Politique de confidentialité

Dernière mise à jour : 13 mai 2026

Conformément au Règlement (UE) 2016/679 (RGPD) et à la loi Informatique et Libertés modifiée.

1. Responsable du traitement

Johan Kasri · johan.kasri@icloud.com · Strasbourg, France.

2. Données collectées

Encephalon traite les catégories suivantes de données personnelles :

  • Données d'identification : adresse e-mail, date de naissance (optionnelle)
  • Données de santé (art. 9 RGPD) : poids, taille, IMC, habitudes de vie, scores de bien-être, qualité du sommeil, activité physique, humeur, données nutritionnelles
  • Données financières : revenus, dépenses, solde (auto-déclarés)
  • Données de journal : rêves, notes libres, objectifs personnels
  • Données techniques : adresse IP (logs, rate limiting), horodatage des actions

3. Base légale des traitements

  • Données de santé : consentement explicite (art. 9 §2 a RGPD) — accordé lors de la création du compte et de chaque saisie
  • Autres données : exécution du contrat (CGU) et intérêt légitime (amélioration du service)

4. Finalités du traitement

  • Fournir un tableau de bord de suivi personnel holistique
  • Générer des insights déterministes et des suggestions contextuelles
  • Calculer des indicateurs de bien-être (CRRI, TDEE, scores comportementaux)
  • Envoyer des notifications push à la demande de l'utilisateur

5. Destinataires et sous-traitants

  • OVH SAS (hébergement, UE) — DPA en place
  • Mistral AI SAS (génération de texte, Paris, UE) — données envoyées sans identifiant personnel direct
  • ntfy.sh (notifications push, projet open-source) — payload limité au résumé du jour
  • Aucune vente de données à des tiers. Aucun partage à des fins publicitaires.

6. Durée de conservation

Les données sont conservées pendant toute la durée d'utilisation du compte, puis supprimées dans un délai de 30 jours après suppression du compte. Les logs techniques (IP) sont purgés sous 90 jours.

7. Vos droits (RGPD art. 15-22)

Vous disposez des droits suivants :

  • Accès et portabilité : Export RGPD disponible dans les paramètres
  • Rectification : modifiable directement dans l'application
  • Effacement ("droit à l'oubli") : demande par e-mail à johan.kasri@icloud.com
  • Opposition et limitation du traitement : idem par e-mail
  • Retrait du consentement : à tout moment, sans effet rétroactif

En cas de litige non résolu : CNIL (cnil.fr).

8. Sécurité

Les mots de passe sont hachés (bcrypt). Les credentials tiers (Apple iCloud) sont chiffrés AES-256-CBC. Les communications sont chiffrées en TLS 1.3. Aucune donnée de santé n'est exposée via une API publique.

9. Cookies

Encephalon utilise uniquement un cookie de session (authentification) et un cookie CSRF (sécurité). Aucun cookie publicitaire ou de tracking tiers.

Mentions légales CGU