← PowerQuest

Politique de confidentialité

Dernière mise à jour : 30 juin 2026 · Version 2.1 (iOS + Web)

PowerQuest (« l'Application », « le Service ») est une application de suivi d'entraînement disponible sur iOS et sur le web. Les deux versions partagent le même compte et la même base de données : cette politique couvre les deux.

1. Responsable du traitement

PowerQuest est édité par Fabien Duvacher (éditeur individuel), 5 rue Aimée Antignac, 35000 Rennes, France. Contact : powerquest.app@gmail.com.

Aucun délégué à la protection des données (DPO) n'est désigné, l'entreprise ne dépassant pas les seuils de l'Art. 37 RGPD. Pour toute demande relative à vos données, contactez-nous à l'adresse ci-dessus. Délai de réponse : 1 mois maximum (Art. 12(3) RGPD).

2. Données collectées

Lorsque vous utilisez PowerQuest, nous traitons :

  • Compte : adresse e-mail et identifiant du fournisseur d'identité. La connexion se fait via Apple (Sign in with Apple — un identifiant opaque unique, non lié à votre Apple ID) sur iOS, et via Google ou Apple sur le web.
  • Profil : pseudo, nom affiché, emoji ou photo d'avatar, bio, ville (optionnelle), réglages de visibilité.
  • Activité sportive : programmes, plannings, séances complétées, exercices personnalisés, séries/reps/poids, notes RPE.
  • Santé / activité (Art. 9 RGPD, si vous autorisez HealthKit sur iOS) : fréquence cardiaque, calories actives, distance, durée, pas, allure. Ces données sont lues via HealthKit et les métriques dérivées sont envoyées à nos serveurs (Supabase, France/UE) lors de la validation ou de l'import d'une séance, afin d'afficher votre activité et votre progression. Les données de santé ne sont jamais utilisées à des fins publicitaires, ni partagées avec des tiers à des fins de profilage ou de monétisation. Si vous choisissez de publier une séance dans le feed social, certaines statistiques que vous sélectionnez (durée, distance, calories) peuvent devenir visibles par les autres utilisateurs ; votre fréquence cardiaque n'est jamais publiée et reste visible uniquement par vous (et, le cas échéant, votre coach).
  • Localisation (GPS) : pendant une séance course/vélo que vous lancez, le GPS de l'appareil sert à calculer distance, allure et vitesse. La position est traitée uniquement sur votre appareil : aucune coordonnée ni tracé n'est stocké ni transmis — seule la distance agrégée (un nombre) est enregistrée avec votre séance.
  • Social (si profil public activé) : posts d'activité, commentaires, likes, programmes partagés, abonnements (follows) et relations d'amitié.
  • Photo de profil (facultative) : si vous choisissez d'ajouter une photo à la place de l'emoji, elle est affichée publiquement à côté de votre pseudo. L'image est stockée en remplacement de la précédente (aucun historique conservé) et ne fait l'objet d'aucun traitement de reconnaissance faciale ni biométrique. Vous pouvez la retirer à tout moment (retour à l'emoji), ce qui la supprime définitivement.
  • Modération : en cas de signalement (post, commentaire, message ou photo de profil / utilisateur), nous conservons votre identifiant, le contenu signalé et le motif, pour la durée nécessaire au traitement du litige.
  • Coach / athlète : relations coach↔athlète, programmes assignés, séances validées, messages privés coach↔athlète et notes/commentaires privés de séance (visibles uniquement par votre coach).
  • Synchronisation montre Garmin (si vous connectez une montre) : lorsque vous envoyez une séance ou un plan vers votre montre Garmin, les données transitent par l'application Garmin Connect Mobile installée sur votre appareil. Les résultats peuvent être réimportés dans PowerQuest.
  • Notifications : un token de notification push (Apple APNs) et un identifiant d'appareil sont enregistrés pour vous envoyer les alertes (likes, commentaires, amis, messages, séances), et un centre de notifications in-app conserve l'historique de ces alertes.
  • Publicité : en version gratuite, des publicités sont diffusées via Google AdMob (iOS) et Google AdSense (web). Sur iOS, AdMob peut collecter l'IDFA si vous avez accordé le suivi via le prompt « App Tracking Transparency ». Sur le web, des cookies publicitaires ne sont déposés qu'après votre consentement (voir notre Politique cookies). En cas de refus, des publicités non personnalisées (sans identifiant de ciblage) peuvent être affichées.
  • Données techniques : adresse IP, type d'appareil, version iOS/app, horodatages de connexion, journaux d'erreur et de performance (collectés par Sentry pour la détection de bugs), et stockage local (session, consentement publicitaire, état d'onboarding).

