Protection
des données
1. Dispositions générales
1.1 Préambule
Le Règlement (EU) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données, autrement appelé le Règlement général sur la protection des données (ci-après RGPD), fixe le cadre juridique applicable aux traitements de données à caractère personnel. Le RGPD renforce les droits et les obligations des responsables de traitements, des sous-traitants, des personnes concernées et des destinataires des données.
Par la suite, et pour implémenter les modifications du RGPD, la loi n°78-17 du 6 janvier 1978 dite Informatique et libertés a fait l’objet d’une modification par la loi n°2018-493 du 20 juin 2018 et par l’ordonnance n°2018-1125 du 12 décembre 2018 relatives à la protection des données.
La réglementation applicable à la protection des données à caractère personnel s’entend ainsi des textes suivants :
- le RGPD ;
- la loi Informatique et libertés à jour des textes précités ;
- les recommandations de la CNIL.
1.2 Rôles et responsabilités
La présente politique de protection des données relative aux adhérents et prospects concerne deux acteurs principaux à savoir :
- La société FITNESSEA GROUP – SAS (ci-après la « Société »), société mère et franchiseur exploitant les salles de fitness sous la marque « L’APPART FITNESS », directement ou par l’intermédiaire de son réseau de franchise ;
- Les franchisés (ci-après « les Clubs Franchisés »), exploitant des salles de fitness sous la marque « L’APPART FITNESS » dans le cadre d’un contrat de franchise conclu avec la société FITNESSEA GROUP – SAS.
Dans le cadre de leurs activités respectives de gestion et d’exploitation des salles de fitness, la Société et les Clubs Franchisés sont amenés à collecter et traiter des données à caractère personnel des adhérents et prospects. À ce titre, il est précisé que la Société et les Clubs Franchisés agissent chacun en qualité de responsable du traitement indépendant, poursuivant ainsi ses propres finalités qui seront décrites ci-après.
Il est précisé que les « personnes concernées » par la présente politique sont les personnes qui peuvent être identifiées, directement ou indirectement, par les informations collectées par les différents responsables de traitement indépendants, c’est-à-dire dans le cadre de la présente politique l’ensemble des adhérents et prospects de la Société ou des Clubs Franchisés.
1.3 Définitions
- « donnée à caractère personnel » : toute information concernant une personne physique identifiée ou identifiable (personne concernée) ; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ;
- « traitement de données à caractère personnel » : toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ;
- « violation de données à caractère personnel » : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.
2. Objet
Pour satisfaire au bon fonctionnement des activités de gestion et d’exploitation des salles de fitness, la Société et les Clubs Franchisés sont tenus de mettre en œuvre des traitements de données à caractère personnel auprès de leurs adhérents et prospects, notamment dans le cadre des relations commerciales et des contrats conclus avec ceux-ci.
La présente politique a pour objet de satisfaire à cette obligation d’information et de rappeler les droits dont disposent les adhérents et prospects s’agissant du traitement de leurs données à caractère personnel.
3. Principes généraux
Les données personnelles des adhérents et prospects ne sont traitées qu’en relation avec les services proposés par la Société et les Clubs Franchisés et conformément aux principes généraux du RGPD.
Tout nouveau traitement, modification ou suppression d’un traitement existant sera porté à la connaissance des adhérents et prospects par le biais d’une modification de la présente politique.
