Politique de Confidentialité
Dernière mise à jour : 28 janvier 2026
Résumé : StrideMatch collecte vos données d'entraînement (avec votre consentement) pour vous recommander les chaussures adaptées à votre pratique. Vos données ne sont jamais vendues et vous gardez le contrôle total.
1. Responsable du traitement
Les données sont collectées et traitées par :
StrideMatch SAS1 place Marie Curie
74000 Annecy - France
Email : app@stridematch.io
2. Données collectées
Nous collectons les catégories de données suivantes :
2.1 Données de compte
- Identité (nom, prénom, email)
- Profil coureur (niveau, objectifs, préférences)
- Historique d'utilisation du service
2.2 Données d'entraînement (via intégrations)
- Activités de course (distance, durée, allure, dénivelé)
- Fréquence cardiaque et cadence
- Traces GPS
- Équipement (chaussures enregistrées)
2.3 Données de santé (catégorie particulière - RGPD Art. 9)
Important : Certaines données collectées via les intégrations sont considérées comme des données de santé au sens du RGPD :
- Fréquence cardiaque (moyenne, max, zones)
- Variabilité de la fréquence cardiaque (HRV)
- Données de sommeil (durée, phases, qualité)
- Métriques de récupération
Base légale : Le traitement de ces données de santé repose sur votre consentement explicite (RGPD Art. 9.2.a), que vous donnez en connectant volontairement votre compte d'entraînement. Ce consentement est libre, spécifique, éclairé et univoque.
3. Intégration Strava
StrideMatch peut se connecter à votre compte Strava pour récupérer vos données d'entraînement. Cette intégration nécessite votre consentement explicite.
3.1 Données accédées via Strava
Si vous connectez votre compte Strava, nous accédons aux données suivantes :
- Informations de profil public (nom, photo)
- Statistiques d'activités (distance, durée, dénivelé, allure)
- Fréquence cardiaque et cadence
- Historique de vos activités de course
- Informations sur vos chaussures enregistrées
3.2 Durée de mise en cache
Conformément au Contrat relatif à l'API Strava : Les Données Strava sont mises en cache pour une durée maximale de 7 jours. Au-delà de cette période, les données sont automatiquement supprimées ou rafraîchies depuis Strava.
3.3 Synchronisation des suppressions
Si vous supprimez des données depuis Strava, ces suppressions seront reflétées dans StrideMatch dans un délai maximum de 48 heures.
3.4 Tokens et sécurité
- Les tokens d'accès OAuth sont stockés de manière sécurisée et chiffrée
- Toutes les communications avec Strava utilisent HTTPS
- Nous ne stockons jamais votre mot de passe Strava
3.5 Révocation de l'accès
Vous pouvez révoquer l'accès de StrideMatch à vos données Strava à tout moment :
- Depuis vos paramètres Strava (Applications autorisées)
- En nous contactant directement à app@stridematch.io
Lors de la révocation, toutes vos Données Strava seront supprimées de nos systèmes.
3.6 Monitoring par Strava
Conformément au Contrat relatif à l'API Strava, Strava peut surveiller et collecter des données relatives à l'utilisation de son API par StrideMatch (Données d'utilisation). Ces données peuvent être utilisées par Strava à des fins commerciales, notamment pour améliorer leurs services.
3.7 Attribution des données tierces
Les données d'activité obtenues via l'API Strava peuvent inclure des données provenant d'appareils tiers (Garmin, Suunto, Polar, etc.). Ces données restent soumises aux politiques de confidentialité de leurs fabricants respectifs.
Voir aussi : Politique de confidentialité Strava
4. Intégration Garmin Connect
Si vous connectez votre compte Garmin, nous accédons aux données suivantes via l'API Garmin Connect :
- Données d'activité (distance, durée, allure, dénivelé, trace GPS)
- Fréquence cardiaque et métriques de performance
- Informations sur l'équipement (chaussures)
Ces données sont utilisées uniquement pour :
- Construire votre profil de coureur personnalisé
- Suivre l'usure de vos chaussures en fonction de vos activités
- Fournir des recommandations de chaussures adaptées
Nous ne vendons, ne partageons et n'utilisons pas les données Garmin à des fins publicitaires. Les données sont affichées uniquement pour vous et supprimées sur demande ou lors de la déconnexion de votre compte.
