Dernière modification : 14 juin 2026
La présente politique décrit comment keysessions.ai traite les données personnelles des utilisateurs qui accèdent à la webapp disponible via le site et les services associés et l'utilisent.
1. Responsable du traitement
Le Responsable du traitement est :
Ivan Sergheevich PotapovVia dei Malatesta 720146 Milan (MI), ItalieEmail : founders@keysessions.ai
Pour toute demande relative au traitement des données personnelles ou à l'exercice des droits GDPR, l'utilisateur peut contacter le Responsable du traitement à l'adresse email indiquée ci-dessus.
2. Champ d'application
La présente Politique de confidentialité s'applique au traitement des données personnelles effectué via keysessions.ai, y compris :
- la navigation sur le site et la webapp ;
- la création et la gestion du compte utilisateur ;
- l'authentification par magic link ;
- l'utilisation du service ;
- la gestion des paiements et des abonnements, le cas échéant ;
- la sécurité, la prévention des abus, du spam, des bots et des fraudes ;
- les communications opérationnelles et l'assistance ;
- le respect des obligations légales et la protection des droits du Responsable du traitement.
Cette Politique de confidentialité ne s'applique pas aux sites, services ou plateformes de tiers accessibles via des liens ou des intégrations externes, dont les traitements sont régis par leurs politiques de confidentialité respectives.
3. Catégories de données personnelles traitées
Selon l'utilisation du service, keysessions.ai peut traiter les catégories de données personnelles suivantes.
3.1 Données d'identification et de compte
- adresse email ;
- nom et prénom, lorsqu'ils sont requis ;
- identifiant de compte ;
- état du compte ;
- informations relatives à l'enregistrement, à l'accès et à la fermeture du compte.
3.2 Données d'authentification
L'accès au service s'effectue via un magic link envoyé à l'adresse email de l'utilisateur.
Le Responsable du traitement peut traiter :
- l'adresse email ;
- des jetons ou identifiants techniques temporaires ;
- la date et l'heure de la demande et de l'utilisation du magic link ;
- les logs techniques relatifs à l'authentification.
keysessions.ai ne requiert pas de mot de passe, sauf indication contraire au sein du service.
3.3 Données de facturation et de paiement
En cas de services payants, peuvent être traités :
- nom et prénom ou dénomination ;
- adresse de facturation ;
- ville, code postal, province, état et pays ;
- les données fiscales requises par la réglementation applicable ;
- les identifiants de paiement, client, transaction, plan ou abonnement ;
- l'état du paiement.
Les informations complètes de la carte de paiement ne sont pas traitées directement par le Responsable du traitement, mais par le prestataire externe du service de paiement.
3.4 Données techniques et d'utilisation
Pendant l'utilisation du service, peuvent être collectées automatiquement :
- l'adresse IP ;
- la date et l'heure des requêtes ;
- les URL ou chemins visités ;
- la méthode de la requête ;
- le code de statut de la réponse ;
- des informations sur le navigateur, le système d'exploitation et l'appareil ;
- des données techniques relatives aux sessions, aux erreurs, à la sécurité et aux performances ;
- les logs de système et de maintenance.
3.5 Données contenues dans les communications
Lorsque l'utilisateur contacte le Responsable du traitement, peuvent être traités :
- l'adresse email ;
- le contenu de la communication ;
- les pièces jointes ou informations fournies volontairement par l'utilisateur ;
- les métadonnées techniques de la communication.
3.6 Données d'entraînement et de profil sportif
Le service permet à l'utilisateur de saisir, générer et enregistrer des données relatives à son profil sportif et à son activité d'entraînement. En particulier, le Responsable du traitement peut traiter :
- l'âge, le poids et la taille de l'athlète ;
- le FTP (Functional Threshold Power) et la date du dernier test FTP ;
- le niveau de l'athlète et les heures hebdomadaires d'entraînement disponibles ;
- la configuration du vélo (discipline, setup) ;
- les mésocycles d'entraînement générés par la plateforme (phase de la saison, objectif physiologique, trajectoire de charge, courbe de progression) ;
- les séances d'entraînement quotidiennes (cibles de puissance, cadence, durée, zones d'intensité) ;
- les données d'exécution des séances (puissance effective, durée, TSS, RPE, notes et retours de l'athlète) ;
- l'état de readiness et les paramètres de récupération ;
- les séances de renforcement en salle et leur impact systémique ;
- les interactions avec le coach IA (briefings, analyses de séances, questions et réponses) ;
- les données de localisation de l'athlète, utilisées exclusivement pour l'intégration météo aux fins de la contextualisation de l'entraînement.