4. Identification des traitements
4.1 La société Fitnessea Group en qualité de responsable du traitement
Activité de traitement | Finalités | Base légale |
---|---|---|
Structuration et organisation de la gestion des Clubs Franchisés et des Clubs Affiliés | Mise à disposition des Clubs Franchisés d’un outil mutualisé de gestion des données Amélioration et personnalisation des services mis à disposition des adhérents Poursuite des objectifs commerciaux de la Société | Intérêt légitime |
Élaboration de statistiques et reporting | Réalisation de statistiques des données des Clubs Franchisés Réalisation d’enquêtes/statistiques de satisfaction des adhérents Qualification de la base de données des adhérents | Intérêt légitime |
Gestion de l’offre digitale de l’Appart Fitness | Mise en place d’une offre commerciale 100% digitalisée Gestion des inscriptions, des comptes adhérents et des abonnements numériques Gestion des réservations de cours en ligne Gestion des achats réalisés sur la boutique en ligne Gestion de l’utilisation de la plateforme en ligne et des services de fitness en ligne Échanges avec le service client Organisation d’événements ou jeux concours | Relation précontractuelle ou exécution du contrat avec l’adhérent Intérêt légitime |
Gestion des réseaux sociaux | Animation des réseaux sociaux Organisation de jeux concours | Intérêt légitime |
Gestion du site internet et de l’application mobile | Gestion des inscriptions à la newsletter Sécuriser et améliorer la navigation des utilisateurs du site internet Assistance et maintenance du site Mise en œuvre des mesures de sécurité nécessaires Gestion des demandes réalisées via les formulaires de contact | Intérêt légitime Exécution mesures précontractuelles/contractuelles |
Gestion des litiges | Lutte contre la fraude Traitement des réclamations Gestion des recouvrements Gestion des précontentieux et contentieux | Intérêt légitime |
4.2 Les clubs franchisés en qualité de responsables de traitement
Activité de traitement | Finalités | Base légale |
---|---|---|
Gestion et exécution du contrat d’abonnement | Échanges précontractuels et gestion de votre inscription Utilisation indépendante de l’outil de gestion des données mis à disposition par FITNESSEA GROUP aux fins de :
| Exécution du contrat avec l’adhérent |
Prospection commerciale et opérations promotionnelles | Envoi de newsletter Propositions d’offres promotionnelles | Consentement pour les prospects Intérêt légitime pour les adhérents |
Vidéosurveillance | Certaines zones spécifiques de nos locaux tels que les barrières et clôtures font l’objet d’un dispositif de vidéosurveillance, ce dont il résulte le traitement des données des tiers susceptibles d’être filmés | Intérêt légitime |
Gestion des litiges | Lutte contre la fraude Traitement des réclamations Gestion des recouvrements Gestion des précontentieux et contentieux | Intérêt légitime |
Statistiques | Réalisation de statistiques pseudonymisées des données de leurs adhérents | Intérêt légitime |
5. Catégories de données collectées et origine des données
5.1 Les données à caractère personnel nécessairement collectées
Catégories de données | Exemples de données |
---|---|
Identification de l’adhérent / prospect | Données relatives à l’identité : nom, prénom, photographie (facultatif), sexe, date et lieu de naissance, situation familiale, situation matrimoniale, pays de résidence, carte d’identité. |
Données relatives à la situation professionnelle : lieu de travail, emploi occupé, employeur. | |
Données relatives à votre abonnement : numéro du compte client en ligne, numéro de membre, numéro de carte d’accès, club de référence, type d’abonnement souscrit, canal d’entrée pour l’adhésion, nombre de visites tout club confondu, séances d’entraînement réservées, photo de profil. | |
Coordonnées professionnelles : adresse professionnelle, adresse email professionnelle, numéro de téléphone professionnelle. | |
Image de vidéo surveillance | Images. |
Informations bancaires et financières | RIB, adresse de la banque concernée, coordonnées bancaires, données transactionnelles, factures, récapitulatifs des achats, historique des paiements. |
Données techniques de connexion sur le site internet et l’application mobile | Données relatives à la carte membre lors des passages en club, données d’identification (adresse IP), données de connexion (logs, token notamment), données d’acceptation (clic), pages web visités. |
Les données sont essentiellement collectées directement auprès de nos adhérents et prospects.
5.2 Les catégories particulières de données
Afin de vous fournir un service personnalisé sur votre suivi sportif, des données relatives à votre état de santé pourront être collectées telles que précédentes hospitalisations, problématiques de santé rencontrées, suivi d’un traitement spécifique, etc. Sachez que de telles données particulières ne seront collectées et traitées qu’avec votre accord préalable exprès.
