Accord de Traitement des Données (DPA)

• Responsable du traitement : Le Coach Sportif qui utilise la plateforme CatalysAI pour gérer ses clients. Le Responsable du traitement détermine les finalités et les moyens du traitement des données personnelles de ses clients. • Sous-traitant (Processeur) : CatalysAI, société basée au Brésil, qui traite les données personnelles pour le compte du Responsable du traitement dans le cadre de la fourniture du Service.

Le présent DPA régit le traitement des données personnelles des clients du Responsable du traitement par CatalysAI pendant la durée du contrat de service. La durée du traitement correspond à la période pendant laquelle le Responsable du traitement maintient un compte actif sur la plateforme CatalysAI. Après la clôture du compte, les données seront traitées conformément à la Section 12 (Résiliation) du présent DPA.

CatalysAI traite les données personnelles aux fins suivantes : • Gestion du coaching sportif avec intelligence artificielle • Génération de programmes d'entraînement personnalisés par IA • Suivi de la progression des clients • Communication entre coach et élèves (check-ins, notifications) • Génération de rapports et analyses de performance • Traitement des paiements et gestion financière

Les types suivants de données personnelles sont traités : • Données d'identification : nom, email • Données de santé : poids, blessures, douleurs, qualité du sommeil, mensurations, photos de progression, composition corporelle • Données d'entraînement : exercices réalisés, charges, séries, répétitions, historique des séances • Données de check-in : sommeil, énergie, humeur, douleur, assiduité, feedback • Données financières : historique des paiements, statut de l'abonnement • Données techniques : adresse IP, journaux d'accès

Les personnes concernées sont les clients/clients du Coach Sportif (Responsable du traitement) dont les données sont enregistrées sur la plateforme CatalysAI.

CatalysAI, en tant que Sous-traitant, s'engage à : • Traiter les données personnelles uniquement sur la base des instructions documentées du Responsable du traitement, sauf obligation légale contraire • Garantir que toute personne autorisée à traiter les données personnelles est tenue à la confidentialité ou soumise à une obligation légale de secret • Mettre en œuvre des mesures techniques et organisationnelles de sécurité appropriées (conformément à la Section 7) • Ne pas recourir à d'autres sous-traitants sans l'autorisation préalable du Responsable du traitement (voir liste sur /subprocessors) • Assister le Responsable du traitement pour répondre aux demandes des personnes concernées (accès, rectification, effacement, portabilité) • Assister le Responsable du traitement dans le respect des obligations relatives à la sécurité, à la notification des violations, aux analyses d'impact et aux consultations préalables • Supprimer ou restituer toutes les données personnelles à la fin du contrat, conformément à la Section 12 • Mettre à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer la conformité avec le présent DPA

CatalysAI met en œuvre les mesures techniques et organisationnelles suivantes : • Chiffrement en transit : TLS 1.2+ pour toutes les communications • Chiffrement au repos : AES-256 pour les données stockées • Hachage des mots de passe : bcrypt avec sel pour tous les mots de passe • Row Level Security (RLS) : politiques de sécurité au niveau des lignes dans la base de données, garantissant que chaque coach n'accède qu'à ses propres données • Contrôle d'accès basé sur les rôles (RBAC) • Sauvegardes automatiques régulières • Surveillance de la sécurité et journaux d'audit • Révision périodique des accès et des permissions

La liste complète et à jour des sous-traitants ultérieurs est disponible à l'adresse : https://catalysfit.com/subprocessors Le Responsable du traitement autorise le recours aux sous-traitants listés sur cette page. CatalysAI informera le Responsable du traitement 30 jours avant l'ajout de nouveaux sous-traitants. Le Responsable du traitement pourra s'y opposer dans un délai de 15 jours.

Les données personnelles peuvent être transférées aux États-Unis via les fournisseurs suivants : • Supabase (AWS) — base de données et authentification • OpenRouter / MiniMax — génération d'entraînements par IA (uniquement des paramètres anonymisés, pas de PII) • Stripe — traitement des paiements • Vercel — hébergement et CDN • Resend — envoi d'emails transactionnels Ces transferts sont protégés par : • Les Clauses Contractuelles Types (CCT) de la Commission Européenne • Les certifications des fournisseurs (SOC 2, ISO 27001) • La conformité avec l'Art. 33 de la LGPD et le Chapitre V du RGPD

En cas de violation de données personnelles : • CatalysAI (Sous-traitant) informera le Responsable du traitement sans retard injustifié, au plus tard 48 heures après avoir pris connaissance de la violation • La notification comprendra : la nature de la violation, les catégories de données concernées, les mesures prises et les recommandations • Le Responsable du traitement est chargé de notifier l'autorité de contrôle compétente : — RGPD : sous 72 heures (Art. 33) — LGPD/ANPD : sous 3 jours ouvrés • CatalysAI assistera le Responsable du traitement dans l'enquête et l'atténuation de la violation

Le Responsable du traitement peut demander des preuves de conformité avec le présent DPA, notamment : • Rapports sur les mesures de sécurité mises en œuvre • Certifications et conformités des sous-traitants ultérieurs • Registres de traitement des données • Preuves des politiques de conservation et de suppression Les demandes d'audit doivent être adressées par écrit à support@catalysai.app, avec un préavis raisonnable de 30 jours.

À la fin du contrat de service : • CatalysAI supprimera toutes les données personnelles du Responsable du traitement dans un délai de 30 jours, sauf si la conservation est requise par la loi • Les données financières pourront être conservées jusqu'à 5 ans pour le respect des obligations légales et fiscales • Les sauvegardes seront supprimées dans le cycle de rotation (maximum 90 jours) • Le Responsable du traitement pourra demander l'exportation des données avant la suppression • CatalysAI fournira une confirmation écrite de la suppression des données

Le présent DPA est régi par : • La Loi Générale sur la Protection des Données du Brésil (LGPD — Loi n° 13.709/2018) pour les Responsables du traitement établis au Brésil • Le Règlement Général sur la Protection des Données de l'UE (RGPD — Règlement UE 2016/679) pour les Responsables du traitement établis dans l'Union Européenne • La loi la plus protectrice sera appliquée en cas de conflit entre les juridictions

Pour toute question relative au présent DPA : 📧 Email : support@catalysai.app 🌐 Site : catalysai.app