Ces données peuvent inclure des informations relatives à la santé, à la condition physique ou à des paramètres physiologiques de l'utilisateur. Le traitement est effectué sur la base de l'exécution du contrat pour la fourniture du service demandé au sens de l'Art. 6(1)(b) GDPR et, lorsque les données relèvent des catégories particulières de données, sur la base du consentement explicite de l'utilisateur au sens de l'Art. 9(2)(a) GDPR.
Le défaut de fourniture ou le retrait du consentement explicite au traitement de ces données peut empêcher le Responsable du traitement de fournir les fonctionnalités principales du service, y compris la génération des plans d'entraînement, l'adaptation du plan et les analyses du coach IA.
4. Finalités, bases légales et conservation
Le Responsable du traitement traite les données personnelles pour les finalités indiquées dans le tableau suivant.
| Finalité | Données traitées | Base légale GDPR | Conservation indicative |
|---|---|---|---|
| Création et gestion du compte | email, identifiants de compte, données de profil | exécution du contrat ou mesures précontractuelles, Art. 6(1)(b) GDPR | jusqu'à la fermeture du compte ; ensuite pour le temps nécessaire aux sauvegardes, à la sécurité, aux obligations légales ou à la défense de droits |
| Accès par magic link | email, jetons temporaires, logs d'authentification | exécution du contrat, Art. 6(1)(b) GDPR ; sécurité du service, Art. 6(1)(f) GDPR | jetons pour le temps techniquement nécessaire ; logs d'authentification pour une période limitée, indicativement jusqu'à 90 jours, sauf besoins de sécurité |
| Fourniture de la webapp et des fonctionnalités demandées | données de compte, données techniques, données d'entraînement et de profil sportif | exécution du contrat, Art. 6(1)(b) GDPR ; pour les données relatives à la santé, consentement explicite Art. 9(2)(a) GDPR | pour la durée du compte ou de la relation contractuelle ; les contenus selon les paramètres du service et la demande de l'utilisateur |
| Paiements, abonnements et facturation | données de facturation, identifiants de paiement, état du paiement | exécution du contrat, Art. 6(1)(b) GDPR ; obligation légale, Art. 6(1)(c) GDPR | pour la durée nécessaire à la gestion de la relation et, pour les documents comptables/fiscaux, 10 ans à compter de la clôture de l'exercice comptable de référence |
| Assistance et réponses aux demandes | données de contact, contenu des communications | exécution du contrat ou mesures précontractuelles, Art. 6(1)(b) GDPR ; intérêt légitime, Art. 6(1)(f) GDPR | indicativement jusqu'à 24 mois à compter de la clôture de la demande, sauf nécessité de conservation ultérieure |
| Sécurité, prévention des abus, du spam, des bots, des fraudes et des accès non autorisés | IP, logs techniques, données de l'appareil, données d'utilisation | intérêt légitime du Responsable du traitement, Art. 6(1)(f) GDPR | indicativement de 30 à 180 jours, sauf incidents, enquêtes, litiges ou obligations légales |
| Hébergement, infrastructure backend, distribution du trafic et maintenance | données techniques, données de compte, contenus nécessaires à la fourniture du service | exécution du contrat, Art. 6(1)(b) GDPR ; intérêt légitime, Art. 6(1)(f) GDPR | pour le temps nécessaire à la fourniture du service et selon les cycles de sauvegarde et de maintenance |
| Respect des obligations légales | données nécessaires au respect des obligations | obligation légale, Art. 6(1)(c) GDPR | pour les délais prévus par la réglementation applicable |
| Défense, constatation ou exercice de droits | données de compte, logs, communications, données de paiement | intérêt légitime, Art. 6(1)(f) GDPR | pour le temps nécessaire à la gestion du litige et selon les délais de prescription applicables |
| Communications opérationnelles sur le service | email, données de compte | exécution du contrat, Art. 6(1)(b) GDPR ; intérêt légitime, Art. 6(1)(f) GDPR | pour la durée du compte ou tant que la communication est nécessaire |
| Contextualisation météo de l'entraînement | localisation indiquée par l'utilisateur ou obtenue via les fonctions de l'appareil, lorsqu'elle est autorisée ; données météo associées | exécution du contrat, Art. 6(1)(b) GDPR ; lorsque le navigateur/l'appareil l'exige, consentement de l'utilisateur à l'accès à la localisation | pour le temps nécessaire à générer ou mettre à jour le plan/la séance ; sauf autre nécessité, pas au-delà de la durée du compte |
keysessions.ai utilise, lorsque cela est possible, une localisation approximative ou indiquée manuellement par l'utilisateur, en évitant la collecte de données de position précise lorsqu'elles ne sont pas nécessaires.