6. Durées de conservation
La Société et les Clubs Franchisés définissent la durée de conservation des données des adhérents et prospects au regard des contraintes légales et contractuelles et, à défaut, selon les besoins rencontrés pour l’exécution du ou des traitements.
Plus précisément, nous nous engageons à respecter les durées de conservation suivantes :
Traitement | Durée de conservation |
---|---|
Contrats conclus avec les adhérents | Pendant la durée d’exécution du contrat, augmentée de 5 ans à compter de la fin du contrat pour des raisons de prescription légale. Pour les contrats conclus par voie électronique de plus de 120 euros, les contrats seront conservés pendant une durée de 10 ans à compter de la fin du contrat. |
Correspondance commerciale (bons de commande, de livraison, factures, etc.) | 10 ans à compter de la clôture de l’exercice comptable. |
Données traitées à des fins de prospection | Pour les adhérents : 3 ans à compter de la fin de la relation commerciale (ex : à compter du terme d’un abonnement) ou du dernier contact émanant de l’adhérent (demande de documentation, clic sur un lien contenu dans un mail, etc.). Pour les prospects : 3 ans à compter de leur collecte ou du dernier contact émanant du prospect. |
Images de caméras de vidéoprotection | Pendant une durée d’un mois maximum. |
Données techniques | 1 an à compter de leur collecte. |
Données bancaires | Supprimées dès la transaction réalisée, sauf accord exprès du client. Si contestation de la transaction : conservation 13 mois en archivage suivant la date de débit. |
Les durées indiquées dans le tableau précédent sont nécessairement prolongées pour la durée légale de prescription à titre de preuve en cas de litige. Dans cette dernière hypothèse, la durée de conservation est rallongée pour toute la durée du litige.
Passé les délais fixés, les données sont soit supprimées, soit conservées après avoir été anonymisées, notamment pour des raisons d’usages statistiques. Elles peuvent être conservées en cas de précontentieux et contentieux.
Il est rappelé que la suppression ou l’anonymisation sont des opérations irréversibles et que les responsables de traitement ne seront plus, par la suite, en mesure de les restaurer.
7. Destinataires des données
Les destinataires des données s’entendent des personnes physiques ou morales qui reçoivent communication des données à caractère personnel. Les destinataires des données peuvent donc être aussi bien des salariés des responsables de traitement que des personnes tierces.
La Société et les Clubs Franchisés veillent à ce que les données collectées et traitées dans le cadre des relations avec les adhérents et prospects ne soient accessibles qu’à des destinataires internes et externes habilités, et notamment, aux destinataires suivants :
- le personnel des services compétents habilités à gérer la relation avec les interlocuteurs auprès de nos adhérents et prospects et leurs responsables hiérarchiques ;
- le personnel des services supports, soit les services administratifs, les services logistiques et informatiques et leurs responsables hiérarchiques ;
- les prestataires ou services supports (ex : prestataires informatiques) ;
- les partenaires commerciaux lorsque vous donnez votre consentement ;
- les coachs et autres intervenants indépendants lorsque vous souhaitez bénéficier d’un accompagnement personnalisé ;
- les autorités compétentes au cas où la Société et/ou les Clubs Franchisés seraient tenus de partager certaines données à des auxiliaires de justice, à des services chargés de procédures internes de contrôle, etc.
Afin de vous donner accès à l’ensemble de nos clubs et de toujours vous proposer un service d’une qualité équivalente dans ces derniers, vos données à caractère personnel pourront-être communiquées tant à la Société qu’aux différents Clubs Franchisés.
S’agissant des destinataires internes, nous décidons quel destinataire pourra avoir accès à quelle donnée selon une politique d’habilitation et nous assurons qu’ils sont soumis à une obligation de confidentialité.
S’agissant des destinataires externes, la Société et/ou les Clubs Franchisés vous informent que les données à caractère personnel des interlocuteurs auprès des adhérents et prospects pourront ainsi être communiquées à certains prestataires ou à toute autorité légalement habilitée à en connaître (autorités fiscales et sociales notamment).
Dans ce cas, le responsable du traitement concerné par cette communication ne saurait être responsable des conditions dans lesquelles les personnels de ces autorités ont accès et exploitent les données.
8. Gestion des droits des personnes
Tant la Société que les Clubs franchisés assureront la gestion des droits des personnes concernées en fonction des demandes qui leurleurs sont adressées.
8.1 Droit d’accès et droit de copie
Les adhérents et prospects des différents clubs disposent du droit de demander si l’un des responsables de traitement traite effectivement des données les concernant dans le cadre des contrats conclus avec ces derniers ou des messages de prospection adressés.
Ils peuvent également demander à ce que leur soit fournie une copie des données faisant l’objet d’un traitement.
En cas de demande de copies supplémentaires, la Société et/ou les Clubs Franchisés pourront exiger que les adhérents et prospects à l’origine de la demande prennent en charge le coût que représenterait cette nouvelle copie.
Si les demandes des adhérents et prospects sont effectuées par voie électronique, les informations demandées seront fournies sous une forme électronique d’usage courante, sauf demande contraire.
Les adhérents et prospects sont informés que ce droit d’accès ne peut pas porter sur des informations ou données confidentielles ou encore pour lesquelles la loi n’autorise pas la communication.
Le droit d’accès ne doit pas être exercé de manière abusive c’est-à-dire réalisé de manière régulière dans le seul but de déstabiliser la bonne exécution de nos services.
8.2 Droit de rectification
Les adhérents et prospects disposent du droit de demander à la Société et/ou les Clubs Franchisés de rectifier certaines données les concernant qui seraient obsolètes ou erronées.
8.3 Droit à l’effacement
Les adhérents ne peuvent invoquer le droit à l’effacement s’agissant des données de leur personnel que dans les cas suivants :
- le contrat a été résilié et n’a plus d’effet ;
- les données de l’adhérent ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées.
Les prospects peuvent invoquer le droit à l’effacement s’agissant de leurs données dans la mesure où ils disposent d’un droit d’opposition à la réception de messages de prospection.
8.4 Droit à la limitation
Les adhérents et prospects sont informés que ce droit n’a pas vocation à s’appliquer dans la mesure où les conditions requises par la réglementation applicable ne sont pas remplies s’agissant du traitement fait de leurs données à caractère personnel.
8.5 Droit à la portabilité
Les adhérents et prospects sont informés que ce droit n’a pas vocation à s’appliquer dans la mesure où les conditions requises par la réglementation applicable ne sont pas remplies s’agissant du traitement fait de leurs données à caractère personnel.
8.6 Droit d’opposition
Les adhérents et prospects disposent du droit de s’opposer à toute prospection commerciale par voie postale, téléphonique ou électronique, y compris au profilage dans la mesure où il est lié à une telle prospection.
Au cas particulier de la prospection par voie électronique, il sera à tout moment possible pour les adhérents et prospects de s’opposer à une telle prospection en cliquant sur le lien se trouvant dans l’e-mail d’envoi.
8.7 Exercice des droits
Pour l’exercice de ces différents droits, vous pouvez contacter la Société et/ou l’un des Clubs Franchisés selon les modalités suivantes :
- Pour le Club franchisé de référence, vous pouvez adresser directement votre demande à votre club par email ou par voie postale ;
- Pour la Société, vous pouvez nous contacter à l’adresse email dpo-lappartfitness@racine.eu.
Les demandes seront traitées dans un délai raisonnable et, au mieux, dans un délai d’un mois à compter de la réception de la demande.
Toutefois, dans le cas où le traitement des demandes s’avèrerait complexe ou qu’il serait fait face à un nombre élevé de demandes d’exercice de droits simultanément, le délai du traitement pourrait être porté à deux mois.
9. Dispositions complémentaires
9.1 Sous-traitance
La Société et/ou l’un des Clubs Franchisés seront susceptibles de faire intervenir tout sous-traitant de leur choix dans le cadre du ou des traitements des données à caractère personnel des adhérents et prospects.
Au sens du RGPD, le sous-traitant s’entend de toute personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement. Il s’agit donc en pratique des prestataires avec lesquels la Société et/ou l’un des Clubs Franchisés travaillent et qui interviennent sur les données à caractère personnel des adhérents et prospects.
Dans ce cas, soyez assurés du respect par le sous-traitant de ses obligations en vertu du RGPD.
La Société et/ou l’un des Clubs Franchisés s’engagent à signer avec tous les sous-traitants un contrat écrit et leur sont imposés les mêmes obligations en matière de protection des données que celles que la Société et/ou l’un des Clubs Franchisés s’imposent à eux-mêmes. De plus, la Société et/ou l’un des Clubs Franchisés se réservent le droit de procéder à un audit auprès de ces sous-traitants afin de s’assurer de leur respect des dispositions du RGPD.
9.2 Registre des traitements
La Société et/ou l’un des Clubs Franchisés s’engagent, en leur qualité de responsables de traitement indépendants, à chacun tenir à jour un registre de toutes les activités de traitement effectuées, si cela est imposé par le RGPD.
9.3 Mesures de sécurité
La Société et/ou l’un des Clubs Franchisés mettent en œuvre les mesures de sécurité techniques, physiques ou logiques qu’ils estiment appropriés pour lutter contre la destruction, la perte, l’altération ou la divulgation non autorisée des données de manière accidentelle ou illicite.
Parmi ces mesures figurent principalement :
- mesures d’identification ;
- gestion des habilitations pour l’accès aux données ;
- mesures de sauvegarde ;
- l’utilisation de solutions de sécurité (firewall, antivirus, SFTP, etc.) ;
- chiffrement des données.
En tout état de cause, la Société et/ou l’un des Clubs Franchisés s’engage, en cas de changement des moyens visant à assurer la sécurité et la confidentialité des données à caractère personnel, à les remplacer par des moyens d’une performance supérieure. Aucune évolution ne pourra conduire à une régression du niveau de sécurité.
9.4 Violation de données
La Société et/ou l’un des Clubs Franchisés s’engagent à notifier à la CNIL toute violation de données qu’ils pourraient subir dans les conditions prescrites par la réglementation en matière de données à caractère personnel.
Les adhérents et prospects concernés par cette violation seront informés de toute violation de données qui pourrait porter un risque élevé pour leurs droits et libertés.
10. Contacts
10.1 Délégué à la protection des données
La Société a désigné un délégué à la protection des données qu’il est possible de contacter aux coordonnées suivantes pour toute question relative au traitement des données : dpo-lappartfitness@racine.eu.
Pour les Clubs Franchisés, vous êtes invités à prendre contact avec votre Club de référence.
10.2 Droit d’introduire une réclamation auprès de la CNIL
Toute personne concernée dispose d’un droit d’introduire une plainte auprès d’une autorité de contrôle, à savoir la CNIL en France, dès lors qu’elle estime que le traitement de données à caractère personnel la concernant n’est pas conforme à la réglementation européenne de protection des données, à l’adresse suivante :
CNIL – Service des plaintes
3 Place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07
Tél : 01 53 73 22 22
10.3 Évolution
La présente politique peut être modifiée ou aménagée à tout moment en cas d’évolution légale, jurisprudentielle, des décisions et recommandations de la CNIL ou des usages.
Toute nouvelle version de la présente politique sera portée à la connaissance des adhérents et prospects par tout moyen en ce compris la voie électronique (diffusion par courrier électronique ou en ligne par exemple).
10.4 Pour plus d’informations
Pour toute autre information plus générale sur la protection des données personnelles, vous pouvez consulter le site de la CNIL www.CNIL.fr.