Politique de
confidentialité

1. Identité et contact

• Éditeur : Baseload (application iOS)
• Développeur : Florian Boquet
• Contact : mollobeck@gmail.com
• Pays : France

Pour toute question relative à vos données personnelles, ou pour exercer vos droits RGPD, contactez l'adresse ci-dessus. Réponse garantie sous 30 jours conformément au RGPD.

2. Données collectées

2.1 Données HealthKit (Apple Santé)

Baseload accède en lecture seule à votre application Santé d'Apple. L'application n'écrit jamais dans HealthKit en v1.

Données lues sur l'appareil :

• Séances d'entraînement (workouts)
• Fréquence cardiaque (moyenne par séance, repos)
• Variabilité de fréquence cardiaque (VFC SDNN)
• Sommeil (durée et stades)
• VO2max
• Énergie active et basale
• Poids corporel, taille
• Sexe biologique, date de naissance

Important : ces données restent sur votre iPhone. Seuls des résumés agrégés (TRIMP par séance, score ACWR, fatigue par groupe musculaire, tendance VFC) sont transmis au serveur Baseload pour générer le coaching. Les flux bruts de fréquence cardiaque, traces GPS, et séries minute-par-minute ne quittent jamais l'appareil.

2.2 Données saisies dans l'application

• Profil : prénom, âge, sexe, poids, taille, discipline pratiquée, objectif d'entraînement, équipement disponible (vélo, piscine, salle).
• Check-in matinal : ressenti du jour (quatre niveaux), heures de sommeil (auto-rempli depuis HealthKit), zones de douleur signalées.
• Feedback de séance : RPE (intensité ressentue), groupes musculaires travaillés, douleur post-séance, satisfaction.

Ces données sont stockées localement dans SwiftData (base chiffrée par le système iOS). Elles sont également incluses dans les payloads agrégés envoyés au serveur pour le coaching.

2.3 Localisation (WeatherKit)

L'application utilise votre position approximative uniquement pour récupérer la météo locale via Apple WeatherKit. Cette position n'est jamais stockée, ni sur l'appareil ni sur le serveur. Elle est utilisée au moment de la requête puis oubliée.

2.4 Identifiant utilisateur

Un UUID anonyme est généré au premier lancement de l'application, stocké localement, et envoyé en en-tête (X-User-ID) à chaque appel serveur pour la limitation de débit et le suivi des sessions.

Aucune donnée d'identification personnelle (email, nom, numéro de téléphone, adresse IP persistée, identifiant publicitaire) n'est collectée par Baseload.

3. Traitement par des tiers

3.1 Anthropic (Claude API)

Le coaching quotidien est généré par l'API Anthropic (Claude Sonnet 4.6).

• Données envoyées : résumé agrégé de votre entraînement (sans données brutes HealthKit), check-in du jour, historique de douleurs sur 14 jours, météo, profil (âge, sexe, poids, discipline, objectif).
• Politique d'Anthropic : zéro rétention des données. Les requêtes ne sont pas utilisées pour entraîner les modèles. Voir anthropic.com/legal/privacy.
• Localisation des serveurs Anthropic : États-Unis. Le transfert hors UE est encadré par les clauses contractuelles types (SCC).

3.2 Apple WeatherKit

Données de localisation transmises à Apple uniquement pour la requête météo. Voir la politique de confidentialité d'Apple : apple.com/legal/privacy.

3.3 TelemetryDeck (analytics)

Métriques d'usage anonymes (lancement, écrans visités, fonctionnalités utilisées). Aucune donnée personnelle ni de santé n'est envoyée. Hébergement EU. Voir telemetrydeck.com/privacy.

3.4 Tiers explicitement exclus

Baseload n'utilise pas : Google Analytics, Meta SDK, AppsFlyer, Branch, Adjust, Mixpanel, Amplitude, ni aucun autre SDK de tracking publicitaire. Aucune donnée n'est jamais vendue ou partagée à des fins publicitaires.

