Politique de Confidentialité
Dernière mise à jour : 10 mars 2026
1. Responsable du traitement
Dorian Henri Pierre Bordes, développeur indépendant et éditeur de l'application mobile Biscotto ("nous", "notre", "l'application"), est responsable du traitement de vos données personnelles au sens du Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679).
Dorian Henri Pierre Bordes
Développeur indépendant
Apt2003, Floor 20, Harbour Views Tower 1, Creek Harbour, Ras Al Khor, Dubai, 00000
Email : contact@biscotto.app
2. Données collectées
2.1 Données que vous nous fournissez
- Adresse email — requise pour créer votre compte (authentification via Supabase)
- Données de santé et fitness — poids, taille, âge, objectif fitness (perte de poids, prise de masse, maintien, etc.), niveau d'activité physique, macronutriments calculés (protéines, glucides, lipides, calories)
- Préférences alimentaires — contraintes et restrictions alimentaires (halal, végétarien, végétalien, sans gluten, allergies, etc.)
2.2 Données collectées automatiquement
- Identifiants — User ID (Supabase), Device ID (Tenjin), identifiant publicitaire IDFA/GAID (avec votre consentement)
- Données d'utilisation — navigation dans l'application, fonctionnalités utilisées, écrans consultés, interactions (collectées via PostHog)
- Historique d'achats et statut d'abonnement — type d'abonnement, date d'achat, renouvellements, statut actif/expiré (gérés via RevenueCat)
- Données de performance et de crash — rapports d'erreur, traces d'exécution, informations sur l'appareil et le système d'exploitation (collectées via Sentry)
- Tokens de notifications push — identifiants techniques pour l'envoi de notifications (gérés via OneSignal)
- Données d'attribution marketing — source d'acquisition, campagne publicitaire d'origine, données d'utilisation agrégées (collectées via Tenjin)
2.3 Données que nous ne collectons PAS
- Informations de paiement (cartes bancaires, etc.) — gérées exclusivement par Apple/Google via leurs plateformes
- Données de géolocalisation précise
- Contacts, photos, ou autres données personnelles de votre appareil
2.4 Sources de données nutritionnelles
Les données nutritionnelles présentées dans l'application proviennent de la base CIQUAL de l'ANSES (Agence nationale de sécurité sanitaire de l'alimentation, de l'environnement et du travail — données publiques) et d'Open Food Facts (base de données collaborative sous licence ODbL). Ces données sont fournies à titre informatif et ne se substituent pas à un avis médical ou diététique professionnel.
3. Finalités et bases légales du traitement
Conformément au RGPD (article 6), nous traitons vos données sur les bases légales suivantes :
| Finalité | Base légale |
|---|---|
| Création et gestion de votre compte | Exécution du contrat |
| Personnalisation de votre plan repas et calcul des macros | Exécution du contrat |
| Génération de plans repas via intelligence artificielle (OpenAI) | Exécution du contrat |
| Gestion des abonnements et paiements | Exécution du contrat |
| Envoi de notifications push | Consentement |
| Analytics et amélioration de l'application | Intérêt légitime |
| Détection et correction des bugs (crash reporting) | Intérêt légitime |
| Attribution marketing et mesure de campagnes (Tenjin) | Consentement |
| Répondre à vos demandes de support | Exécution du contrat |
4. Données de santé — Protection renforcée
Les données relatives à votre santé et votre condition physique (poids, taille, âge, objectifs fitness, macronutriments) sont considérées comme des données sensibles au sens du RGPD (article 9). Nous appliquons les garanties suivantes :
- Ces données sont traitées uniquement pour fournir le service (calcul de vos besoins nutritionnels et personnalisation de vos plans repas)
- Elles ne sont jamais vendues à des tiers
- Elles ne sont jamais utilisées à des fins publicitaires par des tiers
- Elles ne sont jamais partagées avec des annonceurs ou des data brokers
- Le traitement est fondé sur votre consentement explicite (article 9.2.a du RGPD), recueilli lors de la saisie de ces informations dans l'application
- Vous pouvez retirer ce consentement et demander la suppression de ces données à tout moment
5. Sous-traitants et services tiers
Nous ne vendons JAMAIS vos données personnelles. Nous faisons appel aux sous-traitants suivants, strictement nécessaires au fonctionnement de l'application :
Supabase Inc.
Rôle : Base de données, authentification, stockage
Données traitées : Email, profil utilisateur, données de santé/fitness, préférences alimentaires
Localisation : États-Unis
Politique : supabase.com/privacy
RevenueCat Inc.
Rôle : Gestion des abonnements in-app
Données traitées : User ID, historique d'achats, statut d'abonnement
Localisation : États-Unis
Politique : revenuecat.com/privacy
PostHog Inc.
Rôle : Analytics produit
Données traitées : Données d'utilisation, événements de navigation, interactions
Localisation : États-Unis / UE
Politique : posthog.com/privacy
Tenjin Inc.
Rôle : Attribution marketing mobile
Données traitées : Device ID, identifiant publicitaire (IDFA/GAID), données d'utilisation agrégées, source d'installation
Localisation : États-Unis
Politique : tenjin.com/privacy
Sentry (Functional Software Inc.)
Rôle : Monitoring des erreurs et crash reporting
Données traitées : Rapports de crash, informations sur l'appareil, traces d'exécution
Localisation : États-Unis
Politique : sentry.io/privacy
OneSignal Inc.
Rôle : Notifications push
Données traitées : Tokens de notification, Device ID, préférences de notification
Localisation : États-Unis
Politique : onesignal.com/privacy_policy
OpenAI LLC
Rôle : Génération de plans repas personnalisés via intelligence artificielle
Données traitées : Objectifs fitness, préférences alimentaires, contraintes (données anonymisées transmises via API)
Localisation : États-Unis
Politique : openai.com/privacy
Superwall Inc.
Rôle : Gestion du paywall et expérimentation d'offres
Données traitées : Device ID, événements d'interaction avec le paywall
Localisation : États-Unis
Politique : superwall.com/privacy
Apple Inc. / Google LLC
Rôle : Distribution de l'application, paiements et abonnements
Données traitées : Informations de paiement (gérées directement par Apple/Google)
Politiques : apple.com/privacy — policies.google.com/privacy
Tous nos sous-traitants sont soumis à des obligations contractuelles conformes au RGPD (article 28) concernant la protection de vos données.
6. Transferts de données hors de l'Union Européenne
La majorité de nos sous-traitants sont basés aux États-Unis. Les transferts de données vers les États-Unis sont encadrés par :
- Le EU-U.S. Data Privacy Framework (DPF) pour les sous-traitants certifiés
- Les Clauses Contractuelles Types (SCCs) adoptées par la Commission Européenne pour les autres sous-traitants
- Des mesures de sécurité supplémentaires (chiffrement, pseudonymisation) conformément aux recommandations du CEPD
Vous pouvez obtenir une copie des garanties mises en place en nous contactant à contact@biscotto.app.
7. Vos droits (RGPD)
Conformément au RGPD (articles 15 à 22) et à la loi Informatique et Libertés, vous disposez des droits suivants :
- Droit d'accès (art. 15) — Obtenir une copie de toutes vos données personnelles que nous détenons
- Droit de rectification (art. 16) — Corriger vos données inexactes depuis l'application (Profil) ou en nous contactant
- Droit à l'effacement (art. 17) — Supprimer votre compte et toutes vos données depuis l'application (Profil → Supprimer mon compte) ou en nous contactant
- Droit à la portabilité (art. 20) — Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine
- Droit d'opposition (art. 21) — Vous opposer au traitement de vos données fondé sur l'intérêt légitime (analytics, amélioration du service)
- Droit à la limitation (art. 18) — Demander la limitation du traitement dans certains cas (contestation de l'exactitude, traitement illicite, etc.)
- Droit de retirer votre consentement — À tout moment, sans affecter la licéité du traitement effectué avant le retrait
- Droit de ne pas faire l'objet d'une décision automatisée (art. 22) — Ne pas être soumis à une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques
Comment exercer vos droits ?
Envoyez un email à contact@biscotto.app en précisant votre demande et l'adresse email associée à votre compte. Nous répondrons dans un délai de 30 jours maximum.
Droit de réclamation : Si vous estimez que le traitement de vos données constitue une violation du RGPD, vous avez le droit de déposer une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr/fr/plaintes, ou auprès de l'autorité de protection des données de votre pays de résidence.
8. Conservation des données
| Type de donnée | Durée de conservation |
|---|---|
| Données de compte (email, profil) | Jusqu'à suppression du compte ou après 3 ans d'inactivité |
| Données de santé/fitness | Jusqu'à suppression du compte |
| Données d'abonnement | Durée de la relation contractuelle + obligations légales de facturation |
| Données d'analytics (PostHog) | 24 mois maximum, puis anonymisation |
| Données d'attribution (Tenjin) | 24 mois maximum |
| Données de crash (Sentry) | 90 jours |
| Tokens de notification (OneSignal) | Jusqu'à désactivation des notifications ou suppression du compte |
| Données de support (emails) | 12 mois après résolution de la demande |
| Logs de connexion | 12 mois maximum |
Suppression de compte : Lorsque vous supprimez votre compte, toutes vos données personnelles identifiables sont supprimées dans un délai de 30 jours, à l'exception des données soumises à une obligation légale de conservation.
9. Sécurité des données
Nous mettons en œuvre des mesures de sécurité techniques et organisationnelles appropriées (article 32 du RGPD) :
- Chiffrement en transit (TLS 1.3) pour toutes les communications
- Chiffrement au repos pour les données sensibles (données de santé)
- Authentification sécurisée via Supabase (mots de passe hashés, tokens JWT)
- Accès restreint aux données (principe du moindre privilège)
- Row Level Security (RLS) sur la base de données Supabase
- Surveillance des erreurs et anomalies via Sentry
En cas de violation de données susceptible d'engendrer un risque élevé pour vos droits et libertés, nous vous en informerons dans les meilleurs délais, conformément à l'article 34 du RGPD, et notifierons l'autorité de contrôle compétente dans les 72 heures (article 33).
10. Protection des mineurs
Biscotto est accessible aux utilisateurs âgés de 13 ans et plus (classification App Store : 13+).
- Les utilisateurs âgés de 13 à 16 ans doivent obtenir le consentement d'un parent ou tuteur légal avant de créer un compte et de fournir des données personnelles, conformément à l'article 8 du RGPD
- Nous ne collectons pas sciemment de données personnelles auprès d'enfants de moins de 13 ans
- Si nous apprenons qu'un enfant de moins de 13 ans nous a fourni des données personnelles, nous supprimerons ces informations dans les plus brefs délais
Si vous êtes parent ou tuteur et pensez que votre enfant nous a fourni des données sans votre consentement, contactez-nous immédiatement à contact@biscotto.app.
11. Cookies, tracking et identifiants publicitaires
Notre application mobile n'utilise pas de cookies au sens traditionnel du web. Cependant, nous utilisons les technologies suivantes :
- Identifiant publicitaire (IDFA sur iOS, GAID sur Android) — Utilisé par Tenjin pour l'attribution marketing. Sur iOS, la collecte de l'IDFA est soumise au framework App Tracking Transparency (ATT) d'Apple : vous devez donner votre consentement explicite via la popup système avant toute collecte. Vous pouvez refuser ou révoquer ce consentement à tout moment dans Réglages → Confidentialité → Suivi
- Device ID — Identifiant technique de l'appareil utilisé pour le fonctionnement des services d'analytics et de notifications
- Tokens d'authentification — Stockés localement sur votre appareil pour maintenir votre session active
12. Modifications de cette politique
Nous pouvons modifier cette politique de confidentialité pour refléter les changements dans nos pratiques ou pour des raisons légales. En cas de modification substantielle, nous vous notifierons par email (à l'adresse associée à votre compte) ou via une notification dans l'application. La date de dernière mise à jour est indiquée en haut de cette page.
13. Contact
Pour toute question concernant cette politique de confidentialité, le traitement de vos données personnelles, ou pour exercer vos droits, contactez-nous :
Dorian Henri Pierre Bordes
Développeur indépendant
Apt2003, Floor 20, Harbour Views Tower 1, Creek Harbour, Ras Al Khor, Dubai, 00000
Email : contact@biscotto.app
Autorité de contrôle : CNIL — www.cnil.fr — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07