Politique de confidentialité
La présente politique décrit comment Nourish, édité par Pierre Logrado (entrepreneur individuel), collecte et traite les données personnelles de ses utilisateurs, conformément au Règlement (UE) 2016/679 (RGPD) et à la loi « Informatique et Libertés ».
1. Responsable du traitement
- Pierre Logrado, entrepreneur individuel — SIRET 839 491 024 00031
- 8 rue des Jonquilles, 40530 Labenne, France
- Contact pour toute question relative aux données personnelles : contact@pierrelgd.fr
Point de contact RGPD. Compte tenu de la taille de la structure, aucun délégué à la protection des données (DPO) n'est désigné à ce stade ; M. Pierre Logrado est le point de contact pour toute question relative aux données. La désignation d'un DPO sera réévaluée en cas de montée en charge significative (voir document interne de conformité).
2. Âge minimum
L'Application est réservée aux personnes âgées de 18 ans révolus. Aucune collecte n'est sciemment effectuée auprès de mineurs. Si nous apprenons qu'un compte a été créé par un mineur, nous le supprimons.
3. Données que nous collectons
À la création du compte (via notre prestataire d'authentification Clerk) :
- adresse e-mail, mot de passe (stocké et géré par Clerk, jamais par nous), prénom et nom ;
- en cas d'inscription via Google : informations de profil Google de base et photo éventuelle.
Lors de l'intégration (onboarding) et de la calibration :
- réponses au questionnaire d'orientation (relation à l'alimentation, habitudes et ressentis) ;
- sexe biologique, âge, taille, poids, niveau d'activité, orientation d'objectif corporel ;
- mode d'utilisation retenu (« Objectif » ou « Apaisement ») et objectifs nutritionnels associés.
Lors de l'utilisation :
- journal alimentaire : descriptions de repas (texte libre), aliments et quantités, horaires, notes libres, niveaux de faim et de satiété ;
- aliments et recettes personnels créés par l'utilisateur.
Données de paiement :
- gérées directement par Stripe. Nous ne stockons jamais vos coordonnées bancaires. Nous conservons uniquement un identifiant client Stripe et l'état de votre abonnement.
Données techniques :
- données strictement nécessaires au fonctionnement et à la sécurité (journaux de connexion, fuseau horaire, mécanismes de limitation contre les abus).
Traitement par intelligence artificielle
Lorsque vous décrivez un repas en texte libre, cette description est transmise à notre sous-traitant Mistral AI (société française, traitement réalisé au sein de l'Union européenne) afin d'en extraire automatiquement les aliments et de structurer votre saisie. Cette description pouvant refléter des informations relatives à votre santé, elle est traitée avec le même niveau de protection que les autres données de santé (voir section 4).
L'IA ne produit aucun conseil, recommandation ou objectif nutritionnel. Elle sert uniquement à la reconnaissance d'aliments. Vos données ne sont pas utilisées pour entraîner les modèles de Mistral AI.
4. Données de santé (catégories particulières — article 9 RGPD)
Certaines données traitées relèvent des catégories particulières de données au sens de l'article 9 du RGPD : poids, comportements alimentaires, ressentis de faim et de satiété, descriptions de repas en texte libre, et résultat du questionnaire d'orientation, qui peut refléter un rapport sensible à l'alimentation.
Le traitement de ces données repose sur votre consentement explicite (article 9.2.a du RGPD), recueilli de manière distincte au moment de l'inscription et de l'onboarding. Vous pouvez retirer ce consentement à tout moment (voir section 9). Le retrait entraîne la suppression des données concernées et, le cas échéant, la fermeture du compte, le service ne pouvant fonctionner sans ces données.
5. Finalités et bases légales
| Finalité | Base légale |
|---|---|
| Création et gestion du compte | Exécution du contrat |
| Personnalisation du parcours (mode, objectifs) | Consentement explicite (données de santé) |
| Journal alimentaire et fonctionnalités de suivi | Exécution du contrat et consentement explicite (données de santé) |
| Reconnaissance d'aliments par IA | Consentement explicite (données de santé) |
| Gestion de l'abonnement et des paiements | Exécution du contrat |
| Envoi d'e-mails liés au service (transactionnels) | Exécution du contrat |
| Envoi d'e-mails marketing ou newsletter | Consentement (opt-in explicite et révocable) |
| Sécurité et prévention des abus | Intérêt légitime |
6. Destinataires et sous-traitants
Vos données sont partagées uniquement avec les sous-traitants nécessaires au fonctionnement du service, chacun encadré par un accord de traitement des données (DPA) :
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| Neon, Inc. | Base de données (stockage durable des données) | Union européenne (Francfort) |
| Vercel, Inc. | Hébergement et exécution de l'application, acheminement des requêtes | Union européenne (Francfort) — société établie aux États-Unis |
| Clerk, Inc. | Authentification (e-mail, mot de passe, profil) | États-Unis |
| Stripe, Inc. | Paiement et gestion de l'abonnement | États-Unis et international |
| Mistral AI (SAS) | Reconnaissance d'aliments par IA à partir des descriptions de repas. Aucune recommandation ni conseil généré. | Union européenne (France) |
| OVH (OVH SAS) | Hébergement de la messagerie de contact (contact@pierrelgd.fr) | Union européenne (France) |
| Systeme.io | E-mailing et marketing (e-mail, prénom, segments) | France |
| Upstash, Inc. | Limitation contre les abus (identifiant technique uniquement) | Union européenne (Francfort) — société établie aux États-Unis |
| Cloudflare, Inc. | Protection contre les robots à l'inscription | États-Unis |
7. Transferts hors Union européenne
Le traitement applicatif et le stockage durable des données personnelles ont lieu dans l'Union européenne : exécution sur l'infrastructure Vercel en région Francfort, base de données Neon à Francfort, e-mailing Systeme.io en France, messagerie de contact OVH en France.