5. Finalités du traitement
Vos données sont utilisées exclusivement pour :
- Recommandation de chaussures : Analyser votre profil de coureur pour vous proposer les chaussures adaptées à votre pratique
- Suivi d'usure : Calculer l'usure de vos chaussures basé sur vos activités (distance, terrain, dénivelé positif/négatif)
- Alertes personnalisées : Vous notifier quand vos chaussures doivent être remplacées
- Gestion de votre compte
Ce que nous ne faisons PAS avec vos données :
- Nous ne vendons jamais vos données à des tiers
- Nous ne les utilisons pas pour entraîner des modèles d'IA génériques
- Nous ne les partageons pas à des fins publicitaires
- Nous ne les transférons pas à des annonceurs ou courtiers de données
- Nous n'affichons pas vos données à d'autres utilisateurs
6. Base légale du traitement
| Type de données | Base légale |
|---|---|
| Données de compte | Exécution du contrat (CGU) |
| Données d'entraînement Strava | Consentement explicite |
| Données de santé (HR, HRV) | Consentement explicite (RGPD Art. 9.2.a) |
| Cookies analytiques | Consentement |
7. Durée de conservation
- Données de compte : Pendant la durée de votre compte + 3 ans après clôture
- Données Strava en cache : Maximum 7 jours (conformément au Contrat API Strava)
- Tokens OAuth : Jusqu'à révocation ou expiration
- Cookies : Maximum 13 mois
Vous pouvez demander la suppression de vos données à tout moment.
8. Vos droits (RGPD)
Conformément au Règlement Général sur la Protection des Données, vous disposez des droits suivants :
- Droit d'accès : Obtenir une copie de toutes vos données personnelles
- Droit de rectification : Corriger vos données inexactes ou incomplètes
- Droit à l'effacement : Supprimer vos données ("droit à l'oubli")
- Droit à la limitation : Restreindre le traitement de vos données
- Droit à la portabilité : Recevoir vos données dans un format structuré et lisible par machine (JSON, CSV)
- Droit d'opposition : Vous opposer au traitement de vos données
- Droit de retirer votre consentement : À tout moment, sans impact sur la licéité du traitement effectué avant le retrait
Pour exercer vos droits :
- Email : app@stridematch.io
Réclamation : Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés).
9. Partage des données
Vos données sont strictement confidentielles et ne sont jamais vendues.
Elles peuvent être accessibles à :
- L'équipe StrideMatch : Pour le fonctionnement du service
- Nos sous-traitants techniques : Hébergement (Vercel, AWS), base de données, email transactionnel - tous soumis à des obligations de confidentialité
Nous ne partageons aucune donnée avec des plateformes publicitaires, des courtiers de données ou des annonceurs, même avec votre consentement (conformément au Contrat relatif à l'API Strava).
10. Sécurité des données
Nous mettons en oeuvre les mesures de sécurité suivantes :
- Chiffrement des données en transit (HTTPS/TLS)
- Chiffrement des données sensibles au repos
- Authentification sécurisée (OAuth 2.0)
- Accès restreint aux données (principe du moindre privilège)
- Journalisation des accès
9.1 Notification en cas de violation
Engagement de notification : En cas de violation de sécurité impliquant des Données Strava ou des données personnelles, nous nous engageons à :
- Notifier Strava dans les 24 heures suivant la découverte de l'incident
- Informer les utilisateurs concernés dans les meilleurs délais
- Notifier la CNIL dans les 72 heures si requis par le RGPD
11. Transferts internationaux
Certains de nos sous-traitants peuvent être situés en dehors de l'Union Européenne (notamment États-Unis). Dans ce cas, nous nous assurons que des garanties appropriées sont en place :
- Clauses Contractuelles Types (CCT) de la Commission Européenne
- Certification des prestataires (ex: SOC 2)
12. Cookies
Nous utilisons des cookies strictement nécessaires au fonctionnement du service. Aucun cookie publicitaire ou de tracking n'est utilisé.
13. Modifications de cette politique
Nous pouvons mettre à jour cette politique de confidentialité. En cas de modification substantielle, nous vous en informerons par email ou via une notification sur le site.
14. Contact
Pour toute question relative à la protection de vos données :
- Email DPO : dpo@stridematch.io
- Email général : app@stridematch.io
- Adresse postale : StrideMatch SAS - DPO, 1 place Marie Curie, 74000 Annecy, France
15. Conformité au Contrat API Strava
L'utilisation des données Strava par StrideMatch est conforme au Contrat relatif à l'API Strava, notamment :
- Les données d'un utilisateur ne sont affichées qu'à cet utilisateur
- Aucune donnée n'est vendue, louée ou transférée à des tiers
- Les données ne sont pas utilisées pour entraîner des modèles d'IA
- Le cache des données est limité à 7 jours maximum
- Les suppressions Strava sont synchronisées sous 48 heures
- Les violations de sécurité sont notifiées à Strava sous 24 heures
Privacy Policy
Last updated: January 28, 2026
Summary: StrideMatch collects your training data (with your consent) to recommend running shoes suited to your practice. Your data is never sold and you retain full control.
1. Data Controller
Data is collected and processed by:
StrideMatch SAS1 place Marie Curie
74000 Annecy - France
Email: app@stridematch.io
2. Data Collected
We collect the following categories of data:
2.1 Account Data
- Identity (name, email)
- Runner profile (level, goals, preferences)
- Service usage history
2.2 Training Data (via integrations)
- Running activities (distance, duration, pace, elevation)
- Heart rate and cadence
- GPS tracks
- Gear (registered shoes)
2.3 Health Data (special category - GDPR Art. 9)
Important: Some data collected via integrations is considered health data under GDPR:
- Heart rate (average, max, zones)
- Heart rate variability (HRV)
- Sleep data (duration, phases, quality)
- Recovery metrics
Legal basis: Processing of this health data is based on your explicit consent (GDPR Art. 9.2.a), given when you voluntarily connect your training account. This consent is freely given, specific, informed, and unambiguous.
3. Strava Integration
StrideMatch can connect to your Strava account to retrieve your training data. This integration requires your explicit consent.
3.1 Data Accessed via Strava
If you connect your Strava account, we access the following data:
- Public profile information (name, photo)
- Activity statistics (distance, duration, elevation, pace)
- Heart rate and cadence
- Running activity history
- Registered shoe information
3.2 Cache Duration
In compliance with the Strava API Agreement: Strava Data is cached for a maximum duration of 7 days. Beyond this period, data is automatically deleted or refreshed from Strava.
3.3 Deletion Synchronization
If you delete data from Strava, those deletions will be reflected in StrideMatch within a maximum of 48 hours.
3.4 Tokens and Security
- OAuth access tokens are stored securely and encrypted
- All communications with Strava use HTTPS
- We never store your Strava password
3.5 Revoking Access
You can revoke StrideMatch's access to your Strava data at any time:
- From your Strava settings (Authorized Applications)
- By contacting us directly at app@stridematch.io
Upon revocation, all your Strava Data will be deleted from our systems.
3.6 Strava Monitoring
In accordance with the Strava API Agreement, Strava may monitor and collect data related to StrideMatch's use of its API (Usage Data). This data may be used by Strava for commercial purposes, including to improve their services.
3.7 Third-Party Data Attribution
Activity data obtained via the Strava API may include data from third-party devices (Garmin, Suunto, Polar, etc.). This data remains subject to the privacy policies of their respective manufacturers.