Le Responsable du traitement n'utilise pas les données à des fins de marketing, de profilage publicitaire ou d'envoi de communications promotionnelles, sauf si cela est introduit à l'avenir avec une information mise à jour et, le cas échéant, le consentement de l'utilisateur.
4-bis. Profilage sportif, adaptation du plan et fonctionnalités d'IA
keysessions.ai utilise les données fournies par l'utilisateur et les données générées pendant l'utilisation du service pour créer des profils sportifs, générer des plans d'entraînement, adapter les mésocycles, évaluer l'exécution des séances et fournir des analyses via le coach IA.
Ces traitements ont pour seule finalité la fourniture du service demandé par l'utilisateur et ne sont pas utilisés à des fins de marketing, de publicité comportementale ou de scoring commercial.
Le service peut produire des recommandations automatisées relatives à l'entraînement, mais ces recommandations ne constituent pas des décisions ayant des effets juridiques sur l'utilisateur. L'utilisateur reste responsable d'évaluer de manière critique les indications reçues et d'interrompre l'activité physique ou de consulter un professionnel qualifié en cas de doutes, de symptômes ou de conditions médicales.
Le Responsable du traitement n'utilise pas les données de l'utilisateur pour entraîner des modèles d'IA généraux de tiers, sauf consentement de l'utilisateur ou autre base légale indiquée dans la présente Politique de confidentialité.
5. Caractère obligatoire ou facultatif de la fourniture
La fourniture des données nécessaires à l'enregistrement, à l'authentification, à la fourniture du service et à la gestion des paiements est nécessaire pour utiliser keysessions.ai.
Le défaut de fourniture de ces données peut rendre impossible la création d'un compte, l'accès à la webapp ou l'utilisation de fonctionnalités spécifiques.
La fourniture de données supplémentaires, lorsqu'elles sont demandées à titre facultatif, est libre et ne porte pas atteinte à l'utilisation du service, sauf si ces données sont nécessaires à une fonctionnalité spécifique demandée par l'utilisateur.
6. Modalités du traitement
Le traitement est effectué à l'aide d'outils informatiques et télématiques, selon des logiques cohérentes avec les finalités indiquées dans la présente politique.
Le Responsable du traitement adopte des mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre tout accès non autorisé, divulgation, modification, perte ou destruction, en tenant compte de la nature des données, du contexte, des finalités du traitement et des risques pour les personnes concernées.
L'accès aux données est limité aux personnes autorisées par le Responsable du traitement et aux prestataires qui traitent des données personnelles pour le compte du Responsable du traitement ou en tant que responsables autonomes, selon leur rôle respectif.
7. Prestataires, destinataires et sous-traitants
Pour fournir le service, keysessions.ai utilise des prestataires techniques et commerciaux. Ces personnes peuvent agir, selon le cas, en tant que sous-traitants, sous-traitants ultérieurs, responsables autonomes ou responsables distincts.
