Politique de Confidentialité

Chez Nutri AI, la protection de vos données personnelles est une priorité absolue. Cette politique de confidentialité explique de manière claire et transparente comment nous collectons, utilisons, stockons et protégeons vos informations personnelles, en conformité avec le Règlement Général sur la Protection des Données (RGPD) et les autres réglementations applicables en matière de protection des données.

Cette politique s'applique à tous nos services, y compris notre plateforme web, nos applications mobiles, nos newsletters, et tout autre service offert par Nutri AI. En utilisant nos services, vous acceptez les pratiques décrites dans cette politique.

Nous nous engageons à traiter vos données de manière responsable, sécurisée et uniquement pour les finalités que nous avons clairement définies.

Pour une meilleure compréhension de cette politique, voici les définitions clés :

• Données personnelles : Toute information se rapportant à une personne physique identifiée ou identifiable (nom, prénom, adresse email, numéro de téléphone, données de localisation, etc.)
• Traitement : Toute opération ou ensemble d'opérations effectuées sur des données personnelles (collecte, enregistrement, organisation, conservation, etc.)
• Responsable du traitement : L'entité qui détermine les finalités et les moyens du traitement (Nutri AI)
• Sous-traitant : L'entité qui traite des données pour le compte du responsable du traitement
• Destinataire : La personne physique ou morale, l'autorité publique qui reçoit communication des données personnelles
• Consentement : Toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte le traitement de ses données
• Violation de données : Une brèche de sécurité entraînant la destruction, la perte, l'altération accidentelle ou illicite, ou la divulgation non autorisée de données

Le responsable du traitement des données personnelles collectées via nos services est :

CMC AGENCY
4801 Lang Ave NE Ste 110 PMB 1019
Albuquerque, NM 87109
États-Unis

Représentant européen : Conformément au RGPD, nous avons désigné un représentant dans l'Union Européenne pour faciliter les communications avec les autorités de contrôle européennes.

Délégué à la protection des données (DPD/DPO) : Notre DPO peut être contacté à l'adresse [email protected] pour toute question relative à la protection des données.

3.1 Données collectées automatiquement

Lorsque vous visitez notre site web ou utilisez nos applications, nous collectons automatiquement certaines informations :

• Données techniques : Adresse IP, type de navigateur, version du système d'exploitation, résolution d'écran, langue préférée
• Données de navigation : Pages visitées, durée de visite, clics, scroll, provenance du trafic
• Cookies et technologies similaires : Identifiants uniques, préférences de navigation, données de session
• Données de localisation : Pays, région, ville (basé sur l'adresse IP, avec possibilité d'opt-out)

3.2 Données collectées lors de l'inscription

Pour accéder à nos services premium, nous collectons :

• Informations d'identification : nom, prénom, adresse email, mot de passe (hashé)
• Données de profil : âge, sexe, objectifs nutritionnels, restrictions alimentaires
• Préférences : langue, notifications souhaitées, paramètres d'affichage

3.3 Données de santé et nutritionnelles

Dans le cadre de nos services de nutrition personnalisée :

• Données anthropométriques : poids, taille, IMC, composition corporelle
• Historique alimentaire : habitudes alimentaires, allergies, intolérances
• Objectifs de santé : perte de poids, prise de masse, maintenance
• Données médicales : uniquement si explicitement fournies par l'utilisateur

Ces données sont traitées avec la plus haute confidentialité et ne sont jamais partagées avec des tiers sans consentement explicite.