See also: Strava Privacy Policy
4. Garmin Connect Integration
If you connect your Garmin account, we access the following data via the Garmin Connect API:
- Activity data (distance, duration, pace, elevation, GPS trace)
- Heart rate and performance metrics
- Gear/equipment information
This data is used solely to:
- Build your personalized runner profile
- Track shoe wear based on your activities
- Provide shoe recommendations
We do not sell, share, or use Garmin data for advertising purposes. Data is displayed only to you and deleted upon request or account disconnection.
5. Purpose of Processing
Your data is used exclusively for:
- Shoe recommendations: Analyzing your runner profile to suggest shoes suited to your practice
- Wear tracking: Calculating shoe wear based on your activities (distance, terrain, elevation gain/loss)
- Personalized alerts: Notifying you when your shoes need to be replaced
- Account management
What we do NOT do with your data:
- We never sell your data to third parties
- We do not use it to train generic AI models
- We do not share it for advertising purposes
- We do not transfer it to advertisers or data brokers
- We do not display your data to other users
6. Legal Basis for Processing
| Data Type | Legal Basis |
|---|---|
| Account data | Performance of contract (ToS) |
| Strava training data | Explicit consent |
| Health data (HR, HRV) | Explicit consent (GDPR Art. 9.2.a) |
| Analytics cookies | Consent |
7. Data Retention
- Account data: For the duration of your account + 3 years after closure
- Cached Strava data: Maximum 7 days (per Strava API Agreement)
- OAuth tokens: Until revocation or expiration
- Cookies: Maximum 13 months
You may request deletion of your data at any time.
8. Your Rights (GDPR)
Under the General Data Protection Regulation, you have the following rights:
- Right of access: Obtain a copy of all your personal data
- Right to rectification: Correct inaccurate or incomplete data
- Right to erasure: Delete your data ("right to be forgotten")
- Right to restriction: Restrict the processing of your data
- Right to portability: Receive your data in a structured, machine-readable format (JSON, CSV)
- Right to object: Object to the processing of your data
- Right to withdraw consent: At any time, without affecting the lawfulness of processing carried out before withdrawal
To exercise your rights:
- Email: app@stridematch.io
Complaints: If you believe your rights are not being respected, you may file a complaint with the CNIL (French Data Protection Authority).
9. Data Sharing
Your data is strictly confidential and is never sold.
It may be accessible to:
- The StrideMatch team: For service operation
- Our technical subcontractors: Hosting (Vercel, AWS), database, transactional email - all bound by confidentiality obligations
We do not share any data with advertising platforms, data brokers, or advertisers, even with your consent (in compliance with the Strava API Agreement).
10. Data Security
We implement the following security measures:
- Data encryption in transit (HTTPS/TLS)
- Encryption of sensitive data at rest
- Secure authentication (OAuth 2.0)
- Restricted data access (principle of least privilege)
- Access logging
9.1 Breach Notification
Notification commitment: In the event of a security breach involving Strava Data or personal data, we commit to:
- Notify Strava within 24 hours of discovering the incident
- Inform affected users as soon as possible
- Notify the CNIL within 72 hours if required by GDPR
11. International Transfers
Some of our subcontractors may be located outside the European Union (notably the United States). In such cases, we ensure that appropriate safeguards are in place:
- Standard Contractual Clauses (SCCs) of the European Commission
- Provider certifications (e.g., SOC 2)
12. Cookies
We use cookies strictly necessary for the operation of the service. No advertising or tracking cookies are used.
13. Changes to This Policy
We may update this privacy policy. In the event of a material change, we will inform you by email or via a notification on the site.
14. Contact
For any questions regarding data protection:
- DPO Email: dpo@stridematch.io
- General Email: app@stridematch.io
- Postal address: StrideMatch SAS - DPO, 1 place Marie Curie, 74000 Annecy, France
15. Strava API Agreement Compliance
StrideMatch's use of Strava data complies with the Strava API Agreement, including:
- A user's data is only displayed to that user
- No data is sold, rented, or transferred to third parties
- Data is not used to train AI models
- Data caching is limited to 7 days maximum
- Strava deletions are synchronized within 48 hours
- Security breaches are reported to Strava within 24 hours