| Prestataire | Service | Données potentiellement traitées | Rôle en matière de confidentialité | Pays / zone de traitement |
|---|---|---|---|---|
| Vercel Inc. | hébergement et infrastructure frontend/backend | données techniques, IP, logs, données nécessaires à la fourniture du service | sous-traitant au sens du DPA Vercel | États-Unis / infrastructure mondiale ; adhérent au EU-US Data Privacy Framework |
| Neon | base de données PostgreSQL managée | données de compte, données applicatives, données d'entraînement et de profil sportif | sous-traitant au sens du DPA Neon | Région UE : Francfort, Allemagne (aws-eu-central-1). |
| Cloudflare, Inc. | CDN, sécurité, optimisation du trafic, protection contre les bots | IP, logs techniques, données de l'appareil, données de sécurité | sous-traitant pour le CDN et la sécurité ; responsable autonome pour les activités de protection contre les bots et les abus comme indiqué dans le DPA Cloudflare | États-Unis / infrastructure mondiale ; adhérent au EU-US Data Privacy Framework |
| Stripe | paiements, abonnements, gestion des transactions | données de paiement, données de facturation, identifiants de transaction | responsable autonome pour les activités de traitement des paiements ; sous-traitant pour les activités déléguées comme indiqué dans le DPA Stripe | États-Unis / infrastructure mondiale ; adhérent au EU-US Data Privacy Framework |
| Resend | envoi d'emails transactionnels et de magic links | email, métadonnées d'envoi, contenu des emails transactionnels | sous-traitant au sens du DPA Resend | États-Unis / adhérent au EU-US Data Privacy Framework |
Le Responsable du traitement peut également communiquer des données personnelles à :
- des conseils juridiques, fiscaux, comptables ou techniques ;
- des autorités publiques, judiciaires ou administratives, lorsque la loi l'exige ;
- des personnes impliquées dans des opérations sociétaires ou organisationnelles, dans les limites permises par la loi ;
- des prestataires de sécurité, de maintenance, d'assistance technique et d'infrastructure.
Le Responsable du traitement maintient, lorsque cela est nécessaire, des accords de désignation de sous-traitant au sens de l'Art. 28 GDPR ou d'autres accords de confidentialité applicables.
8. Transferts de données hors de l'Espace économique européen
Certains prestataires utilisés par keysessions.ai ont leur siège ou des infrastructures hors de l'Espace économique européen, en particulier aux États-Unis.
Lorsque cela implique un transfert de données personnelles vers des pays tiers, le Responsable du traitement adopte l'un des instruments prévus par le GDPR, dont, le cas échéant :
- des décisions d'adéquation de la Commission européenne ;
- l'adhésion valide du prestataire au EU-US Data Privacy Framework (DPF), lorsqu'elle est disponible — Vercel, Cloudflare, Stripe et Resend sont adhérents au EU-US Data Privacy Framework au moment de la rédaction de la présente politique ;
- des Clauses contractuelles types (SCC) approuvées par la Commission européenne, incluses dans les DPA des prestataires ;
- des mesures supplémentaires techniques, contractuelles et organisationnelles, lorsqu'elles sont nécessaires ;
- d'autres garanties ou dérogations prévues par le Chapitre V du GDPR, dans les cas autorisés.
En ce qui concerne la base de données (Neon), la base de données principale est configurée dans une région située au sein de l'Espace économique européen, actuellement Francfort, Allemagne (aws-eu-central-1), afin de limiter les transferts hors EEE des données applicatives principales.
L'utilisateur peut demander des informations supplémentaires sur les transferts en écrivant au Responsable du traitement.
9. Cookies et technologies similaires
keysessions.ai utilise exclusivement des cookies et des technologies similaires strictement nécessaires au fonctionnement du service.
En particulier, sont utilisés :
- cookies de session (Auth.js), nécessaires pour maintenir la session et permettre l'authentification de l'utilisateur ;
- cookie de préférence de langue (ksn-locale), nécessaire pour mémoriser le choix linguistique de l'utilisateur parmi les langues disponibles (anglais, italien, espagnol, français) ;
- cookies techniques de Cloudflare (par exemple __cf_bm), nécessaires au fonctionnement du service de protection contre les bots et le trafic malveillant.
Aucun cookie de profilage, de suivi publicitaire ou de marketing n'est utilisé.
Pour les cookies techniques strictement nécessaires, le consentement préalable n'est pas requis, mais l'utilisateur peut les gérer via les paramètres du navigateur. La désactivation des cookies techniques peut empêcher le bon fonctionnement de la webapp.
10. Données de tiers saisies par l'utilisateur
L'utilisateur ne doit pas saisir, téléverser ou partager des données personnelles de tiers via keysessions.ai sauf s'il dispose d'une base légale appropriée et a fourni les informations requises par la réglementation applicable.
L'utilisateur reste responsable des données personnelles de tiers qu'il décide de saisir ou de traiter via le service.
11. Données particulières et données des mineurs
keysessions.ai traite des données relatives à la condition physique et aux performances sportives de l'utilisateur, y compris le poids, la puissance, les paramètres physiologiques, les données d'entraînement, la readiness, la récupération, les notes et les retours de l'athlète. Ces données peuvent relever des données relatives à la santé au sens de l'Art. 9 GDPR.
