Aller au contenu principal

Document légal

Politique de confidentialité

Tes données, c'est ton affaire. On t'explique concrètement ce qu'on collecte, pourquoi, et ce que tu peux en faire.

Dernière mise à jour : 24 avril 2026Entrée en vigueur : 24 avril 2026Version : 1.0

0. En résumé

  • WithYuzu est une app d'apprentissage de la nutrition. On ne vend jamais tes données, on n'affiche jamais de pub, on ne fait pas de tracking calorique.
  • On collecte seulement ce qui est nécessaire pour faire fonctionner l'app : ton email, ta progression pédagogique (XP, streak, réponses aux quiz) et quelques statistiques d'usage agrégées.
  • Toutes tes données sont hébergées dans l'Union européenne.
  • Tu peux supprimer ton compte en un clic depuis Profil → Supprimer mon compte, ou en écrivant à gavelle.simon@gmail.com.

1. Responsable de traitement

Le responsable de traitement des données personnelles collectées via WithYuzu (site withyuzu.com et application mobile/web) est :

  • LABC — Loos Angeles Brain Company (entité en cours d'immatriculation)
  • Siège social : 25 Rue Notre Dame de Grâce, 59120 Loos, France
  • Directeur de la publication : Simon Gavelle
  • Contact : gavelle.simon@gmail.com
  • Numéro SIRET / RCS : à venir (immatriculation en cours)
  • Numéro de TVA intracommunautaire : à venir

Aucun Délégué à la Protection des Données (DPO) n'a été désigné formellement car WithYuzu ne relève pas des cas de désignation obligatoire prévus à l'article 37 du RGPD. Toute demande relative à la protection des données peut néanmoins être adressée à l'email ci-dessus.

2. Données collectées

2.1 Données fournies directement par toi

DonnéeFinalitéBase légale
Adresse emailCréer et identifier ton compte, envoyer le magic linkExécution du contrat (art. 6-1-b)
Nom d'affichagePersonnaliser l'interfaceExécution du contrat
Langue préférée (fr/en)Adapter l'interface et les contenusExécution du contrat
Niveau déclaréAdapter la difficulté initialeExécution du contrat
Email sur la liste d'attenteT'informer du lancementConsentement (art. 6-1-a)
Signalements de contenuCorriger les erreurs pédagogiquesIntérêt légitime

2.2 Données générées par ton usage

  • Réponses aux quiz, progression par module, fiches SRS (algorithme de répétition espacée)
  • XP, streak quotidien, streak freezes, badges débloqués, events milestones
  • Progression dans le glossaire nutritionnel
  • Dates d'activité (dernière session, création du compte)

Base légale : exécution du contrat de service.

2.3 Données collectées automatiquement

  • Événements produit anonymisés via PostHog (pages vues, clics CTA, funnel d'authentification, taux de complétion, interactions paywall) — déposés uniquement après consentement via le bandeau cookies.
  • Adresse IP (traitée en transit par Supabase, Vercel et PostHog) — sécurité, rate-limiting, logs techniques — intérêt légitime.
  • Identifiant technique d'appareil / version de l'app — debug, détection de crashs — intérêt légitime.

2.4 Ce qu'on ne collecte pas

  • Poids, taille, mensurations
  • Apports caloriques, macros, photos d'aliments
  • Glycémie, tension, données de HealthKit / Google Fit
  • Données de santé au sens de l'article 9 du RGPD
  • Géolocalisation précise
  • Contacts, carnet d'adresses, microphone, caméra
  • Identifiants publicitaires (IDFA / AAID) — l'app ne contient aucune publicité

3. Authentification : magic link et Google

Magic link par email : Supabase Auth t'envoie un lien à usage unique. Ton mot de passe n'est jamais stocké (il n'existe pas).

Google OAuth : si tu choisis « Continuer avec Google », on reçoit uniquement ton adresse email, ton nom et ta photo de profil (si tu en as une). Aucune autre information n'est lue. Tu peux révoquer l'accès à tout moment depuis myaccount.google.com/permissions.

4. Sous-traitants

LABC fait appel aux sous-traitants suivants, tous conformes au RGPD et liés par un accord de traitement (DPA) :

Sous-traitantRôleLocalisation
Supabase, Inc.Base de données + auth + Edge FunctionsUE (Paris, eu-west-3)
Vercel, Inc.Hébergement landing + app webCDN global — données en transit uniquement
PostHog Ltd.Analytics produitUE (Francfort)
Google Ireland Ltd.Authentification OAuth (si utilisée)UE / États-Unis (DPF)
Stripe Payments Europe Ltd. (à compter des offres payantes)Paiement des abonnements premiumUE (Irlande)
Resend Inc. (à compter des envois)Emails transactionnels et d'actualitéÉtats-Unis (SCCs)
Expo (EAS)Push notifications nativesÉtats-Unis (SCCs)

Aucun autre tiers n'a accès à tes données. WithYuzu ne vend pas, ne loue pas, ne cède pas tes données à des tiers commerciaux — marques alimentaires incluses.