La limitation contre les abus (Upstash) s'exécute désormais elle aussi en Union européenne (Francfort), et la reconnaissance d'aliments par IA (Mistral AI) est assurée par une société française traitant les données au sein de l'Union européenne : aucune description de repas n'est transférée hors UE à ce titre.
Vercel et Upstash restant des sociétés établies aux États-Unis (alors même que le traitement et le stockage s'effectuent à Francfort, dans l'Union européenne), des accès résiduels (support, journaux techniques, plan de contrôle) peuvent impliquer les États-Unis ; ils sont encadrés par le Data Privacy Framework et/ou les clauses contractuelles types. D'autres sous-traitants sont par ailleurs situés aux États-Unis (Clerk, Stripe, Cloudflare).
Ces transferts sont encadrés comme suit :
| Sous-traitant | Mécanisme de transfert |
|---|---|
| Vercel, Inc. | Certifié EU-U.S. Data Privacy Framework, complété par les clauses contractuelles types |
| Stripe, Inc. | Certifié EU-U.S. Data Privacy Framework, complété par les clauses contractuelles types |
| Clerk, Inc. | Certifié EU-U.S. Data Privacy Framework, complété par les clauses contractuelles types |
| Cloudflare, Inc. | Certifié EU-U.S. Data Privacy Framework, complété par les clauses contractuelles types |
| Mistral AI (SAS) | Aucun transfert hors UE (société française, traitement en Union européenne) ; encadré par un accord de traitement (DPA) |
| Upstash, Inc. | Traitement et stockage en Union européenne (Francfort) ; les accès résiduels de la société (établie aux États-Unis) sont encadrés par les clauses contractuelles types |
8. Durées de conservation
- Compte et données associées : conservés tant que le compte est actif, puis supprimés 24 mois après la dernière activité.
- Données de facturation : conservées conformément aux obligations comptables légales (10 ans).
- Données marketing : conservées jusqu'au retrait du consentement, puis supprimées dans un délai de 3 mois.
En cas de suppression du compte, l'ensemble des données personnelles est supprimé, sous réserve des obligations légales de conservation. Les données techniques liées sont effacées en cascade.
9. Vos droits
Vous disposez des droits d'accès, de rectification, d'effacement, de limitation, de portabilité et d'opposition, ainsi que du droit de retirer votre consentement à tout moment. Pour les exercer, écrivez à contact@pierrelgd.fr. Une réponse vous sera apportée dans un délai d'un mois.
Vous pouvez également introduire une réclamation auprès de la CNIL (www.cnil.fr).
10. Sécurité et hébergement des données de santé
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées : chiffrement des échanges (HTTPS), gestion des accès, stockage de la base de données dans l'Union européenne, limitation contre les abus, et minimisation des données.
Position retenue sur l'hébergement HDS. L'article L.1111-8 du Code de la santé publique impose un hébergeur certifié HDS pour les données de santé recueillies dans un contexte de soins (prévention, diagnostic, soins, suivi médico-social). Nourish étant un outil de bien-être et d'éducation hors parcours de soins, et non un acteur de santé recueillant des données pour le compte de professionnels ou d'établissements, nous considérons que cette obligation ne s'applique pas en l'état. Notre base de données (Neon, Union européenne, Francfort) est conforme à la norme ISO 27001 sans être certifiée HDS.
11. Cookies
L'Application utilise uniquement des cookies et traceurs strictement nécessaires à son fonctionnement (session d'authentification Clerk, préférences). Aucun traceur publicitaire ou de mesure d'audience tiers n'est utilisé. Ces traceurs étant exemptés de consentement préalable, aucune bannière de consentement n'est requise.
Si un outil de mesure d'audience ou d'analyse était ajouté ultérieurement, une bannière de consentement conforme aux lignes directrices de la CNIL serait mise en place, avec un refus aussi simple que l'acceptation.
12. Modification
La présente politique peut être mise à jour. Toute modification substantielle sera portée à votre connaissance via l'Application ou par e-mail.