Nous ne vendons jamais vos données.

3. Finalités

  • Fournir le service (synchronisation, historique, récapitulatif de séance)
  • Mesurer distance, allure et vitesse d'une séance course/vélo via le GPS (traitement local)
  • Synchroniser vos séances/plans avec une montre Garmin (si vous la connectez)
  • Permettre le mode coach/athlète (attribution de séances, suivi, messagerie)
  • Modérer le contenu communautaire et prévenir les abus
  • Envoyer des notifications push (séances assignées par un coach, activité sociale)
  • Détecter les bugs et monitorer les performances (Sentry)
  • Diffuser des publicités contextuelles ou personnalisées en version gratuite
  • Répondre à vos demandes de support

4. Base légale (RGPD)

  • Exécution du contrat (Art. 6(1)(b)) : fourniture du service de base (programmes, séances, synchronisation), mesure GPS de distance/allure (fonctionnalité que vous déclenchez vous-même, traitement local), synchronisation montre Garmin.
  • Consentement (Art. 6(1)(a)) : publicité (ATT sur iOS, bandeau cookies sur le web), profil public et social (dont la photo de profil facultative, retirable à tout moment), coaching.
  • Données de santé HealthKit (Art. 9(2)(a)) : consentement explicite accordé lors de l'inscription via une case à cocher dédiée dans l'app, en plus du prompt iOS HealthKit (accès technique, distinct du consentement RGPD). Vous pouvez retirer ce consentement via Réglages iOS → Santé → Accès → PowerQuest ; pour supprimer les données déjà synchronisées, utilisez « Supprimer mon compte ».
  • Intérêt légitime (Art. 6(1)(f)) : modération du contenu, sécurité des comptes, détection de bugs (Sentry), push coach.

5. Sous-traitants et destinataires

  • Supabase (infrastructure Amazon Web Services, région France / UE — Paris) — base de données, authentification, stockage
  • Vercel (US — Clauses Contractuelles Types) — hébergement de l'application web et de ces pages
  • Apple — Sign in with Apple, HealthKit (lecture locale), APNs (push), App Store
  • Google (Google Ireland Ltd / Google LLC) — connexion Google (web), publicité AdSense (web) / AdMob (iOS), gestion du consentement
  • Garmin (Garmin Ltd) — envoi de séances/plans vers votre montre et import des résultats, via l'app Garmin Connect Mobile installée sur votre appareil
  • Sentry (iOS) — rapports d'erreurs et de performance, rattachés à votre identifiant de compte pour le diagnostic

Les données de localisation GPS utilisées pendant une séance sont traitées localement sur votre appareil et ne sont transmises à aucun de ces prestataires ni à nos serveurs (seule la distance calculée est enregistrée avec la séance).

6. Transferts hors UE

Vos données principales (compte, profil, entraînement, santé/activité, social, coaching) sont hébergées dans l'Union européenne (Supabase, AWS région Paris / eu-west) et ne font donc pas l'objet d'un transfert hors UE pour leur hébergement.