3.4 Données collectées via les formulaires de contact

• Adresse email et nom pour répondre à vos questions
• Contenu de votre message et historique des échanges
• Données techniques liées à l'envoi (horodatage, IP)

Conformément au RGPD, chaque traitement de données personnelles doit reposer sur une base légale valide. Voici les bases que nous utilisons :

4.1 Le consentement (Article 6.1.a RGPD)

• Inscription à la newsletter
• Utilisation de cookies non essentiels
• Partage de données avec partenaires (marketing)
• Collecte de données sensibles (santé, religion)

4.2 L'exécution d'un contrat (Article 6.1.b RGPD)

• Création et gestion de votre compte utilisateur
• Fourniture de nos services de nutrition personnalisée
• Traitement des paiements et facturation
• Support client et assistance technique

4.3 L'intérêt légitime (Article 6.1.f RGPD)

• Analyse de l'utilisation du site pour amélioration
• Prévention de la fraude et sécurité
• Marketing direct (si pas d'opposition)
• Personnalisation de l'expérience utilisateur

4.4 L'obligation légale (Article 6.1.c RGPD)

• Conservation de données pour conformité fiscale
• Réponse à des demandes légales ou judiciaires
• Signalement d'activités illégales

4.5 Les intérêts vitaux (Article 6.1.d RGPD)

Rarement utilisé, principalement en cas d'urgence médicale ou situation de danger imminent.

5.1 Fourniture de nos services

• Création de plans nutritionnels personnalisés
• Génération de recettes adaptées à vos besoins
• Suivi de vos progrès et ajustements des recommandations
• Accès à votre tableau de bord personnel

5.2 Communication et support

• Réponse à vos questions et demandes d'assistance
• Envoi d'informations importantes sur vos services
• Notifications sur les mises à jour et nouvelles fonctionnalités
• Enquêtes de satisfaction et feedback

5.3 Amélioration de nos services

• Analyse des données d'utilisation pour optimiser l'expérience
• Développement de nouvelles fonctionnalités
• Recherche et développement en nutrition
• Tests A/B et études statistiques

5.4 Marketing et communication commerciale

• Envoi de newsletters (avec consentement)
• Offres promotionnelles personnalisées
• Recommandations de produits complémentaires
• Invitations à des événements ou webinaires

5.5 Sécurité et conformité

• Détection et prévention de la fraude
• Vérification de l'identité des utilisateurs
• Respect des obligations légales
• Audit et contrôle interne

6.1 Types d'emails envoyés

Nous envoyons différents types d'emails, chacun avec des finalités spécifiques :

Emails transactionnels (obligatoires)

• Confirmation d'inscription et activation de compte
• Récupération de mot de passe
• Confirmations de commande et factures
• Mises à jour importantes de sécurité
• Notifications sur l'expiration de l'abonnement

Emails marketing (avec consentement)

• Newsletter hebdomadaire avec conseils nutritionnels
• Nouvelles recettes et guides gratuits
• Offres spéciales et promotions
• Invitations à des challenges nutritionnels
• Annonces de nouvelles fonctionnalités

Emails relationnels

• Rappels de connexion pour les comptes inactifs
• Félicitations pour les objectifs atteints
• Conseils personnalisés basés sur vos progrès
• Sondages de satisfaction

6.2 Gestion des abonnements

Tous nos emails contiennent :

• Un lien de désabonnement en un clic
• Notre adresse email pour toute question
• Informations sur l'expéditeur et la finalité
• Possibilité de modifier vos préférences

6.3 Fréquence des envois

• Newsletter : 1 fois par semaine maximum
• Emails promotionnels : 2-3 fois par mois maximum
• Emails transactionnels : Selon les besoins (inscription, commandes, etc.)
• Emails de suivi : Adapté à votre niveau d'engagement

6.4 Listes de diffusion

Nous segmentons nos listes selon :

• Vos centres d'intérêt (perte de poids, musculation, santé)
• Votre niveau d'engagement (nouveau, actif, inactif)
• Vos préférences explicites
• Votre historique d'ouverture et de clics

7.1 Principes généraux

Nous ne vendons, louons ou partageons jamais vos données personnelles avec des tiers à des fins commerciales sans votre consentement explicite. Le partage de données ne se fait que dans les cas suivants :

7.2 Sous-traitants et prestataires de services

• Hébergement : OVH, AWS - Données stockées en Europe
• Email marketing : Mailchimp, Sendinblue - Conformité RGPD
• Analytics : Google Analytics, Matomo - Données pseudonymisées
• Paiements : Stripe, PayPal - Traitement sécurisé des transactions
• Support client : Zendesk, Intercom - Gestion des tickets
• Sauvegarde : Solutions de backup européennes

7.3 Partenaires commerciaux

Uniquement avec votre consentement explicite :

• Partenaires nutritionnels pour des recommandations personnalisées
• Coachs sportifs pour programmes combinés
• Laboratoires d'analyse pour études de recherche

7.4 Obligations légales

• Réponse à des demandes judiciaires ou administratives
• Signalement d'activités illégales aux autorités compétentes
• Protection des droits et sécurité d'autrui

7.5 Transferts internationaux

Dans le respect du RGPD :

• Décision d'adéquation de la Commission Européenne
• Clauses contractuelles types
• Règles d'entreprise contraignantes
• Certification Privacy Shield (si applicable)

Nous conservons vos données personnelles uniquement le temps nécessaire aux finalités pour lesquelles elles ont été collectées :

8.1 Données de compte utilisateur

• Compte actif : Durée de votre abonnement + 3 ans après résiliation
• Compte supprimé : Suppression immédiate, sauf obligations légales
• Mot de passe : Hashé de manière irréversible, conservé indéfiniment pour sécurité

8.2 Données de santé et nutritionnelles

• Données sensibles : 5 ans maximum après la dernière utilisation
• Historique nutritionnel : Conservé pendant la durée du compte
• Données médicales : 10 ans (conformité réglementaire)

8.3 Données de communication

• Emails transactionnels : 5 ans (obligations fiscales)
• Support client : 3 ans après résolution du ticket
• Newsletters : Jusqu'à désabonnement + 3 ans pour preuve de consentement

8.4 Données analytiques

• Cookies essentiels : Durée de session ou 13 mois maximum
• Données de navigation : 25 mois maximum (Google Analytics)
• Logs serveurs : 1 an maximum

8.5 Données de paiement

• Informations bancaires : Non stockées par nos soins (Stripe/PayPal)
• Historique des transactions : 10 ans (obligations légales)

9.1 Mesures techniques

• Chiffrement : TLS 1.3 pour toutes les transmissions, AES-256 pour le stockage
• Authentification : Mot de passe fort + authentification à deux facteurs (2FA)
• Contrôle d'accès : Principe du moindre privilège, logs d'accès
• Sauvegarde : Sauvegardes chiffrées quotidiennes, tests de restauration
• Monitoring : Surveillance 24/7 des systèmes et détection d'intrusions

9.2 Mesures organisationnelles

• Formation : Sensibilisation RGPD pour tous les employés
• Audits : Révision annuelle des pratiques de sécurité
• Politiques : Charte informatique, politique de mots de passe
• Gestion des incidents : Plan de réponse aux violations de données

9.3 Mesures physiques

• Datacenters : Infrastructures certifiées ISO 27001
• Accès : Contrôle d'accès biométrique et surveillance vidéo
• Destruction : Méthodes sécurisées pour l'élimination des supports

9.4 Certifications et conformité

• ISO 27001 (Systèmes de management de la sécurité de l'information)
• SOC 2 Type II (Contrôles de sécurité, disponibilité et confidentialité)
• HDS (Hébergement de données de santé)
• Conformité RGPD et ePrivacy

10.1 Types de cookies utilisés

Cookies essentiels (obligatoires)

• Session : Maintien de votre connexion sécurisée
• Authentification : Vérification de votre identité
• Panier d'achat : Conservation de vos sélections
• Préférences : Langue et paramètres d'affichage

Cookies analytiques

• Google Analytics : Analyse du trafic et comportement utilisateur
• Matomo : Alternative open-source respectueuse de la privacy
• Hotjar : Enregistrement des sessions (anonymisé)

Cookies marketing

• Facebook Pixel : Suivi des conversions publicitaires
• Google Ads : Remarketing et ciblage publicitaire
• LinkedIn Insight : Analyse du trafic professionnel

Cookies fonctionnels

• Chatbot : Mémorisation de vos préférences de discussion
• Personnalisation : Adaptation du contenu à vos intérêts
• Partage social : Intégration avec les réseaux sociaux

10.2 Gestion des cookies

Vous pouvez contrôler les cookies via :

• Notre bannière de consentement au premier visite
• Les paramètres de votre navigateur
• Notre page de gestion des préférences
• Des outils comme www.youronlinechoices.com

10.3 Durée de conservation

• Cookies de session : Supprimés à la fermeture du navigateur
• Cookies persistants : 13 mois maximum
• Cookies marketing : 24 mois maximum

Conformément au RGPD, vous disposez de droits étendus sur vos données personnelles :

11.1 Droit d'accès (Article 15)

Vous pouvez demander une copie de toutes les données personnelles vous concernant que nous détenons.

11.2 Droit de rectification (Article 16)

Vous pouvez demander la correction de données inexactes ou incomplètes.

11.3 Droit à l'effacement (Article 17)

Vous pouvez demander la suppression de vos données dans certains cas (droit à l'oubli).

11.4 Droit à la limitation (Article 18)

Vous pouvez demander la limitation du traitement de vos données.

11.5 Droit à la portabilité (Article 20)

Vous pouvez récupérer vos données dans un format structuré et couramment utilisé.

11.6 Droit d'opposition (Article 21)

Vous pouvez vous opposer au traitement de vos données à des fins de marketing ou pour motif légitime.

11.7 Droit de ne pas faire l'objet d'une décision automatisée (Article 22)

Vous avez le droit de ne pas être soumis à des décisions basées uniquement sur un traitement automatisé.

11.8 Droit de retirer votre consentement

Vous pouvez retirer votre consentement à tout moment pour les traitements basés sur cette base légale.

11.9 Comment exercer vos droits

Pour exercer vos droits :

• Connectez-vous à votre compte et utilisez l'onglet "Confidentialité"
• Contactez-nous à [email protected]
• Écrivez-nous à notre adresse postale

Nous répondrons à votre demande dans un délai d'un mois maximum.

12.1 Définition d'une violation

Une violation de données désigne toute brèche de sécurité entraînant :

• La destruction accidentelle ou illicite de données
• La perte accidentelle de données
• L'altération accidentelle de données
• La divulgation non autorisée de données
• L'accès non autorisé à des données

12.2 Procédure de notification

En cas de violation de données :

• Évaluation immédiate : Analyse de la gravité et de l'impact
• Containment : Mesures pour limiter les dommages
• Notification : Information aux autorités dans les 72h si risque élevé
• Communication : Information des personnes concernées si nécessaire
• Documentation : Enregistrement détaillé pour audit

12.3 Critères de notification

Nous notifierons les personnes concernées si la violation présente :

• Un risque élevé pour les droits et libertés des individus
• Des conséquences significatives (discrimination, vol d'identité, etc.)
• Une atteinte à des données sensibles (santé, orientation sexuelle, etc.)

12.4 Délais de notification

• Autorités de contrôle : 72 heures maximum
• Personnes concernées : Sans délai indu
• Documentation interne : Immédiate

13.1 Pays tiers et garanties

Lorsque nous transférons des données hors UE/EEE, nous nous assurons de garanties appropriées :

Pays avec décision d'adéquation

• Suisse, Royaume-Uni, Canada, Japon, Corée du Sud
• Niveau de protection équivalent à l'UE

Garanties appropriées

• Clauses contractuelles types de la Commission Européenne
• Règles d'entreprise contraignantes (BCR)
• Certification Privacy Shield (en cours de révision)
• Code de conduite approuvé avec mécanisme de contrôle

13.2 Sous-traitants internationaux

Nos principaux sous-traitants situés hors UE :

• Google (Analytics, Cloud) : Clauses contractuelles types + Privacy Shield
• Amazon Web Services : Certification ISO 27001 + Privacy Shield
• Stripe (paiements) : Agrément PCI DSS + conformité RGPD

13.3 Vos droits en cas de transfert

Vous conservez tous vos droits RGPD même si vos données sont transférées hors UE :

• Droit d'accès, rectification, effacement
• Droit d'opposition et de limitation
• Droit de porter plainte auprès d'une autorité de contrôle

Notre Délégué à la Protection des Données (DPD/DPO) est votre interlocuteur privilégié pour toutes les questions relatives à la protection des données et à l'exercice de vos droits.

14.1 Coordonnées du DPO

Email : [email protected]
Téléphone : +33 1 XX XX XX XX
Adresse : Identique au responsable du traitement

14.2 Rôles et responsabilités

• Conseiller sur les obligations RGPD
• Contrôler la conformité des traitements
• Être le point de contact avec la CNIL
• Répondre aux demandes des personnes concernées
• Sensibiliser les équipes internes

14.3 Indépendance

Notre DPO agit en totale indépendance et rapporte directement à la direction générale. Il dispose des ressources nécessaires pour remplir ses missions.

15.1 Autorité de contrôle compétente

Pour toute réclamation relative au traitement de vos données, vous pouvez contacter :

Commission Nationale de l'Informatique et des Libertés (CNIL)
3 Place de Fontenoy - TSA 80715
75334 PARIS CEDEX 07
Site web : www.cnil.fr
Téléphone : 01 53 73 22 22

15.2 Procédure de réclamation

1. Contactez d'abord notre DPO pour tenter une résolution amiable
2. Si insatisfait, déposez une réclamation auprès de la CNIL
3. La CNIL dispose d'un délai de 3 mois pour instruire votre dossier
4. Vous pouvez saisir les tribunaux compétents en cas de litige

15.3 Médiation

En cas de litige, nous privilégions la médiation avant tout recours judiciaire :

• Médiateur européen des données (pour les traitements transfrontaliers)
• Médiateurs sectoriels (santé, commerce électronique)
• Organismes de règlement alternatif des litiges

16.1 Fréquence des mises à jour

Cette politique de confidentialité est revue :

• Annuelle : Révision systématique chaque année
• En cas de changement : Modification des traitements ou évolution légale
• À la demande : Suite à des recommandations des autorités

16.2 Notification des changements

Lors d'une mise à jour importante :

• Email d'information envoyé à tous les utilisateurs actifs
• Bannière d'information sur le site web
• Mise à jour de la date en haut de la politique
• Possibilité de consulter l'historique des versions

16.3 Consentement aux changements

Si les changements affectent vos droits :

• Demande de nouveau consentement si nécessaire
• Droit de résiliation sans frais si vous refusez
• Période de transition pour adaptation

16.4 Archivage des versions

Toutes les versions de cette politique sont archivées et accessibles sur demande pendant 5 ans.

17.1 Questions générales sur la privacy

Email : [email protected]
Formulaire : Via votre compte utilisateur > onglet "Support" > "Confidentialité"

17.2 Exercices de droits RGPD

Email dédié : [email protected]
Courrier : CMC AGENCY - Service RGPD
4801 Lang Ave NE Ste 110 PMB 1019
Albuquerque, NM 87109, États-Unis

17.3 Urgences et sécurité

Signalement de violation : [email protected]
Support technique : [email protected]

17.4 Délais de réponse

• Questions générales : 48h ouvrées
• Exercice des droits : 1 mois (délai légal)
• Urgences sécurité : 4h maximum

17.5 Support multilingue

Notre équipe supporte le français, l'anglais et l'espagnol. Pour d'autres langues, nous utilisons des services de traduction professionnels.