4. Hébergement et résidence des données

• Serveur applicatif : Fly.io, région Paris (CDG) — UE.
• Base de données : Supabase, région UE.
• Les flux applicatifs entre l'iPhone et le serveur transitent en HTTPS (TLS 1.3).

5. Conservation et suppression

• Données locales (SwiftData) : conservées tant que l'application est installée. Désinstaller Baseload supprime toutes les données locales immédiatement.
• Données serveur (résumés de coaching mis en cache) : conservées 90 jours puis supprimées automatiquement.
• Demande de suppression locale : depuis Réglages → Compte → Supprimer le compte. L'effacement local sur l'appareil est immédiat.
• Demande de suppression serveur (beta TestFlight) : pendant la phase beta, l'effacement des données serveur (cache de coaching) est traité manuellement sur demande envoyée à mollobeck@gmail.com, sous 30 jours conformes au RGPD. Une suppression automatisée via l'application sera ajoutée avant le lancement App Store public.

6. Vos droits RGPD

Conformément au Règlement Général sur la Protection des Données, vous disposez des droits suivants :

• Droit d'accès : obtenir une copie de vos données.
• Droit de rectification : corriger des données inexactes.
• Droit à l'effacement ("droit à l'oubli") : demander la suppression de toutes vos données.
• Droit à la portabilité : récupérer vos données dans un format structuré (JSON). Pendant la beta TestFlight, l'export est fourni manuellement sur demande envoyée à mollobeck@gmail.com (réponse sous 30 jours). Un bouton d'export auto-déclenché sera ajouté avant le lancement App Store public.
• Droit d'opposition : vous opposer au traitement de vos données.
• Droit de réclamation auprès de la CNIL : cnil.fr/fr/plaintes.

Pour exercer un de ces droits, contactez mollobeck@gmail.com.

7. Sécurité

• Stockage local chiffré via les API standard d'iOS (Data Protection, Keychain).
• Communication réseau exclusivement en HTTPS / TLS 1.3.
• Aucun secret applicatif (clé API, token) n'est stocké en clair sur l'appareil.
• Le serveur applique une limite de 100 requêtes par utilisateur par heure pour prévenir l'abus.

8. Mineurs

Baseload n'est pas destiné aux personnes de moins de 16 ans. Si vous êtes parent ou tuteur d'un mineur ayant utilisé l'application, contactez-nous pour effacer ses données.

9. Pas de conseil médical

Baseload est un outil d'aide à la planification d'entraînement. Les recommandations générées ne constituent pas un avis médical. Pour toute douleur persistante, blessure, ou question de santé, consultez un professionnel de santé qualifié. Voir aussi les Conditions Générales d'Utilisation.

10. Modifications

Cette politique peut être mise à jour. La date de dernière mise à jour figure en tête de document. Les changements significatifs seront notifiés dans l'application avant prise d'effet.

Privacy Policy — Baseload

Last updated: 23 April 2026

1. Identity and contact

• Publisher: Baseload (iOS application)
• Developer: Florian Boquet
• Contact: mollobeck@gmail.com
• Country: France

For any questions about your personal data, or to exercise your GDPR rights, contact the address above. Reply guaranteed within 30 days per GDPR.

2. Data collected

2.1 HealthKit data

Baseload accesses your Apple Health app in read-only mode. The application never writes to HealthKit in v1.

Data read on-device:

• Workouts
• Heart rate (per-session average, resting)
• Heart rate variability (HRV SDNN)
• Sleep (duration and stages)
• VO2max
• Active and basal energy
• Body mass, height
• Biological sex, date of birth

Important: this data stays on your iPhone. Only aggregated summaries (per-session TRIMP, ACWR score, per-muscle-group fatigue, HRV trend) are sent to the Baseload server to generate coaching. Raw heart-rate streams, GPS tracks, and minute-by-minute series never leave the device.

