cookies et traceurs :

8.1 — Cookies strictement nécessaires (exemptés de consentement)

  • Cookie de session : identifiant de connexion, durée de vie = session navigateur
  • Cookie de préférences : langue, thème, consentement cookies (durée 1 an)
  • Tokens d'authentification : stockés dans le localStorage ou sessionStorage de ton navigateur

Ces cookies sont indispensables au fonctionnement du service. Ils ne nécessitent pas ton consentement préalable.

8.2 — Cookies de mesure d'audience (soumis à consentement)

Tribu n'utilise actuellement aucun outil de mesure d'audience tiers (pas de Google Analytics, pas de Matomo, pas de Mixpanel). Cette politique peut évoluer, auquel cas tu seras consulté(e) préalablement via un bandeau de consentement conforme aux recommandations de la CNIL.

8.3 — Pas de cookies publicitaires

Tribu n'utilise aucun cookie publicitaire, aucun pixel de réseau social, aucun tracker de comportement pour de la publicité ciblée.

Article 9 — Mineurs

La Plateforme est ouverte aux personnes âgées d'au moins 16 ans, conformément à l'article 8 du RGPD pour la France.

Si tu es mineur(e) et si, malgré nos précautions, tu constates qu'un compte appartient à un enfant de moins de 16 ans, merci de nous le signaler immédiatement à contact@tribu.fi. Nous procéderons à la suppression du compte dans les meilleurs délais.

Les parents ou représentants légaux qui constateraient qu'un mineur sous leur autorité a créé un compte sans consentement peuvent nous écrire pour obtenir la suppression du compte et de toutes les données associées.

Article 10 — Transferts internationaux

Certaines de tes données peuvent être traitées aux États-Unis par nos sous-traitants (Vercel, Expo, Resend, Google), pays qui ne bénéficie pas d'une décision d'adéquation de la Commission européenne.

Ces transferts sont encadrés par :

  • Clauses Contractuelles Types (CCT) de la Commission européenne (décision 2021/914)
  • Data Privacy Framework (DPF) EU-US pour les sous-traitants certifiés (Google, Vercel, etc.)
  • Mesures supplémentaires : chiffrement en transit, pseudonymisation lorsque possible, minimisation des données transférées

Tu peux obtenir une copie des garanties en nous écrivant à contact@tribu.fi.

Article 11 — Modification de la politique

Tribu peut modifier la présente Politique de Confidentialité à tout moment pour refléter l'évolution du service, de la législation, ou de nos pratiques.

Toute modification substantielle (ajout d'un nouveau sous-traitant, changement de finalité, nouvelle catégorie de données collectées) sera notifiée :

  • Par email à l'adresse fournie lors de l'inscription
  • Par affichage d'un modal lors du prochain login
  • Avec un délai de 30 jours entre la notification et l'entrée en vigueur

Si tu refuses les modifications, tu dois cesser d'utiliser la Plateforme et supprimer ton compte.

Le numéro de version et la date de dernière mise à jour figurent en en-tête du présent document.

Article 12 — Contact

Pour toute question relative au traitement de tes données personnelles, à l'exercice de tes droits RGPD, ou pour un signalement de sécurité :

Email : contact@tribu.fi

Courrier postal : Morgan Morisse — Tribu 3 Place de la Gare 77680 Roissy-en-Brie France

Nous nous engageons à te répondre dans les meilleurs délais et au plus tard dans un délai d'1 mois.

Fin du document — Version privacy_v2_2026_04 — 12 avril 2026