Certains prestataires annexes peuvent traiter des données limitées en dehors de l'UE :

  • Google (connexion Google, publicité AdSense) ;
  • Apple (Sign in with Apple, APNs) ;
  • Vercel (États-Unis) — diffusion de l'app web et journaux techniques ;
  • Garmin — la transmission de séances vers votre montre transite par l'app Garmin Connect Mobile ; Garmin peut traiter ces données hors UE selon ses propres conditions ;
  • Sentry — supervision des erreurs, hébergement susceptible d'être aux États-Unis.

Lorsqu'un transfert vers les États-Unis a lieu, il est encadré par les Clauses Contractuelles Types de la Commission européenne et, le cas échéant, par le Data Privacy Framework UE–États-Unis (auquel Google LLC est certifié).

7. Durée de conservation

  • Compte actif : données conservées tant que le compte est actif. En cas d'inactivité de 3 ans, archivage possible après notification par e-mail, puis suppression définitive au-delà de 6 mois d'archivage.
  • Localisation GPS : non conservée (seule la distance agrégée l'est, avec la séance).
  • Données de modération : conservées 1 an après résolution du signalement.
  • Journaux techniques (Sentry, logs de connexion) : 12 mois maximum.
  • Consentement publicitaire : conservé jusqu'à son retrait.

Suppression à la demande : Profil → Modifier le profil → Supprimer mon compte. La suppression est immédiate et définitive, incluant les données de santé synchronisées, les séances, les posts et toutes les données associées.

8. Vos droits (RGPD)

Délai de réponse : 1 mois maximum.

  • Accès (Art. 15) et portabilité (Art. 20) : « Exporter mes données » (JSON) dans l'app
  • Rectification (Art. 16) : modifier votre profil dans l'app
  • Effacement (Art. 17) : « Supprimer mon compte »
  • Limitation (Art. 18) : nous contacter par e-mail
  • Opposition (Art. 21) : vous opposer aux traitements fondés sur l'intérêt légitime (modération, Sentry)
  • Retrait du consentement : publicité via prompt ATT (iOS) ou « Gérer mes choix publicitaires » (web) ; HealthKit via Réglages iOS
  • Réclamation : CNIL

9. Sécurité

Données chiffrées en transit (TLS) et au repos (Postgres chiffré via Supabase), avec contrôle d'accès par Row-Level Security : vous n'accédez qu'à vos propres données (et, pour un coach, à celles de ses athlètes l'ayant rejoint). Vos données de santé brutes (Apple Santé) et les coordonnées GPS restent sur votre appareil iOS et ne sont jamais envoyées à nos serveurs. En cas de violation de données, la CNIL sera notifiée sous 72h (Art. 33 RGPD) et vous serez informé si nécessaire (Art. 34).

10. Mineurs

PowerQuest est réservé aux personnes d'au moins 15 ans en France (Art. 7-1 Loi Informatique et Libertés). Une confirmation d'âge est demandée à l'inscription. Si votre législation locale impose un âge ou un consentement parental différent, ce seuil s'applique.

11. Avertissement santé

PowerQuest n'est pas un dispositif médical. Les informations fournies ne remplacent pas un avis médical. Consultez un professionnel de santé avant tout programme sportif, en particulier en cas d'antécédents.

12. Modifications

Cette politique peut être mise à jour. Les modifications substantielles vous seront notifiées dans l'app au moins 30 jours avant leur entrée en vigueur.

Privacy Policy

Last updated: June 30, 2026 · Version 2.1 (iOS + Web)

PowerQuest ("the App", "the Service") is a training-tracking application available on iOS and on the web. Both versions share the same account and database: this policy covers both.

1. Data Controller

PowerQuest is published by Fabien Duvacher (sole trader), 5 rue Aimée Antignac, 35000 Rennes, France. Contact: powerquest.app@gmail.com.

No Data Protection Officer (DPO) has been appointed, as the company does not meet the thresholds of Art. 37 GDPR. For any data request, contact us at the address above. Response time: maximum 1 month (Art. 12(3) GDPR).