Pour ces données, le traitement repose sur l'exécution du contrat au sens de l'Art. 6(1)(b) GDPR, en tant que nécessaire pour fournir le service demandé par l'utilisateur, et sur le consentement explicite de l'utilisateur au sens de l'Art. 9(2)(a) GDPR, lorsque les données traitées relèvent des catégories particulières de données.
L'utilisateur peut retirer son consentement explicite à tout moment en contactant le Responsable du traitement ou, lorsque cela est disponible, via les paramètres du compte.
Le service n'est pas destiné aux personnes de moins de 18 ans. Si le Responsable du traitement a connaissance de données personnelles traitées en violation de cette limite, il adoptera des mesures raisonnables pour les supprimer ou en limiter le traitement.
12. Droits de l'utilisateur
L'utilisateur, dans les limites et aux conditions prévues par le GDPR, a le droit de :
- obtenir la confirmation qu'un traitement de données personnelles le concernant est ou non en cours ;
- accéder à ses données personnelles ;
- obtenir la rectification des données inexactes ou le complément des données incomplètes ;
- obtenir l'effacement des données personnelles ;
- obtenir la limitation du traitement ;
- s'opposer au traitement fondé sur l'intérêt légitime ;
- recevoir les données dans un format structuré, couramment utilisé et lisible par machine, le cas échéant ;
- demander la transmission des données à un autre responsable, lorsque cela est techniquement faisable et applicable ;
- retirer son consentement, lorsque le traitement repose sur le consentement ;
- introduire une réclamation auprès d'une autorité de contrôle compétente.
En Italie, l'autorité de contrôle compétente est le Garante per la protezione dei dati personali.
13. Comment exercer ses droits
Les demandes relatives aux droits en matière de confidentialité peuvent être envoyées à :
Le Responsable du traitement répondra sans retard injustifié et, en tout état de cause, dans un délai d'un mois à compter de la réception de la demande, sauf prorogation dans les cas prévus par le GDPR.
Le Responsable du traitement peut demander des informations supplémentaires pour vérifier l'identité de l'utilisateur, dans le respect du principe de minimisation.
L'exercice des droits est gratuit, sauf demandes manifestement infondées, excessives ou répétitives, dans les cas prévus par la réglementation applicable.
14. Sécurité des données
Le Responsable du traitement adopte des mesures techniques et organisationnelles appropriées, dont, le cas échéant :
- le contrôle des accès ;
- l'authentification par liens temporaires ;
- l'utilisation de prestataires d'infrastructure dotés de mesures de sécurité documentées ;
- la protection contre les bots, le spam et le trafic malveillant ;
- le logging technique et la surveillance de sécurité ;
- les sauvegardes et les procédures de maintenance ;
- la limitation de l'accès aux données aux seules personnes autorisées.
Aucun système informatique ne peut être considéré comme absolument sûr. L'utilisateur doit adopter des mesures appropriées pour protéger son appareil, son adresse email et l'accès à son compte.
15. Violations de données personnelles
En cas de violation de données personnelles, le Responsable du traitement évaluera l'événement et, lorsque cela est nécessaire, effectuera les notifications à l'autorité de contrôle et aux personnes concernées conformément aux Articles 33 et 34 GDPR.
16. Modifications de la Politique de confidentialité
Le Responsable du traitement peut modifier la présente Politique de confidentialité pour refléter des changements réglementaires, techniques, organisationnels ou du service.
Les modifications seront publiées sur cette page avec l'indication de la date de dernière modification. Lorsque les modifications affectent de manière significative les droits des utilisateurs ou des traitements fondés sur le consentement, le Responsable du traitement fournira une communication adéquate et, le cas échéant, recueillera un nouveau consentement.
17. Définitions essentielles
Données personnelles : toute information concernant une personne physique identifiée ou identifiable.
Personne concernée : la personne physique à laquelle se rapportent les données personnelles.
Traitement : toute opération effectuée sur des données personnelles, telle que la collecte, l'enregistrement, la conservation, la consultation, l'utilisation, la communication, l'effacement ou la destruction.
Responsable du traitement : la personne qui détermine les finalités et les moyens du traitement.
Sous-traitant : la personne qui traite des données personnelles pour le compte du responsable du traitement.
Service : la webapp et les fonctionnalités proposées via keysessions.ai.
GDPR : Règlement (UE) 2016/679.