2.2 Data entered in the application

• Profile: first name, age, sex, weight, height, discipline, training goal, available equipment.
• Morning check-in: today's feeling (4-level), sleep hours (auto-filled from HealthKit), pain zones reported.
• Session feedback: RPE, muscle groups worked, post-session pain, satisfaction.

This data is stored locally in SwiftData (encrypted by iOS). It is also included in the aggregated payloads sent to the server for coaching.

2.3 Location (WeatherKit)

The app uses your approximate location only to fetch local weather via Apple WeatherKit. This location is never stored, neither on the device nor on the server. It is used at request time then forgotten.

2.4 User identifier

An anonymous UUID is generated at first launch, stored locally, and sent in a header (X-User-ID) on every server call for rate limiting and session tracking.

No personal identification data (email, name, phone, persisted IP, advertising identifier) is collected by Baseload.

3. Third-party processing

3.1 Anthropic (Claude API)

Daily coaching is generated by the Anthropic API (Claude Sonnet 4.6).

• Data sent: aggregated training summary (no raw HealthKit data), today's check-in, 14-day pain history, weather, profile.
• Anthropic policy: zero data retention. Requests are not used to train models. See anthropic.com/legal/privacy.
• Anthropic server location: United States. EU-to-US transfer is governed by Standard Contractual Clauses (SCC).

3.2 Apple WeatherKit

Location data transmitted to Apple solely for the weather request. See apple.com/legal/privacy.

3.3 TelemetryDeck (analytics)

Anonymous usage metrics (launch, screens viewed, features used). No personal or health data is sent. EU hosting.

3.4 Explicitly excluded third parties

Baseload does not use: Google Analytics, Meta SDK, AppsFlyer, Branch, Adjust, Mixpanel, Amplitude, or any other ad-tracking SDK. No data is ever sold or shared for advertising purposes.

4. Hosting and data residency

• Application server: Fly.io, Paris region (CDG) — EU.
• Database: Supabase, EU region.
• All traffic between the iPhone and the server is HTTPS (TLS 1.3).

5. Retention and deletion

• Local data (SwiftData): kept as long as the app is installed. Uninstalling Baseload deletes all local data immediately.
• Server data (cached coaching summaries): kept for 90 days then automatically deleted.
• Local deletion request: from Settings → Account → Delete account. Local on-device erasure is immediate.
• Server deletion request (TestFlight beta): during the beta phase, server-side erasure (coaching cache) is handled manually on request sent to mollobeck@gmail.com, within 30 days per GDPR. An automated in-app server deletion flow will be added before public App Store launch.

6. Your GDPR rights

Per the General Data Protection Regulation, you have:

• Right of access: obtain a copy of your data.
• Right to rectification: correct inaccurate data.
• Right to erasure ("right to be forgotten"): request deletion of all your data.
• Right to portability: get your data in a structured (JSON) format. During the TestFlight beta, export is provided manually on request sent to mollobeck@gmail.com (reply within 30 days). An in-app one-tap export will be added before public App Store launch.
• Right to object: object to data processing.
• Right to lodge a complaint with the CNIL: cnil.fr/en/plaintes.

To exercise any of these rights, contact mollobeck@gmail.com.

7. Security

• Local storage encrypted via iOS standard APIs (Data Protection, Keychain).
• Network communication exclusively HTTPS / TLS 1.3.
• No application secret (API key, token) is stored in cleartext on the device.
• The server applies a 100 request/user/hour limit to prevent abuse.

8. Minors

Baseload is not intended for people under 16. If you are a parent or guardian of a minor who used the app, contact us to erase their data.

9. Not medical advice

Baseload is a training-planning aid. Generated recommendations do not constitute medical advice. For any persistent pain, injury, or health question, consult a qualified healthcare professional. See also the Terms of Service.

10. Changes

This policy may be updated. The last-updated date appears at the top of the document. Significant changes will be notified in the app before taking effect.