5. Transferts hors UE

La grande majorité de tes données sont traitées dans l'Union européenne (Supabase Paris, PostHog Francfort, Stripe Irlande). Certains transferts vers les États-Unis peuvent avoir lieu :

  • Google OAuth : Google est certifié au EU-U.S. Data Privacy Framework
  • Resend et Expo Push : encadrés par les Clauses Contractuelles Types (SCCs) de la Commission européenne

Dans tous les cas, les garanties appropriées prévues par le chapitre V du RGPD sont mises en place.

6. Durées de conservation

DonnéeDurée
Compte actifTant que ton compte existe
Compte inactifSuppression ou anonymisation automatique après 24 mois d'inactivité (après email de préavis)
Après suppression du compteEffacement immédiat des données personnelles
Emails de la liste d'attenteJusqu'au lancement + 12 mois, ou désinscription
Logs techniques12 mois maximum
Facturation Stripe10 ans (obligation légale comptable)
Signalements de contenu24 mois

7. Tes droits RGPD

Conformément aux articles 15 à 22 du RGPD, tu disposes des droits suivants :

  • Droit d'accès (art. 15)
  • Droit de rectification (art. 16) — accessible depuis l'écran Profil
  • Droit à l'effacement (art. 17) — un clic depuis Profil → Supprimer mon compte
  • Droit à la limitation (art. 18)
  • Droit à la portabilité (art. 20) — export JSON sous 30 jours sur demande
  • Droit d'opposition (art. 21)
  • Droit de retirer ton consentement à tout moment
  • Droit de ne pas faire l'objet d'une décision automatisée (art. 22) — WithYuzu n'en prend aucune
  • Droit de définir des directives post-mortem (art. 85 loi Informatique et Libertés)
  • Droit de réclamation auprès de la CNIL : www.cnil.fr/fr/plaintes

Pour exercer ces droits, écris à gavelle.simon@gmail.com. On répond dans un délai maximum de 30 jours (prolongeable de 2 mois en cas de demande complexe).

8. Sécurité

  • Chiffrement en transit : HTTPS/TLS 1.2+ sur toutes les connexions
  • Chiffrement au repos : base Supabase chiffrée (AES-256)
  • Row Level Security (RLS) : chaque utilisateur ne peut accéder qu'à ses propres données
  • Magic link : pas de mot de passe à se faire voler
  • Sauvegardes : automatisées, rétention 7 jours
  • Accès interne : seul le directeur de la publication dispose d'un accès admin, authentifié par MFA

En cas de violation de données susceptible d'engendrer un risque élevé pour tes droits, on te notifiera dans les meilleurs délais (art. 34 RGPD), ainsi que la CNIL dans les 72 heures (art. 33 RGPD).

9. Cookies et traceurs

Sur la landing page (withyuzu.com) :

  • Cookies strictement nécessaires (fonctionnement, préférences, sécurité) : exemptés de consentement.
  • Cookies de mesure d'audience (PostHog) : déposés uniquement après ton consentement via le bandeau cookies.

Dans l'app : aucun cookie tiers. PostHog fonctionne via son SDK natif, sans cookie publicitaire.

Aucune publicité.

WithYuzu n'affiche aucune publicité, n'utilise aucun cookie publicitaire et n'intègre aucun SDK de retargeting.

10. Données des mineurs

WithYuzu est accessible aux personnes âgées d'au moins 13 ans. Conformément à l'article 7-1 de la loi Informatique et Libertés et au RGPD, en France, le traitement des données personnelles des mineurs de moins de 15 ans n'est licite que si le consentement est donné conjointement par le mineur et le ou les titulaires de l'autorité parentale.

En créant un compte, tu déclares :

  • soit être âgé de 15 ans ou plus ;
  • soit être âgé de 13 à 14 ans et avoir obtenu le consentement préalable d'un titulaire de l'autorité parentale.

Si on apprend qu'un compte a été créé par un mineur de moins de 13 ans, ou sans consentement parental entre 13 et 14 ans, on le supprimera.

11. Disclaimer médical

WithYuzu n'est pas un dispositif médical.

L'application est éducative. Elle n'est pas un dispositif médical au sens du règlement (UE) 2017/745 et ne remplace pas l'avis d'un professionnel de santé (médecin, diététicien, nutritionniste). En cas de pathologie (diabète, troubles du comportement alimentaire, allergies, grossesse…), consulte un professionnel avant d'appliquer un conseil tiré de l'app.

12. Modifications

Toute modification substantielle de cette politique sera notifiée par email aux utilisateurs inscrits et via un bandeau sur withyuzu.com au moins 30 jours avant sa prise d'effet. La date de dernière mise à jour figure en haut de cette page.

13. Contact

  • Email : gavelle.simon@gmail.com
  • Courrier : LABC — Loos Angeles Brain Company, 25 Rue Notre Dame de Grâce, 59120 Loos, France
  • Réclamation auprès de l'autorité de contrôle : CNIL — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr