Politique de confidentialité

Dernière mise à jour : 7 mai 2026. Cette politique décrit comment RunPath collecte, utilise et protège vos données personnelles.

1. Responsable du traitement

NomHugo Surrel

StatutAuto-entrepreneur

SIRET89176544800016

Adresse5C Chemin des Noirs, 42600 Écotay-l'Olme, France

Emailhello@runpath.fr

2. Données collectées

RunPath collecte les données suivantes dans le cadre de son service :

Données de compte — adresse email et identifiant utilisateur, fournis lors de la création de compte (authentification par email/mot de passe, OAuth Google, magic link ou passkey WebAuthn). L'authentification est gérée en interne par RunPath et ne s'appuie sur aucun fournisseur d'identité externe.
Données de paiement — gérées exclusivement par Stripe. RunPath ne stocke aucune donnée de carte bancaire sur ses serveurs.
Données d'utilisation — comptage mensuel des téléchargements GPX pour la gestion des limites d'abonnement.
Données de parcours — uniquement pour les utilisateurs disposant d'un plan payant ayant explicitement sauvegardé un parcours : coordonnées GPS complètes du tracé, waypoints (points de virage), configuration d'activité (type de sport, distance cible, dénivelé, point de départ) et métadonnées associées (nom, distance, dénivelé). Ces coordonnées peuvent constituer des données personnelles au sens du RGPD, car un itinéraire en boucle part généralement d'un lieu personnel (domicile, lieu de travail, point d'entraînement habituel). Elles sont conservées exclusivement pour vous permettre de retrouver et re-télécharger vos parcours sauvegardés sans reconsommer votre quota mensuel. Vous pouvez supprimer un parcours à tout moment depuis votre espace, ce qui efface les coordonnées de manière définitive.
Données de contact — email et message, uniquement si vous utilisez le formulaire de contact.
Données de navigation — logs techniques anonymisés (adresse IP, navigateur) conservés par Vercel à des fins d'hébergement et de sécurité.

3. Finalités du traitement

Vos données sont utilisées pour :

Créer et gérer votre compte utilisateur
Traiter vos paiements et gérer votre abonnement
Fournir le service de génération GPX et suivre votre quota mensuel
Sauvegarder vos parcours (coordonnées GPS, waypoints et configuration d'activité) afin de vous permettre de les retrouver et de les re-télécharger ultérieurement — fonctionnalité réservée aux utilisateurs disposant d'un plan payant
Calculer les itinéraires en transmettant les coordonnées GPS de départ et les points intermédiaires à OpenRouteService
Répondre à vos demandes de support
Assurer la sécurité et le bon fonctionnement du service

Vos données ne sont jamais vendues ni partagées avec des tiers à des fins publicitaires ou commerciales.

4. Base légale

Les traitements effectués par RunPath reposent sur les bases légales suivantes au sens du RGPD :

Exécution du contrat — pour la gestion du compte, des abonnements, la fourniture du service ainsi que la sauvegarde et la restitution de vos parcours pour les utilisateurs ayant souscrit un plan payant incluant cette fonctionnalité.
Intérêt légitime — pour la sécurité du service et la prévention des abus.
Consentement — pour les communications marketing éventuelles (non pratiquées à ce jour).

5. Sous-traitants

RunPath fait appel aux sous-traitants suivants pour opérer le service :

Stripestripe.com — paiements et gestion des abonnements

Vercelvercel.com — hébergement et infrastructure

Neonneon.tech — base de données Postgres hébergeant les comptes utilisateurs, abonnements, logs d'usage, parcours sauvegardés (avec coordonnées chiffrées AES-256-GCM en complément du chiffrement at-rest natif) et messages de contact. Localisation : AWS Europe Central 1 (Frankfurt, Allemagne), au sein de l'Union européenne. Le traitement est donc soumis directement au RGPD ; aucun mécanisme de transfert hors UE n'est nécessaire. Base légale : exécution du contrat (article 6.1.b du RGPD).

Resendresend.com — délivrance des emails transactionnels (vérification d'email, réinitialisation de mot de passe, notifications de sécurité, reçus d'abonnement, confirmation de prise de contact). Reçoit votre adresse email ainsi que le contenu des messages envoyés. Transfert hors UE : Resend est opéré par Resend, Inc. (États-Unis). Le transfert est encadré par les Clauses Contractuelles Types de la Commission européenne (décision (UE) 2021/914) et par le DPF (EU-US Data Privacy Framework) auquel Resend adhère.

OpenRouteServiceopenrouteservice.org — calcul d'itinéraires. Pour chaque génération de parcours, RunPath transmet à OpenRouteService les coordonnées GPS du point de départ et des points de passage que vous posez sur la carte, ainsi que les paramètres demandés (distance cible, type d'activité, dénivelé visé, préférence de routage, zones à éviter). Ces coordonnées peuvent constituer des données personnelles dans la mesure où elles peuvent révéler des lieux fréquentés (domicile, lieu de travail). En revanche, aucun identifiant utilisateur, aucune adresse email ni aucune autre donnée de compte n'est transmis : la requête est émise par notre serveur avec uniquement la clé d'API et les paramètres ci-dessus. Localisation : service opéré par HeiGIT gGmbH (Université de Heidelberg, Allemagne), au sein de l'Union européenne. Le traitement est donc soumis directement au RGPD ; aucune Clause Contractuelle Type ni mécanisme de transfert hors UE n'est nécessaire. Base légale : exécution du contrat (article 6.1.b du RGPD).

OpenStreetMap (Nominatim)nominatim.openstreetmap.org — service de géocodage utilisé pour deux fonctions facultatives : (1) la recherche d'adresse depuis la barre de la carte et (2) l'affichage du nom des points de passage que vous ajoutez (rue, lieu-dit, ville). Ces requêtes sont émises directement depuis votre navigateur vers les serveurs OpenStreetMap : votre adresse IP, l'agent utilisateur du navigateur et les coordonnées ou termes de recherche saisis sont donc exposés à l'OpenStreetMap Foundation. Aucun identifiant de compte RunPath n'est joint à ces requêtes. Localisation : OpenStreetMap Foundation, Royaume-Uni. Le transfert est encadré par la décision d'adéquation de la Commission européenne du 28 juin 2021 (décision (UE) 2021/1772) qui couvre les transferts de données personnelles vers le Royaume-Uni. Base légale : exécution du contrat / intérêt légitime à fournir une recherche d'adresse fonctionnelle.

Sentrysentry.io — supervision et debug applicatif (collecte d'erreurs et de traces de performance). Reçoit votre identifiant utilisateur pseudonyme afin de corréler les erreurs entre elles, ainsi que des métadonnées techniques (URL, navigateur, pile d'appel). Aucune donnée de paiement ni coordonnée GPS ne lui est transmise ; l'option sendDefaultPii est désactivée et les saisies de formulaires sont masquées dans les enregistrements de session. Transfert hors UE : Sentry est hébergé par Functional Software, Inc. (États-Unis). Le transfert est encadré par les Clauses Contractuelles Types de la Commission européenne (décision (UE) 2021/914) et par le DPF (EU-US Data Privacy Framework) auquel Sentry adhère.

Ces prestataires sont soumis à des obligations contractuelles strictes de confidentialité conformes au RGPD.

6. Durée de conservation

Compte utilisateurDurée de l'abonnement + 3 ans après résiliation

Données de paiementSelon la politique de Stripe (minimum 5 ans, obligations légales)

Logs d'utilisation12 mois glissants

Parcours sauvegardésJusqu'à suppression par l'utilisateur, ou effacement automatique des coordonnées GPS et waypoints lors de la résiliation de l'abonnement ou de la clôture du compte. Un nettoyage de sécurité purge tout parcours résiduel après 12 mois sans abonnement actif.

Données de contact2 ans après la dernière interaction

7. Vos droits

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants :

Droit d'accès — obtenir une copie de vos données personnelles
Droit de rectification — corriger des données inexactes
Droit à l'effacement — demander la suppression de vos données
Droit à la portabilité — recevoir vos données dans un format structuré
Droit d'opposition — vous opposer à certains traitements
Droit à la limitation — demander la limitation du traitement

Pour exercer ces droits, contactez : hello@runpath.fr. Nous répondrons dans un délai de 30 jours. Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL.

8. Cookies

RunPath utilise uniquement des cookies techniques strictement nécessaires au fonctionnement du service :

Session Better Auth — authentification et maintien de la session
Préférences utilisateur — paramètres locaux de l'interface

Aucun cookie publicitaire, de profilage ou de traçage tiers n'est utilisé.

9. Sécurité

RunPath met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données : connexions chiffrées (HTTPS/TLS), accès restreints aux données, sous-traitants certifiés (Stripe est certifié PCI-DSS niveau 1).

Chiffrement applicatif des coordonnées GPS. Les coordonnées GPS et points de virage de vos parcours sauvegardés sont chiffrés au niveau applicatif avec AES-256-GCM avant insertion en base, en complément du chiffrement at-rest natif de notre hébergeur Neon. La clé maître est stockée exclusivement dans les variables d'environnement de l'application et n'est jamais persistée dans la base. En cas de fuite ou de copie non autorisée d'un dump SQL, les colonnes contenant vos itinéraires resteraient illisibles sans cette clé.

10. Modifications

Cette politique peut être mise à jour pour refléter des évolutions du service ou de la réglementation. La date de dernière mise à jour est indiquée en haut de page. En cas de modification substantielle, vous en serez informé par email.