2. Data We Collect

  • Account: email address and identity-provider identifier. Sign-in is via Apple (Sign in with Apple — a unique opaque identifier, unrelated to your Apple ID) on iOS, and via Google or Apple on the web.
  • Profile: username, display name, emoji or photo avatar, bio, city (optional), visibility settings.
  • Training activity: programs, schedules, completed sessions, custom exercises, sets/reps/weight, RPE notes.
  • Health / activity (Art. 9 GDPR, if you grant HealthKit access on iOS): heart rate, active calories, distance, duration, steps, pace. This data is read via HealthKit and the derived metrics are sent to our servers (Supabase, France/EU) when you confirm or import a session, to display your activity and progress. Health data is never used for advertising, nor shared with third parties for profiling or monetisation. If you choose to share a workout in the social feed, certain stats you select (duration, distance, calories) may become visible to other users; your heart rate is never published and stays visible only to you (and, where applicable, your coach).
  • Location (GPS): during a run/cycling session you start, the device GPS is used to compute distance, pace and speed. Location is processed on your device only: no coordinate or track is stored or transmitted — only the aggregate distance (a number) is saved with your session.
  • Social (if public profile enabled): activity posts, comments, likes, shared programs, follows and friendships.
  • Profile photo (optional): if you add a photo instead of the emoji, it is displayed publicly next to your username. The image is stored by overwriting the previous one (no history kept) and is not subject to any facial-recognition or biometric processing. You can remove it at any time (back to the emoji), which deletes it permanently.
  • Moderation: if you report content (post, comment, message or profile photo / user), we retain your identifier, the reported content and the reason, for the duration necessary to resolve the report.
  • Coach / athlete: coach↔athlete relationships, assigned programs, validated sessions, private coach↔athlete messages and private session notes/comments (visible only to your coach).
  • Garmin watch sync (if you connect a watch): when you send a session or plan to your Garmin watch, the data transits through the Garmin Connect Mobile app installed on your device. Results may be imported back into PowerQuest.
  • Notifications: a push notification token (Apple APNs) and a device identifier are stored to send you alerts (likes, comments, friends, messages, sessions), and an in-app notification center keeps a history of these alerts.
  • Advertising: in the free version, ads are served via Google AdMob (iOS) and Google AdSense (web). On iOS, AdMob may collect your IDFA if you granted tracking via the "App Tracking Transparency" prompt. On the web, advertising cookies are only set after your consent (see our Cookie Policy). If you decline, non-personalised ads (without a targeting identifier) may be shown.
  • Technical data: IP address, device type, iOS/app version, connection timestamps, error and performance logs (collected by Sentry for bug detection), and local storage (session, ad consent, onboarding state).

We never sell your data.

3. Purposes

  • Provide the service (sync, history, session recap)
  • Measure distance, pace and speed of a run/cycling session via GPS (local processing)
  • Sync your sessions/plans with a Garmin watch (if you connect it)
  • Enable the coach/athlete mode (session assignment, tracking, messaging)
  • Moderate community content and prevent abuse
  • Send push notifications (coach-assigned sessions, social activity)
  • Detect bugs and monitor performance (Sentry)
  • Show contextual or personalised ads in the free version
  • Respond to support requests

4. Legal Basis (GDPR)

  • Contract performance (Art. 6(1)(b)): core service delivery (programs, sessions, sync), GPS distance/pace measurement (a feature you trigger yourself, processed locally), Garmin watch sync.
  • Consent (Art. 6(1)(a)): advertising (ATT on iOS, cookie banner on web), public profile and social features (including the optional profile photo, removable at any time), coaching.
  • Health data HealthKit (Art. 9(2)(a)): explicit consent collected at sign-up via a dedicated checkbox in the app, in addition to the iOS HealthKit prompt (technical access, distinct from GDPR consent). You may withdraw via iOS Settings → Health → Apps → PowerQuest; to delete already synced data, use "Delete my account".
  • Legitimate interest (Art. 6(1)(f)): content moderation, account security, bug detection (Sentry), coach push notifications.

