01Notre engagement
Shape Me Up traite des données sensibles : pathologies, allergies, mensurations, photos de pesée, mood logs. Ces données restent chez toi, chiffrées, hébergées en Union européenne, jamais revendues à un tiers.
En 4 lignes : RGPD strict, hébergement EU exclusif (Azure West Europe), chiffrement en transit (TLS 1.3) et au repos (AES-256), aucune revente. Tu peux tout exporter ou tout effacer à tout moment, sans nous demander la permission.
02Responsable du traitement
Le responsable du traitement de tes données personnelles est :
- <Brand> SAS — RCS Paris <numéro TBD>
- Siège : <adresse légale TBD>
- Contact général : contact@<domain>
- Contact DPO : dpo@<domain>
03Données collectées
On collecte uniquement ce dont on a besoin pour faire fonctionner l'app et tenir nos engagements. Voici la liste exhaustive, par catégorie :
| Catégorie | Exemples | Sensible ? |
|---|---|---|
| Identité | Email, prénom, mot de passe (haché) | Non |
| Profil santé | Pathologies, allergies, intolérances, régimes choisis | Oui (RGPD art. 9) |
| Mensurations | Poids, taille, tour de taille, % de gras, photos de pesée | Oui |
| Profil sport | Niveau, matériel, jours off, blessures | Non |
| Profil cuisine | Équipement, foyer, budget, semaine type | Non |
| Activité app | Recettes vues, séances effectuées, repas validés, glycémies loggées | Oui |
| Logs techniques | IP, user-agent, timestamps de connexion (anonymisés à 30 j) | Non |
À ce stade (phase de pré-inscription waitlist), seul l'email est collecté via le formulaire de liste d'attente. Le reste s'applique à l'app une fois lancée.
04Finalités
Pour chaque catégorie de données, on a défini une finalité claire. Si une finalité n'apparaît pas ici, on ne traite pas tes données pour ça.
- Pré-inscription waitlist : t'envoyer un email d'invitation au lancement avec ton code « 3 mois Premium offerts ».
- Personnalisation : composer ton menu, tes courses, tes séances calibrés sur ton profil santé + sport.
- Suivi : afficher tes graphiques d'évolution (poids, mensurations, glycémie, sommeil).
- Adaptation : ajuster ton plan en fonction du contexte (météo, voyage, écart alimentaire).
- Sécurité : prévenir les abus, détecter les connexions suspectes, protéger ton compte.
- Support : répondre à tes questions, traiter les bugs et les demandes d'aide.
- Amélioration produit : statistiques agrégées et anonymisées sur l'usage des fonctionnalités. Aucune donnée identifiante n'est utilisée.
05Base légale (RGPD art. 6 et 9)
| Traitement | Base légale RGPD |
|---|---|
| Création de compte + accès Free | Exécution du contrat (art. 6.1.b) |
| Données de santé (pathologies, glycémie…) | Consentement explicite (art. 9.2.a) |
| Pré-inscription waitlist | Consentement (art. 6.1.a) |
| Cookies analytique + préférences | Consentement (art. 6.1.a) |
| Cookies essentiels (session, sécurité) | Intérêt légitime (art. 6.1.f) |
| Newsletter, communication marketing | Consentement (art. 6.1.a) — opt-in distinct, révocable à tout moment |
06Durée de conservation
| Type de donnée | Durée | Après cette durée |
|---|---|---|
| Email waitlist | Jusqu'au lancement + 12 mois | Suppression |
| Compte actif | Tant que tu utilises l'app | — |
| Compte inactif | 12 mois après dernière connexion | Email de réactivation, puis suppression |
| Profil santé après suppression de compte | Suppression immédiate, irréversible | — |
| Données de facturation | 10 ans (obligation légale FR) | Suppression automatique |
| Logs de sécurité | 12 mois | Anonymisation puis suppression |
| Cookies analytique (consenti) | 13 mois maximum | Suppression automatique |
07Destinataires
Tes données ne sortent pas du périmètre Shape Me Up, sauf pour les sous-traitants suivants — tous liés contractuellement par un accord de sous-traitance RGPD (art. 28) :
| Sous-traitant | Service | Localisation |
|---|---|---|
| Microsoft Ireland Operations Limited | Hébergement application + base de données | One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Irlande |
| Plausible Analytics | Analytique web (sans cookies, agrégée) | EU (Allemagne) |
Cette liste sera mise à jour lors de l'entrée en phase transactionnelle : à ce moment, nous ajouterons les sous-traitants nécessaires au traitement des paiements, à l'envoi d'emails transactionnels et au monitoring d'erreurs. Tu en seras informé(e) par notification dans l'app et par mise à jour de ce document.
Aucune de tes données médicales ne quitte Microsoft Ireland Operations Limited One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Irlande.
08Transferts hors UE
Aucun transfert hors UE n'est effectué pour les données utilisateurs. Tous nos sous-traitants sont localisés dans l'Espace Économique Européen (EEE) ou dans un pays bénéficiant d'une décision d'adéquation de la Commission européenne.
Si à l'avenir un transfert hors UE devait s'avérer nécessaire (cas extrêmement rare), il serait encadré par les Clauses Contractuelles Types (CCT) de la Commission européenne (décision 2021/914) et tu serais informé(e) en amont avec possibilité de t'y opposer.
09Tes droits (RGPD art. 15-22)
Droit d'accès
Obtenir une copie de toutes les données qu'on détient sur toi, en format lisible.
Droit de rectification
Corriger toute donnée inexacte ou incomplète te concernant.
Droit à l'effacement
Demander la suppression définitive de ton compte et de toutes tes données.
Droit à la portabilité
Récupérer tes données dans un format structuré, lisible par machine (JSON).
Droit à la limitation
Demander la suspension du traitement de tes données.
Droit d'opposition
T'opposer au traitement de tes données pour motifs légitimes (notamment marketing).
Comment exercer tes droits ? Email à dpo@<domain> avec une copie d'une pièce d'identité pour vérification. Réponse sous 30 jours (RGPD art. 12), gratuite, jamais conditionnée.
Tu peux aussi exercer la plupart de ces droits directement dans les paramètres de l'app : « Exporter mes données », « Supprimer mon compte ».
10DPO + recours CNIL
Délégué à la protection des données (DPO)
<Brand> SAS a désigné un délégué à la protection des données pour traiter toute question RGPD :
- Email : dpo@<domain>
- Postal : <Brand> SAS — DPO, <adresse légale TBD>
Recours CNIL
Si tu estimes que le traitement de tes données viole la réglementation, tu disposes du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
- +33 (0)1 53 73 22 22
- www.cnil.fr · formulaire de plainte en ligne
On préfère qu'on en parle directement avant — écris-nous d'abord à dpo@<domain>, on s'engage à une réponse humaine sous 48 h ouvrées.