Politique de confidentialité
Dernière mise à jour : 15 mai 2026
Responsable du traitement: Plyko, application éditée depuis la France et soumise au droit européen et français.
Contact: privacy@plyko.app
Cette politique explique quelles données Plyko (« nous ») collecte lorsque vous utilisez l’application mobile Plyko et le backend Plyko, pourquoi, avec qui nous les partageons, et les droits dont vous disposez. Nous respectons le RGPD et la Loi Informatique et Libertés. L’autorité de contrôle compétente est la CNIL.
1. Résumé en clair
- Vos données d’entraînement, nutrition, poids et pas vivent majoritairement sur votre téléphone dans une base SQLite locale. Nous n’en répliquons qu’un sous-ensemble dans notre cloud pour que vous puissiez les restaurer.
- Les photos scannées via l’IA (assiette, frigo, étiquette) sont envoyées à l’API Claude d’Anthropic et ne sont pas stockées au-delà de l’appel.
- Nous ne vendons pas vos données. Aucune publicité tierce. Pas de tracking inter-apps.
- Vous pouvez supprimer votre compte depuis l’app à tout moment. Toutes les copies cloud sont effacées sous 30 jours.
2. Données collectées
| Catégorie | Exemples | Finalité | Base légale |
|---|---|---|---|
| Compte | Email, hash du mot de passe, ID utilisateur | Connexion, identification multi-appareils | Contrat (art. 6.1.b RGPD) |
| Profil | Pseudo, avatar, genre, taille, poids, % masse grasse, objectifs, préférences | Adapter l’app et les macros | Contrat |
| Entraînement | Séances, séries, exercices, exercices custom, records, templates | Votre carnet d’entraînement | Contrat |
| Nutrition | Repas, aliments créés, recettes, codes-barres, objectifs | Votre carnet de nutrition | Contrat |
| Mesures corporelles | Historique poids, masse grasse, eau, pas | Suivi composition + activité | Contrat |
| Apple Health / Health Connect | Pas et calories actives lus depuis l’OS | Affichage de l’activité quotidienne | Consentement (via l’OS) |
| Photos pour l’IA | Photos d’assiettes / frigos / étiquettes | Analyse IA ponctuelle, effacée ensuite | Consentement (vous initiez) |
| Abonnement | Statut et ID de transaction via RevenueCat — jamais de données bancaires | Gérer votre accès Pro | Contrat |
| Diagnostics | Crash logs anonymes, compteurs d’usage IA | Corriger les bugs, quotas | Intérêt légitime (art. 6.1.f) |
| Social | Liste d’amis, pseudo, photo de profil | Fonctions sociales optionnelles | Consentement |
Nous ne collectons jamais : GPS précis, contacts, audio, historique de navigation, numéros de carte (Apple/Google gèrent la facturation).
3. Où vont les données
Plyko s’appuie sur les sous-traitants suivants, chacun sous DPA.
| Sous-traitant | Données reçues | Localisation | Pourquoi |
|---|---|---|---|
| Supabase Inc. (USA, instance EU) | Toutes les données ci-dessus sauf photos et diagnostics | Francfort, Allemagne (eu-central-1) | BDD, auth, edge functions |
| Anthropic, PBC (USA) | Photos et prompts IA | États-Unis | API Claude |
| RevenueCat, Inc. (USA) | App user ID + ID de transaction | États-Unis | Orchestration des abonnements |
| Apple Inc. | Transactions IAP, push tokens, Apple Health (reste sur appareil) | Serveurs Apple | StoreKit + APNs |
| Sentry (USA / Allemagne) | Stack traces anonymes, version d’app/d’appareil | Région EU Francfort | Reporting d’erreurs |
| USDA / Open Food Facts | Recherches d’aliments (sans identifiant) | USA / France | Données nutritionnelles |
Les transferts vers les États-Unis reposent sur les Clauses Contractuelles Types (CCT) et, pour les sous-traitants inscrits, sur le Data Privacy Framework UE-US.
4. Durée de conservation
- Compte actif — conservé tant que votre compte existe.
- Compte supprimé — effacé sous 30 jours. Sauvegardes chiffrées en écriture-seule purgées sous 90 jours.
- Diagnostics Sentry — 90 jours puis purgés automatiquement.
- Photos IA — jamais stockées. En mémoire uniquement le temps de l’appel API.
- Transactions d’abonnement — conservées 10 ans (Code de commerce, art. L123-22), sous forme pseudonymisée après suppression du compte.
5. Vos droits
Au titre du RGPD, vous avez le droit :
- d’accéder aux données vous concernant (art. 15)
- de rectifier des données inexactes (art. 16)
- d’effacer vos données (art. 17) — dispo dans l’app
- de limiter le traitement (art. 18)
- à la portabilité format structuré (art. 20)
- d’opposition au traitement fondé sur l’intérêt légitime (art. 21)
- de retirer votre consentement à tout moment
Pour exercer un droit, écrivez à privacy@plyko.app. Nous répondons sous 30 jours.
Vous pouvez aussi déposer une réclamation auprès de la CNIL : www.cnil.fr / 3 Place de Fontenoy, 75007 Paris.
6. Sécurité
- Bases Supabase chiffrées au repos (AES-256) et en transit (TLS 1.2+).
- Mots de passe hashés en bcrypt — nous ne pouvons ni les voir ni les récupérer.
- Edge functions authentifiées par clés rotantes.
- SQLite locale protégée par le sandbox iOS/Android et le chiffrement disque.
- Pas d’accès manuel à vos données sauf demande de support ou contrainte légale.
Aucun système n’est inviolable. En cas de violation, notification sous 72h (art. 33–34 RGPD).
7. Mineurs
Plyko est noté 12+ et n’est pas destiné aux moins de 13 ans. Nous ne collectons pas sciemment de données de mineurs. Si vous pensez qu’un mineur s’est inscrit, écrivez à privacy@plyko.app.
8. Cookies et technologies similaires
L’app mobile n’utilise pas de cookies. Le site n’utilise pas de cookies analytics ni de tags tiers.
9. Modifications
Nous mettons à jour cette politique quand nos pratiques évoluent ou que la loi l’exige. La date « Dernière mise à jour » reflète la dernière révision. Les modifications substantielles sont annoncées au moins 30 jours avant entrée en vigueur.
10. Contact
Plyko — édité depuis la France. Email : privacy@plyko.app. Pour les informations légales détaillées, voir les Mentions légales ou écrivez à contact@plyko.app.