5. Sub-processors and recipients

  • Supabase (Amazon Web Services infrastructure, France / EU — Paris region) — database, authentication, storage
  • Vercel (US — Standard Contractual Clauses) — hosting of the web app and these pages
  • Apple — Sign in with Apple, HealthKit (local read), APNs (push), App Store
  • Google (Google Ireland Ltd / Google LLC) — Google sign-in (web), AdSense (web) / AdMob (iOS) advertising, consent management
  • Garmin (Garmin Ltd) — sending sessions/plans to your watch and importing results, via the Garmin Connect Mobile app on your device
  • Sentry (iOS) — error and performance reports, linked to your account identifier for diagnostics

The GPS location data used during a session is processed locally on your device and is transmitted to none of these processors nor to our servers (only the computed distance is saved with the session).

6. International Transfers

Your main data (account, profile, training, health/activity, social, coaching) is hosted in the European Union (Supabase, AWS Paris / eu-west region) and is therefore not transferred outside the EU for hosting.

Some ancillary processors may handle limited data outside the EU:

  • Google (Google sign-in, AdSense advertising);
  • Apple (Sign in with Apple, APNs);
  • Vercel (United States) — web app delivery and technical logs;
  • Garmin — sending sessions to your watch transits through the Garmin Connect Mobile app; Garmin may process this data outside the EU under its own terms;
  • Sentry — error monitoring, possibly hosted in the United States.

Where a transfer to the United States occurs, it is governed by the European Commission's Standard Contractual Clauses and, where applicable, the EU–US Data Privacy Framework (to which Google LLC is certified).

7. Retention

  • Active account: data kept as long as the account is active. After 3 years of inactivity, archival after prior email notice, then permanent deletion after 6 months of archival.
  • GPS location: not retained (only the aggregate distance is, with the session).
  • Moderation data: retained for 1 year after the report is resolved.
  • Technical logs (Sentry, connection logs): maximum 12 months.
  • Advertising consent: kept until withdrawn.

On-demand deletion: Profile → Edit profile → Delete my account. Deletion is immediate and permanent, including synced health data, sessions, posts and all associated data.

8. Your Rights (GDPR)

Response time: maximum 1 month.

  • Access (Art. 15) and portability (Art. 20): "Export my data" (JSON) in the app
  • Rectification (Art. 16): edit your profile in the app
  • Erasure (Art. 17): "Delete my account"
  • Restriction (Art. 18): contact us by email
  • Object (Art. 21): object to processing based on legitimate interest (moderation, Sentry)
  • Withdraw consent: advertising via ATT prompt (iOS) or "Manage ad choices" (web); HealthKit via iOS Settings
  • Complaint: CNIL (French DPA). UK residents: ICO.

9. Security

Data is encrypted in transit (TLS) and at rest (encrypted Postgres via Supabase), with Row-Level Security: you access only your own data (and, for a coach, that of athletes who joined them). Your raw health data (Apple Health) and GPS coordinates stay on your iOS device and are never sent to our servers. In case of a data breach, the CNIL will be notified within 72 hours (Art. 33 GDPR) and you will be informed if necessary (Art. 34).

10. Age

PowerQuest is intended for users aged 15 or older (Art. 7-1 French Data Protection Act). An age check is performed at sign-up. If your local legislation requires a higher minimum age or parental consent, that requirement applies.

11. Health Disclaimer

PowerQuest is not a medical device. The information provided does not replace medical advice. Consult a healthcare professional before any fitness program, especially if you have a relevant medical history.

12. Changes

This policy may be updated. Significant changes will be notified inside the app at least 30 days before they take effect.